Trojaner-Board - Trojaner will einfach nicht weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner will einfach nicht weg (https://www.trojaner-board.de/8030-trojaner-will-einfach-weg.html)

Trojaner will einfach nicht weg

Habe ein riesiges Problem..

Ich wollte mir gestern einen Film ansehen.. lade mir dazu den DivX Player 1.0.3 und den Xvid codec runter.. während des Films öffneten sich dann selbstständig InternetExplorer Fenster :

http://www.automotive.com/redir/newc...93&kw_camp=ron

http://www.pcsecurityshield.com/webApp/90014fs3.asp

http://e.rn11.com/a/a174-admed-ron

und weitere Websites die für "Anti Spyware" werben

Ich habe so ziemlich alles ausprobiert...

- Norton AntiVirus
- AntiVir Xp PE ("erfolgreich" Trojaner entfernt)
- eScan ("erfolgreich" 28 Schädlinge entfernt)
- HijackThis (log automaisch überprüfen lassen und 4 Einträge mit LSPFix.exe gefixed)
- CW Schredder
- Ad-Aware
- SpyBot SD (erfolgreich einige Einträge gefixed)

also die ganze Kiste entwurmt.. aber die fenster öffnen sich immer noch.. habe die kompletten programme zich mal durchlaufen lassen.. ohne Erfolg !

Ich hoffe Ihr könnt mir anhand meiner Schilderung oder des .log Files helfen

OS :Windows XP Sp2

Logfile of HijackThis v1.98.2
Scan saved at 12:58:04, on 02.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symphony\sw_serv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\SED\SED.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symphony\maestro.exe
C:\DOKUME~1\Fischer\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Fischer\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Fischer\Eigene Dateien\install\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: win-data Zahlungserinnerung.lnk = C:\Programme\win-data 2ooo\win-data Zahlungserinnerung.exe
O4 - Global Startup: Gigaset H48data Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KT.local
O17 - HKLM\Software\..\Telephony: DomainName = KT.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KT.local

vielen Dank im Voraus !

Deinstalliere unter Software -> Ezula beinhaltet Adware

Fixe diese Einträge:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"

Welche Malware wurde denn von AntiVir und eScan entfernt?

öhm hab mir nicht alle gemerkt :headbang:

not-a-virus:AdvWare.Look2Me.k

TrojanDownloader.Win32.Wintool

etc pp ^^

ich befolge gleich mal deine anweisungen und werde bericht erstatten was sich da so getan hat..

Danke schon mal für die schnelle Antwort

Zitat:

öhm hab mir nicht alle gemerkt

Öffne die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

AntiVir Hauptprogramm starten -> Report -> Kurzreport anzeigen -> ggf. auf + klicken und Treffer posten

soo..
- TrojanDownloader.Win32.Small.vl (File deleted)
- not-a-virus:AdvWare.Look2Me.k (File renamed)
- not-a-virus:AdvWare.WinShow.b (File renamed)
- not-a-virus:AdvWare.MetaDirect.a (File renamed)
- not-a-virus:AdvWare.Look2Me.k (File renamed)
- TrojanDownloader.Win32.WinShow.t (File deleted)
- Trojan.Java.ClassLoader.Dummy.a (File deleted)
- not-a-virus:AdvWare.SmartPops. (File renamed)

das war alles was ich rausbekommen habe... ich recherchiere gerade in anderen Logs.. wenn ich noch etwas finde werde ich es posten...

das schräge ist.. es ist der Laptop meines Vaters.. wenn ich das bis Montag nich unauffällig behoben habe --> :teufel2: :koch:

deswegen danke für jegliche Hilfe

(edit)

hab doch noch was gefunden (AntiVir)
- TR/StartPage.JM.2
- Tr/Dldr.Agent.BG.1
- Tr/Dldr.WinSh.AC.07

und dieses Ezula stand nicht in der Liste der installierten Programme

Zitat:

es ist der Laptop meines Vaters.. wenn ich das bis Montag nich unauffällig behoben habe

Sonst passiert das http://www.mainzelahr.de/smile/boese/654.gif :lach:

EDIT:
Schau mal ob die SED unter Software steht.
http://computercops.biz/startuplist-4716.html

Zitat:

Name: SESync
Command: sed.exe
Status: X
Description: Premium rate adult material dialer

Sichere die sed.exe falls noch vorhanden zur Beweissicherung auf eine Diskette oder CD.

Ich hab alles zwielichtige runtergeschmissen.. unter software ist nichts mehr das ich nicht zuordnen konnte

... die SED exe is noch vorhanden.. aber wieso Beweissicherung bzw was soll ich mit dem link anfangen ?

*leicht irritiert*

Zitat:

aber wieso Beweissicherung bzw was soll ich mit dem link anfangen

Kuckst du hier http://www.dialerschutz.de/home/Gesc...schadigte.html

d.h ich habe ein Dailerproblem.. ?!

mit Dsl Flat und Wireless lan dürfte mir doch eigentlich nichts passieren oder ?!

Es ist zwar trotzdem ärgerlich aber nicht gravierend..

und was mach ich jetzt nach der Sicherung von SED.exe

ich will den anderen Schmodder ja auch los werden ^^

Zitat:

mit Dsl Flat und Wireless lan dürfte mir doch eigentlich nichts passieren oder ?!

Ja das ist richtig, unter diesen Umständen ist eine Beweissicherung nicht notwendig.

Führe das nochmal aus:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp
Danach Neustart und ein Log-File von HiJackThis hier posten.

Sry wenn ich dumm fragen muss. Abgesicherter Modus von Windows ? und wie komm ich da rein - f8 beim booten ?(hab noch nicht lange XP :p 98 konnte man leichter konfigurieren)

Zitat:

und wie komm ich da rein - f8 beim booten

Jawohl, oder Alternativ =>
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

hmm das zieht sich... sitze grad an meinem Rechner

von ~ 38000 durchsuchten dateien 4 schädlinge gefunden

- not-a-virus:AdvWare.Look2Me.k . File Renamed
- not-a-virus:RiskWare.Tool.Exporun . No Action Taken (3x)

das kann dauern - in der Zeit... :party:

Scannst du jetzt mit eScan und bist gleichzeitig im I-net?
Ich hab doch ausdrücklich gepostet:

Zitat:

Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten.

Ruhig Blut.. ich war an meinem rechner und nich am Laptop ^^

Hier das angeforderte Logfile... hoffe du wirst daraus schlau :daumenhoc

Logfile of HijackThis v1.98.2
Scan saved at 16:03:20, on 02.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symphony\sw_serv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Fischer\Eigene Dateien\install\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: win-data Zahlungserinnerung.lnk = C:\Programme\win-data 2ooo\win-data Zahlungserinnerung.exe
O4 - Global Startup: Gigaset H48data Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KT.local
O17 - HKLM\Software\..\Telephony: DomainName = KT.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KT.local