Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Brauche Hilfe - Trojaner ist hartnäckig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.09.2005, 08:52   #1
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Hallo ihr!

Hab mir irgendwie einen Trojaner eingefangen, ich mein es ist dieder HiJackThis. Mein AntiVir hat schon mehrere Sachen gefunden, unter anderem diese se.dll und gelöscht, da es nicht mehr zu reaparieren ging. Wie ich den bekommen hab, weiß ich leider nicht. Ich lass mein AntiVir jede Woche einmal über den Rechner laufen und letzte Woche war er noch nicht da. Hab eigentlich auch immer den AntVir Guard an, aber gestern Abend ist mir dann aufgefallen, das er ausgeschaltet ist, daher hab ih dann sofort das Programm laufen lassen.

Erstmal findet AntiVir bei jedem Durchgang neue infizierte Dateien vom Trojaner und kann diese teilweise nicht löschen. Dann hab ich u.a. ein infiziertes Archiv (weiß nicht obs auch dazu gehört) ich meine es heißt 006_regular[2].cab
Und seit des löschens der infizierten Dateien bekomm ich beim neustart immer eine Warnmeldung, dass die se.dll nicht gefunden werden konnte.

Was soll ich nun machen? Ich hab absolut keinen Plan von der Registry und will sie mir auch nicht zerschiessen, weiß nicht mal, wie ich diese sichern kann.

Bin dankbar für jede Hilfe

LG steffi

Alt 03.09.2005, 09:08   #2
Chris14
 

Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Poste ein HijackThis und ein eScan Logfile.
__________________


Alt 03.09.2005, 09:57   #3
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Also hier ist der HiJackThis (ich hoffe ich hab alles richtig gemacht):

Logfile of HijackThis v1.99.1
Scan saved at 10:52:32, on 03.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\NSM\client32.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Message-Bob\Message-Bob.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe
D:\Programme\phonostar\ps_timer.exe
C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {01EBC70F-AC0C-4F1B-8EA2-8E202BC47119} - C:\WINDOWS\System32\hpch.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Message-Bob] C:\Programme\Message-Bob\Message-Bob.exe /a
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IMOL] IMOLApp.exe /c
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345679} - ms-its:mhtml:file://c:\nosuch.mht!http://h**p://findgal.net/bceiifhnok...din::/code.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://h**p://tools.ebayimg.com/eps/..._v1-0-3-30.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://h**p://www2.incredimail.com/c...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7089CF8D-86CE-4189-80D2-6C98FEDD943C}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EA0AA9-8E2B-44CD-B8DA-DACC451704E0}: NameServer = 192.168.0.1,0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F04B49-821F-4F59-9311-B325321A2493}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD5C64E4-D248-4612-B2FE-D2FCB5BF0DCB}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O18 - Filter: text/html - {EE071FC2-B0F5-4025-9BD9-518C36A96EB0} - C:\WINDOWS\System32\hpch.dll
O18 - Filter: text/plain - {EE071FC2-B0F5-4025-9BD9-518C36A96EB0} - C:\WINDOWS\System32\hpch.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client32 - Productive Computer Insight Ltd - C:\NSM\client32.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFFI~1.000\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe

Das anderes kommt gleich noch nach.

Ach so, ich bekomm beim starten des rechners auch immer eine Meldung, dass ein Fehler bei der _VWUPSRV.EXE aufgetreten ist, den hab ich allerdings schon länger, aber vll. kann mir jemand sagen, was das bedeutet?

LG steffi
__________________

Alt 03.09.2005, 12:26   #4
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Also mir ist gerade der Rechner abgeschmirt und daher muss der mit dem eScan neubeginnen. Hab aber trotzdem das alte Log mal gespeichert weil er ja schon sehr weit war und über 20 Sachen gefunden hatte. Wollte die Datei hier rein kopieren, allerdings ist mir dabei dann auch der Explorer abgesoffen. Hab mal alles in Word reinkopiert und es sind mal eben 5321 Seiten, also geht das wohl schlecht :-( Könnte euch höchsten die Log Datei per Mail senden, wenn einer so lieb wär, die sich mal anzuschauen? Die ist nicht ganz 2000KB groß.

