Hallo Leute, anscheinend habe ich mir vor 2 - 3 Tagen den oben genannten Trojaner eingefangen, und versuche nun verzweifelt ihn wieder loszuwerden. Dabei bin ich mit der google Suche auf dieses Forum gestossen und hoffe nun dass mir hier geholfen werden kann. Im Vorfeld bitte ich schonmal um ein wenig Rücksicht, da ich in technischen Sachen nicht sehr bewandert bin und vergleichsweise einfache Sachen (Systemwiederherstellungspunkt setzen, abgesichterten Modus, und was weiss ich nicht noch alles) bei mir unweigerlich zu weiterem googeln oder zu nachfrrage wie das denn geht führen.

Ein Problem ist, das Antivir ihn unter dem oben genannten Namen findet, Norton allerdings unter diesem Namen: Trojan.StartPage. Norton selbst musste ich erstmal deaktivieren, da der Trojaner anscheinend sich in immer neuen Temp dateien manifestiert, die Norton dann in den Quarantäneordner schiebt und so erstens die Rechnerauslastung die ganze Zeit ganz oben ist und zweitens der Quarantäneordner wächst und wächst und bald meine Platte voll gewesen wäre.

Ich versuche mich an den Tipps zu orientieren, die ihr in diesem thread gegeben habt:
http://www.trojaner-board.de/showthr...Drop.Delf.FD.1

dementsprechend bin ich grad noch fleissig dabei die genannten programme runterzuladen, zu installieren und es werden dann die log files folgen, die ihr benötigt, um mir hoffentlich zu helfen.

aber erstmal zu meinem system:
ich nutze windows xp und den IE, ich bin nicht sicher welche daten ihr sonst noch benötigt.

so, jetzt installiere ich erstmal weiter und kann dann hoffentlich bald mit log files aufwarten.


EDIT: so, punkt eins wäre erledigt, eScan wäre runtergeladen, installiert, ins richtige Verzeichnis entpackt und upgedatet.

so, leider erst jetzt, aber ich musste zwischenzeitlich arbeiten:

ich habe wie in dem erwähnten thread einmal escan im abgesicherten modus laufen lassen und aus dem log nach dem wort "infected" gesucht und die einzelnen zeilen kopiert, hier das ergebnis:

005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with Gator Spyware/Adware ({21FFB6C0-0DA1-11D5-A9D5-00500413153C})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "Gator Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 03 12:06:15 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with CMESys Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "CMESys Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with gator.com Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "gator.com Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:47:23 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun ASun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 13:18:35 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\Portal\7608242E.TMP infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:37:12 2005 => File C:\WINDOWS\Temp\tmp24DE.tmp infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:37:58 2005 => File D:\Filme\Norton Internet Security 2005 Deutsch.rar infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:54:19 2005 => ***** Scanning complete. *****

Sun Apr 03 14:54:19 2005 => Total Objects Scanned: 89884
Sun Apr 03 14:54:19 2005 => Total Virus(es) Found: 26
Sun Apr 03 14:54:19 2005 => Total Disinfected Files: 0
Sun Apr 03 14:54:19 2005 => Total Files Renamed: 0
Sun Apr 03 14:54:19 2005 => Total Deleted Objects: 0
Sun Apr 03 14:54:19 2005 => Total Errors: 22
Sun Apr 03 14:54:19 2005 => Time Elapsed: 02:48:07
Sun Apr 03 14:54:19 2005 => Virus Database Date: 2005/04/01
Sun Apr 03 14:54:19 2005 => Virus Database Count: 124236

Sun Apr 03 14:54:19 2005 => Scan Completed.

Edit: mein nächster Schritt wäre jetzt, dieses HijackThis Programm runterzuladen und auszuführen und euch mein log zu präsentieren, das schaffe ich aber erst morgen. aber vielleicht kann ja durch das eScan ergebnis schon was herausgefunden werden?

Lösche den Inhalt folgender Ordner:

C:\Programme\AVPersonal\INFECTED
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine

Lösche den Inhalt folgenden Ordners und dann den Ordner selbst:
C:\Programme\Gemeinsame Dateien\CMEII
C:\PROGRA~1\GEMEIN~1\CMEII

Lade dir Clearprog und lösche damit dine temporären Dateien.

