Trojaner-Board - Wie lösche ich diese Trojaner?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wie lösche ich diese Trojaner? (https://www.trojaner-board.de/9423-loesche-diese-trojaner.html)

Wie lösche ich diese Trojaner?

Hallo, hier das aktuelle Log von EScan:

File C:\info6_s.cab.exe infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: No Action Taken.
File C:\ldr.exe infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: No Action Taken.
File C:\ren_test_jv.exe infected by "Trojan.Win32.Scagent.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\WebInstall\TSCore.exe tagged as not-a-virus:RiskWare.Dialer.Tscash. No Action Taken.
File D:\Dokumente und Einstellungen\Michi\Eigene Dateien\Meine Downloads\Privat\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator. No Action Taken.
File D:\Dokumente und Einstellungen\Michi\Eigene Dateien\Meine Downloads\Privat\Fraunhofer IIS MPEG Layer-3 Codec v1.263 (professional)\setupl3c.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Habe schon versucht diese Datein im abgesicherten Modus zu entfernen, aber
Sie werden nicht gefunden!Bitte um Tips...Danke Michel

Hi, Michel,
Du warst doch schon mal da, oder?
Du mußt Arbeitsplatz linke Maustaste, dann Extras, Ordneroptionen, dann Ansicht, hier "alle Dateien und Ordner anzeigen" anclicken. Dann findest Du Deine Probleme.
Außerdem war das ein Logfile vom eScan. ;)

Hi, ja bin aus dem Urlaub zurück und habe jetzt Zeit mich richtig drum zu kümmern!
Die Einstellung hatte ich schon vor der Suche gewählt, gibst vielleicht noch andere Möglichkeiten?

Michel

Zitat:

Zitat von cacatoa

So Cacatoa, habe jetzt nochmal EScan laufen lassen und es sind keine Auffälligkeiten nach dem löschen im agM mehr zu erkennen, was mich allerdings wundert ist, das der Scan schon nach ca.2600 Dateien beendet war,während sonst über 40000 gescannt worden sind! :balla:

Is das o.k?

Auf Deinen Rat hin werde ich jetzt mein System auf SP2 aktualiesieren, hättest Du noch Tips auf was man unbedingt achten sollte?

Michel

Hi, michel,
hast Du schon mal AdAware SE runtergeladen und laufen lassen? Sollte man haben.
Ebenso Spybot S&D
und das befolgen
und natürlich einen anständigen virenscanner, sowie nach Möglichkeit nicht mit IE ins Netz sondern mit Firefox oder Opera.
Zum eScan: hast Du vor dem scan wirklich alle Häkchen gesetzt? Vor allem "All local drives"?
Bis dann, bin jetzt unterwegs.
cacatoa

Richtig Cacatoa, hatte ein Häckchen vergessen, der Scan ist jetzt clean bis auf:

File C:\WINDOWS\system32\WebInstall\TSCore.exe tagged as not-a-virus:RiskWare.Dialer.Tscash. No Action Taken.
File D:\Dokumente und Einstellungen\Michi\Eigene Dateien\Meine Downloads\Privat\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator. No Action Taken.
File D:\Dokumente und Einstellungen\Michi\Eigene Dateien\Meine Downloads\Privat\Fraunhofer IIS MPEG Layer-3 Codec v1.263 (professional)\setupl3c.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hier jetzt das AdAware Log, habe 202 Objekte in der Qaurantäne!
ArchiveData(Untersuchung101104.bckp)
Referencefile : SE1R18 08.11.2004
======================================================
HOLYSTIC-DIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : hol_preload.full.1
obj[1]=RegValue : hol_preload.full.1 ""
obj[2]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1015279
obj[3]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1042489
obj[4]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1060985
obj[5]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1123735
obj[6]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1144325
obj[7]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1162992
obj[8]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1178875
obj[9]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1392342
obj[10]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1433881
obj[11]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1445818
obj[12]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1464816
obj[13]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol147692
obj[14]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1492836
obj[15]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1530701
obj[16]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1542878
obj[17]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1552662
obj[18]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1568124
obj[19]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1629803
obj[20]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol1662450
obj[21]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol167040
obj[38]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol2068504
obj[39]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol2079139
obj[40]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol2089063
obj[41]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol2106318
obj[74]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol333619
obj[75]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol336724
obj[76]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol356262
obj[77]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol362481
obj[78]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol382500
obj[79]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol384262
obj[80]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol397331
obj[81]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol399704
obj[94]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol447413
obj[95]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol470576
obj[96]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol495392
obj[133]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol510453
obj[134]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol513568
obj[135]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol516402
obj[136]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol532515
obj[137]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol544072
obj[138]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol564271
obj[139]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol566484
obj[140]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol588015
obj[141]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol589527
obj[150]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol663894
obj[151]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol680418
obj[168]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol702490
obj[169]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol720886
obj[170]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol726755
obj[171]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol754324
obj[176]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol867447
obj[185]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol905842
obj[186]=Regkey : S-1-5-21-2154702590-4025279379-689279713-1007\software\local appwizard-generated applications\hol992046
obj[202]=Folder : C:\WINDOWS\Icons
obj[203]=File : C:\WINDOWS\icons\Hol326.ico
obj[204]=File : C:\WINDOWS\icons\Hol331.ico
obj[205]=File : C:\WINDOWS\icons\Hol332.ico
obj[206]=File : C:\WINDOWS\icons\Hol338.ico
obj[207]=File : C:\WINDOWS\icons\Hol557.ico
obj[208]=File : C:\WINDOWS\icons\HolMkt338.ico

WIN32.TROJAN.BYTEVERIFY.A
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[187]=Regkey : clsid\{5f10319b-c8d4-4e49-a30c-c0e8cee611d7}
obj[188]=RegValue : clsid\{5f10319b-c8d4-4e49-a30c-c0e8cee611d7} ""
obj[189]=Regkey : syscom.dloader
obj[190]=RegValue : syscom.dloader ""
obj[191]=Regkey : interface\{22b3b001-82cb-4977-96e2-d55cebadce38}
obj[192]=RegValue : interface\{22b3b001-82cb-4977-96e2-d55cebadce38} ""
obj[193]=Regkey : typelib\{59e961b9-9acf-44fc-9bf5-003470cc2534}
obj[194]=Regkey : syscom.dloader.1
obj[195]=RegValue : syscom.dloader.1 ""
obj[199]=File : C:\System Volume Information\_restore{BA8F5D04-BBDC-4423-90B9-E3D73203ADDE}\RP254\A0025160.exe
obj[200]=File : C:\WINDOWS\SYSCOM.dll
obj[201]=File : C:\WINDOWS\system32\SYSCOM.dll
ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[196]=RegValue : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
obj[197]=RegValue : S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
obj[198]=RegValue : S-1-5-21-2154702590-4025279379-689279713-1007\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
Was soll ich als nächstes tun?

Hi, michel,
alles in der Quarantäne löschen!
Der letzte aus dem eScan ist o.k.
Die beiden ersten sollte AdAware erledigt haben.
Ansonsten nur meine Tipps von heute mittag befolgen, sollte sich eigentlich alles erledigt haben.
Hätte gerne zum Abschluß noch ein HJT-Logfile gesehen.
cacatoa

Ist alles gelöscht! :koch:

Hier das Hjt Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:59:11, on 10.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098907925553
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Gruß Michel

Hallo, michel!
congratulations!!!
Alles o.k.
Grüße cacatoa

Vielen Dank :party: , hoffe Dich/Euch nicht so schnell wieder um Rat bitten zu müssen!

Nur eins hätte ich noch :huepp: , ist ein Browserwechsel unständlich?

Zitat:

ist ein Browserwechsel unständlich?

Nein. Alternative Browser bieten mehr Sicherheit und auch mehr Komfort als der IE.

Hi, michel,
keine Plage - komme wieder alle Tage...
Ist ganz simpel. Bei mir laufen Firefox, opera und IE (hihi, für windows-updates).
Firefox runterladen und installieren, fertig.
Mozilla Firefox 1.0 deutsch
Opera runterladen, installiert sich selbst.
Opera
Probiers, in zehn Minuten bist du mit drei browsern unterwegs....
Grüße cacatoa