Also wenn einer so lieb ist und Lust hast sich das mal anzuschauen, dann schickt mir ne Mail an stepy@web.de und ich schick euch die Datei. Oder habt ihr ne andere Idee wie ich den Log hier reinstellen kann?

LG steffi

P.s.: Hier sind schonmal die Sachen die ich durch die Suche nach "infected" in der Datei finden konnte:

Sat Sep 03 11:32:48 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.

Sat Sep 03 11:33:14 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

Sat Sep 03 11:33:34 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Sat Sep 03 11:33:37 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.

Sat Sep 03 12:32:20 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Eigene Dateien\Wichtige Dokumente\Windows\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sat Sep 03 12:32:56 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sat Sep 03 12:36:15 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3BNECDX\0006_regular[2].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Sat Sep 03 12:56:10 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUN8NAP\100005[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

und hier sind die Sachen nach "tagged":

Sat Sep 03 11:43:24 2005 => File C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Sat Sep 03 12:32:58 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Geändert von CesareMontini (03.09.2005 um 12:36 Uhr)

Alt 03.09.2005, 16:31   #5
hugHefner
 
Brauche Hilfe - Trojaner ist hartnäckig - Ausrufezeichen

Brauche Hilfe - Trojaner ist hartnäckig



Uje.. benutzt du tauschbörsen wie kazaa emule oder lädst du lieder aus dem I net runter?
fix mal unbedingt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll/space.html

O15 - Trusted Zone: *.musicmatch.com (HKLM)

O16 - DPF: {11010101-1001-1111-1000-110112345679} - ms-its:mhtml:file://c:\nosuch.mht!http://h**p://findgal.net/bceiifhno...xdin::/c ode.exe


O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://h**p://www2.incredimail.com/...er/imloader.cab



zudem lade dir noch das Service Pack 2 runter, link ist in meiner signatur!

Und noch was, hast du eine firewall? wenn nein, leg dir schleunigst eine zu


Alt 03.09.2005, 16:41   #6
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Hallo!

Also Lieder usw. lad ich nicht mehr runter. Habs früher gelegentlich mit eMule gemacht bevor das Gesetz rauskam. Mein Freund hats mir vor kurzem wieder auf den Rechner gepackt, habs aber sofort runter geschmissen, weil ich das nicht will und danach lief ja auch der Virenscanner normal noch durch.

Also der eScan macht jetzt bereits seit 12Uhr und hat nicht mal den Ordner Dokumente und EInstellungen von der ersten Platte fertig, ich denk das wird noch was dauern. Er hat bis jetzt schon 13 Viren und 25 Fehler (ich galub das ist gemeint) gefunden. Hab nebenbei auch noch den Guard von AntiVir laufen und der hat mir gesagt, das trojanische Pferd heißt TR/Dldr.Sma.bas.2A

Was meinst du mit fix?

Zum Service Pack 2, davon halte ich nicht viel. Habs mir bei meinem altem Rechner runtergeladen, aber da war noch ein Bug drin, der wohl auch bekannt war. Danach lief mein kompletter Rechner nicht mehr. Ein Kollege der sich gut mit allem auskennt hat drei Tage versucht ihn wieder zum laufen zu bekommen, ging aber nicht. Zum Schluss konnten wir ihn nur noch neu machen. Zum Glück hatte ich damals noch meine alte Miniplatte drin wo noch ein betriebsfähiges Win 200 drauf war, damit konnte ich zumindest meine Daten sichern, aber das hab ich jetzt leider nicht.Bevor wieder alles hin ist und ich nicht mal die Daten sichern kann, lass ichs lieber.

Ne Firewall haben wir und die wurde auch richtig eingestellt. Haben hier ein kleines Netzwerk und der ROuter hat ne Firewall und die Rechner haben je noch eine zusätzlich.

Ich war die letzte Woche arbeiten und mein Freund war am Rechner und hat allen möglichen Scheiß runter geladen, ich denk mal, dass es davon kommt, nur leider weiß er nicht mal genau was er runter geladen hat, geschwiege denn wo, wie es heißt und wo er es hingepackt hat.

Wär lieb wenn du mir noch das mit dem fix erklären könntest. Sobald der eScan durch ist poste ich dann noch was neu dazu gekommen ist.