Download von
Adaware: http://www.lavasoftusa.com/german/software/adaware/
und
Spybot: http://www.safer-networking.org/de/spybotsd/index.html

Beide Programme updaten und danach im abgesicherten Modus bei deaktivierter Systemwiederherstellung( http://www.systemwiederherstellung-d...indows-xp.html ) System scannen und gefundene Probleme beheben.
Mit Spybot zusätzlich noch immunisieren.
BTW-o.g. Löschvorgänge auch im abgesicherten Modus bei deaktivierter Systemwiederherstellung durchführen.
Danach neu booten -Systemwiederherstellung anschalten.

Du verwendest 2 Virenscanner.Dir ist bewusst, dass sowas das System ausbremst und zur Instabilität führen kann?

Zitat:

Zitat von cronos

Du verwendest 2 Virenscanner.Dir ist bewusst, dass sowas das System ausbremst und zur Instabilität führen kann?

Den Vorschlägen von cronos kann ich nur beipflichten.

Zu den zwei Antivirenprogrammen: Problematisch ist der Einsatz von zwei (oder mehreren) Hintergrundwächtern (on access). Hier darf nur ein Programm aktiv sein. Der Einsatz von Virenscannern verschiedener Hersteller (on demand) ist bei einer festgestellten Infektion jedoch zu empfehlen. Dadurch wird die Erkennungswahrscheinlichkeit gesteigert.

so, zuallererst einmal vielen dank für eure antworten und für die mühen die ihr euch macht.
jetzt zu den punkten die cronos aufgezählt hat:

----------
Lösche den Inhalt folgender Ordner:

C:\Programme\AVPersonal\INFECTED
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine

Lösche den Inhalt folgenden Ordners und dann den Ordner selbst:
C:\Programme\Gemeinsame Dateien\CMEII
C:\PROGRA~1\GEMEIN~1\CMEII
-----------
das habe ich im abgesichterten modus bei deaktivierter systemwiederhestellung gemacht, mit einer ausnahme, den letzten ordner findet er nicht, habs mit der suche versucht, aber den kann ich einfach nicht finden
zudem war in dem ersten genannten ordner sowieso nichts drin was ich hätte löschen können


jetzt wollte ich zum nächsten schritt und mir clearprog runterladen, jedoch weiss ich jetzt nicht ob ich das auch im abgesichterten modus machen soll oder nicht? bzw soll ich das überhaupt machen solange ich diesen letzten ordner oben nicht löschen konnte, da ich ihn nicht gefunden habe?

und zu den zwei virenscannern: ich nutze eigentlich nur antivir, aber die norton firewall konnte ich irgendwie nicht installieren ohne norton antivirus mit zu installieren. der norton antivirus ist deswegen jetzt bei mir erstmal deaktiviert (ich wusste nicht ob das reicht um den komplikationen aus dem weg zu gehen?). aber ich möchte mir sowieso auch eine neue und kostenlose firewall zulegen, dann wird norton mit dem antivirus sowieso runtergeschmissen. aber vielen dank für eure warnungen!

@ Ein-Verzweifelter

Also Clearprog muss nicht unbedingt im abgesicherten Modus durchgeführt werden. Du solltest bei der Reinigung jetzt, aber die Systemwiederherstellung deaktivieren da sonst noch vorhandene Schädlinge in den entsprechenden Ordnern wieder hergestellt werden können. Später solltest Du das Prog von Zeit zu Zeit mal benutzen um die Temp und auch die Temporary Internet Files zu reinigen.
Mit der Firewall lese mal hier damit wird Dein System besser geschützt als mit der PW
Das mit dem Ordner C:\Programme\Gemeinsame Dateien\CMEII ist eigentlich ungewöhlich da es kein Systemordner ist und dadurch auch nicht versteckt sein sollte. Aber vielleicht hast Du ihn auch schon gelöscht ( ist auch kein Virus ist AdWare)

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

so, endlich kome ich mal dazu mich wieder zu melden und einen wasserstand abzuliefern was ich bisher gemacht habe.

ich habe alle punkte durchgeführt die cronos aufgelistet hat, die da wären:

-die von ihm genannten dateien im abgesichterten modus mit deaktivierter systemwiederherstellung gelöscht.
ausnahme:
C:\Programme\AVPersonal\INFECTED ---> der war schon leer
C:\PROGRA~1\GEMEIN~1\CMEII ---> den konnte ich nicht finden (und nicht den anderen, wie gigamail das wohl verstanden hatte.)