LG steffi

Alt 03.09.2005, 17:19   #7
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Also mir ist gerade mal wieder der Rechner abgesoffen, hab danach den eScan weitermachen lassen und der hat mir dann gesagt, dass er fertig ist, also ich hoffe mal, das er wirklcih fertig ist, aber in der Log Datei stehen auch noch die Sachen von heute morgen mit drin, also hier dann noch die neuen Sachen zu "infected":

Sat Sep 03 13:26:33 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.

Sat Sep 03 13:26:56 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

Sat Sep 03 13:27:10 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Sat Sep 03 13:27:11 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.

Sat Sep 03 14:24:23 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Eigene Dateien\Wichtige Dokumente\Windows\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sat Sep 03 14:24:59 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sat Sep 03 17:27:52 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FUCZN9S9\adsldpbc[1].dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Sat Sep 03 17:29:14 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3BNECDX\0006_regular[2].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Sat Sep 03 17:46:27 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUN8NAP\100005[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sat Sep 03 18:05:45 2005 => File C:\WINDOWS\q15854109_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

und die neuen zu "tagged":

Sat Sep 03 13:36:24 2005 => File C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Sat Sep 03 14:25:01 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Das Enddingen hier rein zu kopieren bringt wohl nicht viel, weil da nur der stand der letzten scannung drin steht, da hat er eine datei gefunden, im anderem warens zum schluss 14 und davor weiß ich leider nicht mehr.

LG steffi

Alt 03.09.2005, 18:30   #8
Cidre
Administrator, a.D.
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Zitat:
eScan macht jetzt bereits seit 12Uhr und hat nicht mal den Ordner Dokumente und EInstellungen von der ersten Platte fertig...Hab nebenbei auch noch den Guard von AntiVir laufen
Darum sollte der Scan auch im abgesicherten Modus durchgeführt werden, da der Guard hier nicht aktiv ist. Wenn normaler Modus, dann den Guard manuell deaktivieren.

Führe zunächst mal diese Anleitung aus. Danach löschst du die TIFs [1] und diese Datei (C:\WINDOWS\q15854109_disk.dll) manuell. Auch diesen Ordner (C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp) leeren.

Anschließend postest du uns ein aktuelles HJT Log-File.

bzgl HJT und fixen:
Das wird dir hier erklärt -> http://www.trojaner-board.de/51130-a...ijackthis.html

[1] Rechtsklick auf IE -> Eigenschaften -> Reiter 'Allgemein' und unter Temporäre Internetdateien -> Dateien löschen -> 'Alle Offlineinhalte löschen' anhaken -> OK
__________________
Gruß, Cidre


Alt 03.09.2005, 18:37   #9
hugHefner
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



DAnke das wollte ich auch schreiben aber mein bruder hat mich vom pc vertrieben weil er in wow ne instanz gemacht hat und ihm der andere pc abgesofen ist

Alt 03.09.2005, 19:07   #10
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Hallo!

Also ich bin jetzt etwas verwirrt, also das Programm zu entfernen hat zwar gestartet und auch neugestart und hat mir dann gesagt, das nichts infiziert ist und wurde beendet, ist das so richtig?

DIe Datei C:\WINDOWS\q15854109_disk.dll lässt sich nicht löschen, der Zugriff wird verweigert und der sagt mir auch, wenn ich die Lösche beeinträchtigt das die Systemintegrität. Ich weiß zwar nicht was das heißt, aber das klingt meiner Meinung nach nicht gut.

Und wie ich die Tif lösche versteh ich auch nicht, ich hab unter Eigenschaft nichts mit temporären Dateien!?

Den HijackThis hab ich durchlaufen lassen, aber noch nichts gefixt, weil ich nicht weis was.

Sorry das ich euch so nerve, aber ich hab davon echt keine Ahnung und ziemlich Angst das ich mir hier alles zerschieße :-( Aber danke für eure liebe Hilfe.

LG steffi

Ach so, hab die Logdateien vergessen. Hier der vom HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 20:02:52, on 03.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\NSM\client32.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Message-Bob\Message-Bob.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe
D:\Programme\phonostar\ps_timer.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: C:\WINDOWS\q15854109_disk.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\q15854109_disk.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Message-Bob] C:\Programme\Message-Bob\Message-Bob.exe /a
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IMOL] IMOLApp.exe /c
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345679} - ms-its:mhtml:file://c:\nosuch.mht!http://findgal.net/bceiifhnok.mjdjcp.cgid-D-B-C-F.fcis.xdin::/code.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7089CF8D-86CE-4189-80D2-6C98FEDD943C}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EA0AA9-8E2B-44CD-B8DA-DACC451704E0}: NameServer = 192.168.0.1,0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F04B49-821F-4F59-9311-B325321A2493}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD5C64E4-D248-4612-B2FE-D2FCB5BF0DCB}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{19A4270C-5B53-4ED5-BA7C-36EE794FCD59}: NameServer = 192.168.0.1
O20 - Winlogon Notify: style32 - C:\WINDOWS\q15854109_disk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client32 - Productive Computer Insight Ltd - C:\NSM\client32.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFFI~1.000\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe


Und hier der von dem Entfernungsprogramm:


(3.9.05 19:48:48) SPSeHjFix started v1.1.2
(3.9.05 19:48:48) OS: WinXP Service Pack 1 (5.1.2600)
(3.9.05 19:48:48) Language: deutsch
(3.9.05 19:48:48) Win-Path: C:\WINDOWS
(3.9.05 19:48:48) System-Path: C:\WINDOWS\System32
(3.9.05 19:48:48) Temp-Path: C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\
(3.9.05 19:48:51) Disinfection started
(3.9.05 19:48:51) Bad-Dll(IEP): c:\dokume~1\steffi~1.000\lokale~1\temp\se.dll
(3.9.05 19:48:51) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\hpch.dll
(3.9.05 19:48:51) Searchassistant Uninstaller - Keys Deleted
(3.9.05 19:48:51) UBF: 10 - UBB: 4 - UBR: 21
(3.9.05 19:48:51) FilterKey: HKCR\text/html (deleted)
(3.9.05 19:48:51) FilterKey: HKCR\CLSID\{EE071FC2-B0F5-4025-9BD9-518C36A96EB0} (deleted)
(3.9.05 19:48:51) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(3.9.05 19:48:51) FilterKey: HKCR\text/plain (deleted)
(3.9.05 19:48:51) FilterKey: HKCR\CLSID\{EE071FC2-B0F5-4025-9BD9-518C36A96EB0} (error while deleting)
(3.9.05 19:48:51) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(3.9.05 19:48:51) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01EBC70F-AC0C-4F1B-8EA2-8E202BC47119} (deleted)
(3.9.05 19:48:51) BHO-Key: HKCR\CLSID\{01EBC70F-AC0C-4F1B-8EA2-8E202BC47119} (deleted)
(3.9.05 19:48:51) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\se.dll,DllInstall (deleted)
(3.9.05 19:48:51) UBF: 8 - UBB: 3 - UBR: 20
(3.9.05 19:48:51) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\steffi~1.000\lokale~1\temp\se.dll/space.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\steffi~1.000\lokale~1\temp\se.dll/space.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(3.9.05 19:48:51) Stealth-String not found
(3.9.05 19:48:51) File added to delete: c:\windows\system32\hpch.dll
(3.9.05 19:48:51) File added to delete: c:\dokume~1\steffi~1.000\lokale~1\temp\se.dll
(3.9.05 19:48:51) Reboot


(3.9.05 19:51:28) SPSeHjFix started v1.1.2
(3.9.05 19:51:28) OS: WinXP Service Pack 1 (5.1.2600)
(3.9.05 19:51:28) Language: deutsch
(3.9.05 19:51:28) Win-Path: C:\WINDOWS
(3.9.05 19:51:28) System-Path: C:\WINDOWS\System32
(3.9.05 19:51:28) Temp-Path: C:\DOKUME~1\STEFFI~1.000\LOKALE~1\Temp\
(3.9.05 19:52:17) Disinfection started
(3.9.05 19:52:17) Bad-Dll(IEP): (not found)
(3.9.05 19:52:17) Bad-Dll(IEP) in BHO: (not found)
(3.9.05 19:52:17) UBF: 8 - UBB: 3 - UBR: 21
(3.9.05 19:52:17) UBF: 8 - UBB: 3 - UBR: 21
(3.9.05 19:52:17) Bad IE-pages: (none)
(3.9.05 19:52:17) Stealth-String not found
(3.9.05 19:52:17) Not infected->END
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Geändert von Cidre (04.09.2005 um 16:54 Uhr)

Alt 04.09.2005, 15:36   #11
CesareMontini
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



Hallo!