-clearprog runtergeladen und ebenfalls im abgesichterten modus alles gelöscht was bei dem programm zu löschen war.

-adaware runtergeladen und upgedated und ausgeführt.

- spybot runtergeladen und upgedated und ausgeführt, anschließend noch immunisiert

-alles natürlich immer noch im abgesichterten modus mit deaktivierter systemwiederherstellung.

-dann neu gebootet und systemwiederherstellung wieder aktiviert.



Das Ergebnis ist soweit ich das bisher überblicken kann: Alle spyware ist weg, weder adaware noch spybot finden bei nochmaligem durchlaufen noch irgendwas auszusetzen, aber (und jetzt kommt das große aber), der trojaner selbst ist immer noch fröhlich auf meinem rechner.

mein nächster und bisher letzter schritt wäre jetzt eben dieses hijack this programm runterzuladen, installieren, auszuführen und euch mein log zu präsentieren.

so, jetzt hab ich auch hijack ausgeführt und präsentiere euch hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:46:47, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SYSTEM32\Mounter.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Hijackthis\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ca.red.clientapps.yahoo.com/c...search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ca.red.clientapps.yahoo.com/c...search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ca.red.clientapps.yahoo.com/c...gers.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ca.red.clientapps.yahoo.com/c.../www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {29C13B62-B9F7-4CD3-8CEF-0A58A1A99441} - http://fdl.msn.com/public/chat/msnchat41.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programme\Yahoo!\common\yinsthelper.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



ich hoffe nun ihr könnt was damit anfangen und mir helfen den trojaner ein für alle mal zu beseitigen. aber auch schon jetzt ein riesen dank für eure kompetente hilfe!

Check mal was das ist

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

und fix es!

Hallo Ein-Verzweifelter,

Zitat:

C:\Programme\Gemeinsame Dateien\CMEII
C:\PROGRA~1\GEMEIN~1\CMEII

Das ist ein und der selbe Ordner.

Folgenden Eintrag kannst Du noch mit HijackThis fixen:

O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
Falls Du dies nicht kennst ebenfalls
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Ansonsten ist in Deinem Log IMHO nichts auffälliges.

dartus

so, ich habe jetzt mit HijackThis die beiden von euch genannten zeilen gefixt, momentan siehts gut aus! ich lasse jetzt ein letztes mal antivir grade durchlaufen und hoffe mal das ich damit die platte wieder sauber habe.

ich habe jetzt auch norton komplett deinstalliert und stattdessen das programm von gigamail ausgeführt, wenn das eine firewall komplett ersetzen kann, das wär ja super. habe also zur zeit nur antivir auf dem rechner als virenscanner und das von gigamail genannte programm als firewall ersatz, ich hoffe das reicht?

ich schreib nochmal sobald der virenscan durch ist.

EDIT: achja, @dartus:

das die beiden zeilen den gleichen ordner betitelten wusste ich nicht, wieder was gelernt

Hallo,

Benutze zukünftig zum Surfen einen sicheren Browser .
Hier findest Du noch Lesenswertes, insbesondere die “12 Punkte.”.

dartus

Servus Ein-Verzweifelter

Du solltest in Zukunft auf den IE verzichten und statt dessen alternative Browser verwenden. Den IE nur noch für Windowsupdate, aber das immer wieder mal durchführen.
http://filepony.de/download-opera/
http://www.mozilla.org/
Hier noch eine gute Zusammenstellung von Cidre einem Boardmitglied zur Absicherung. (interessant für dich, nach Neuaufsetzen)
http://www.trojaner-board.de/showpos...28&postcount=2

ich habe jetzt wie geschrieben noch einmal mit antivir auf viren gescannt, da fand er trotzdem immer noch den trojaner:

C:\WINDOWS\Temp
tmp24DE.tmp
[FUND!] Ist das Trojanische Pferd TR/Drop.Delf.FD.1
WURDE GELÖSCHT!

nachdem ich aber auf löschen gegangen bin kamen keine weiteren meldungen mehr, weder bei einem direkten nochmaligem scan, noch bei einem weiteren scan nach einem reboot. da bin ich jetzt verwirrt, ist der trojaner jetzt weg oder nicht?

lade dir Clearprog Haken bei alles löschen und auf ok. Solltest Du von Zeit zu zeit mal wieder machen.
Systemwiederherstellung deaktivieren neu booten Systemwiederherstellung aktivieren, jetzt sollte er ganz weg sein.