Also ich hab nochmal versucht diese eine DLL und die TIFs zu löschen, geht beides nicht. Hab dann nochmal den HijackThis drüberlaufen lassen und das Log bei www.HiJackThis.de auswerten lassen. Alle Sachen die unbekannt, eventuell gefährlich oder gefährlich waren haben ich einzeln gescannt und dann ggf. gefixt mit dem HiJackThis. Auch diese eine DLL war dabei, aber auch die konnte damit nicht gelöscht werden.

Hab danach mal mit TuneUP Utilities oder wie das Programm heißt meine Registry reinigen lassen, der hat auch ziemlich viel Schrott gefunden und über 150 Probleme behoben.

Danach hab ich mich froh und munter an den eScan gesetzt, hier das Resultat :-( für infected:

Sun Sep 04 12:00:41 2005 => File C:\WINDOWS\q15854109_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Sun Sep 04 12:01:11 2005 => File C:\WINDOWS\q15854109_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Sun Sep 04 12:06:30 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

Sun Sep 04 12:06:42 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Sun Sep 04 12:06:44 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.

Sun Sep 04 13:22:31 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Eigene Dateien\Wichtige Dokumente\Windows\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 13:23:10 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 13:25:19 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FUCZN9S9\adsldpbc[1].dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Sun Sep 04 13:26:24 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3BNECDX\0006_regular[2].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Sun Sep 04 13:40:10 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUN8NAP\100005[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 13:45:53 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KV5B2E3T\short_analyze[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 14:40:28 2005 => File C:\Programme\HiJackThis\backups\backup-20050904-112906-818 infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 14:40:29 2005 => File C:\Programme\HiJackThis\backups\backup-20050904-115133-394.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Sun Sep 04 14:40:29 2005 => File C:\Programme\HiJackThis\backups\backup-20050904-115134-457.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Sun Sep 04 14:40:29 2005 => File C:\Programme\HiJackThis\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 14:40:29 2005 => File C:\Programme\HiJackThis\hijackthis2.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Sun Sep 04 15:26:15 2005 => File C:\System Volume Information\_restore{0B2E1A23-6DD5-48F7-8EA9-DDD82F80A8A5}\RP310\A0058869.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Sun Sep 04 15:34:05 2005 => File C:\WINDOWS\adsldpbc.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Sun Sep 04 15:40:22 2005 => File C:\WINDOWS\q10840640_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Sun Sep 04 15:40:54 2005 => File C:\WINDOWS\system32\checkIn.dll infected by "Trojan.Win32.Dialer.ks" Virus! Action Taken: No Action Taken.

und nu für tagged:
Sun Sep 04 12:20:54 2005 => File C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Sun Sep 04 13:23:11 2005 => File C:\Dokumente und Einstellungen\Steffi.BOBBY.000\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Sun Sep 04 15:25:34 2005 => File C:\System Volume Information\_restore{0B2E1A23-6DD5-48F7-8EA9-DDD82F80A8A5}\RP308\A0055516.ocx tagged as "not-a-virus:Porn-Dialer.Win32.Star". Action Taken: No Action Taken.

Sun Sep 04 15:34:23 2005 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virusownloader.Win32.ImLoader.b. No Action Taken.

Sun Sep 04 15:34:23 2005 => File C:\WINDOWS\Downloaded Program Files\popcaploader.dll tagged as not-a-virusownloader.Win32.PopCap.b. No Action Taken.

Wie kann ich jetzt weiter vorgehen? Kann es sein, dass ich nicht nur einen Trojaner bzw. Virus drauf hab? Der zeigt mir hier ja verschiedene Sachen an, soweit ich das verstehe?

Wie bekomm ich diese DLL gelöscht und funktioniert danac mein Windows noch normal?

LG steffi

Alt 04.09.2005, 16:53   #12
Cidre
Administrator, a.D.
 
Brauche Hilfe - Trojaner ist hartnäckig - Standard

Brauche Hilfe - Trojaner ist hartnäckig



@ CesareMontini

Es kann doch wirklich nicht so schwer sein, das man die aktiven Links im HJT Log-File editiert!
Zitat:
DIe Datei C:\WINDOWS\q15854109_disk.dll lässt sich nicht löschen, der Zugriff wird verweigert
Weil diese Datei vermutlich in Benutzung ist. Schalte die Systemwiederherstellung ab und lösche die Dateien manuell mit Hilfe von KillBox oder Total Commander.

Aufschlußreicher wäre für uns auch das Ergebnis der Find.bat (eScan) und wenn du noch die Anleitung zu eScan lesen würdest, dann wäre dies sicherlich hilfreicher für dich.

Zitat:
wie ich die Tif lösche versteh ich auch nicht, ich hab unter Eigenschaft nichts mit temporären Dateien!?
Dann lies nochmal das, was ich geschrieben habe und handle danach.
__________________
Gruß, Cidre


Antwort

Themen zu Brauche Hilfe - Trojaner ist hartnäckig
antivir, antvir, archiv, brauche, brauche hilfe, dateien, eingefangen, gelöscht, guard, hartnäckig, hijack, infizierte, infizierte dateien, infiziertes, mehrere, meldung, neue, neustart, nicht gefunden, nicht mehr, programm, rechner, registry, sache, sachen, sichern, trojaner, trojaner eingefangen, warnmeldung, woche



Ähnliche Themen: Brauche Hilfe - Trojaner ist hartnäckig


  1. BRAUCHE DRINGEND HILFE!!! PerformerSoft.com Virus/Trojaner? Hartnäckig!!!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (6)
  2. Hilfe! GVU/BKA Trojaner eingefangen, ich brauche Hilfe dabei den Mist von meinem Lappi runter zu bekommen!
    Log-Analyse und Auswertung - 27.11.2012 (1)
  3. Trojaner (BKA) versteckt sich hartnäckig
    Log-Analyse und Auswertung - 14.11.2012 (44)
  4. polizei trojaner sehr hartnäckig! bitte um hilfe!
    Log-Analyse und Auswertung - 17.09.2012 (1)
  5. GVU-Trojaner mit Webcam hartnäckig!
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (18)
  6. bka-trojaner hält sich hartnäckig
    Log-Analyse und Auswertung - 11.07.2012 (25)
  7. Trojaner ist hartnäckig...
    Mülltonne - 25.10.2008 (0)
  8. TR Monder 97792.1 / 91136.10 und Vundo.Gen hartnäckig! Bitte Hilfe!
    Log-Analyse und Auswertung - 28.06.2008 (10)
  9. hilfe!! trojaner.w32.looksky brauche hilfe
    Mülltonne - 03.10.2007 (0)
  10. hilfe!! trojaner.w32.looksky brauche hilfe
    Plagegeister aller Art und deren Bekämpfung - 25.07.2007 (7)
  11. Ist der trojaner weg?? Brauche Hilfe!!!
    Log-Analyse und Auswertung - 05.06.2006 (4)
  12. Brauche Hilfe bei Trojaner!!!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2006 (5)
  13. Spyware und Trojaner zu hartnäckig :-(
    Log-Analyse und Auswertung - 07.01.2006 (1)
  14. Brauche Hilfe SOS trojaner, was nun?
    Log-Analyse und Auswertung - 04.01.2006 (2)
  15. TROJANER / brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (9)
  16. trojaner ist hartnäckig
    Log-Analyse und Auswertung - 23.06.2004 (6)
  17. Ein Trojaner ?? Ein Virus ?? Hartnäckig !!!
    Archiv - 15.01.2003 (6)

Zum Thema Brauche Hilfe - Trojaner ist hartnäckig - Hallo ihr! Hab mir irgendwie einen Trojaner eingefangen, ich mein es ist dieder HiJackThis. Mein AntiVir hat schon mehrere Sachen gefunden, unter anderem diese se.dll und gelöscht, da es nicht - Brauche Hilfe - Trojaner ist hartnäckig...
Archiv
Du betrachtest: Brauche Hilfe - Trojaner ist hartnäckig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.