Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antivir hat Trojaner erkannt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.12.2004, 16:42   #1
Tom H
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hi,
gestern hat mein Antivir (Version 6) einen Trojaner erkannt. Es erschien folgende Meldung:

"C:\WINDOWS\ADDIH32.EXE

Ist das Trojanische Pferd TR/Dldr.Agent.BQ"

Ich hatte nun folgende Möglichkeiten, mit der Datei umzugehen:

- in Quarantäneverzeichnis verschieben
- löschen
- überschreiben und löschen
- umbenennen
- Zugriff verweigern und Datei belassen
- Zugriff erlauben und Datei belassen

Egal, was ich nun auswähle, die Antivir-Meldung erscheint fast immer wieder, wenn ich eine neue Internetseite besuche. Außerdem wird als Startseite plötzlich "about:blank" angezeigt. Will ich die Startseite wieder ändern (in Google), so zeigt es beim nächsten öffnen des Internet Explorers erneut "about:blank" an, auch in den Internetoptionen. Auch die Antivir-Meldung erscheint erneut. Dazu öffnet sich oft, wenn ich eine neue Internetseite besuche, die damit eigentlich nichts zu tun hat (auch bei diesem Forum), ein Fenster (Bezeichnung "Only the Best"), welches vorher nie erschien, mit einer Werbug für "angebliche" Antivirus-Software ("XOFTSPY" und "ADS Adware Remover") und anderes (iFriends - Registration), die man über einem Direktlink kostenlos downloaden könne bzw. wo man sich direkt anmelden könne. Die Links habe ich natürlich nicht geöffnet, da ich dahinter Viren vermute und ja auch schon Virenschutz habe.
Wie kann ich nun das Problem des ständigen Auftretens der "Werbefenster" und der Antivir-Warnung beheben? Kann mir jemand helfen? Kennt jemand die Trojaner-Bezeichnung bzw. das Problem?

Gruss
Tom

Alt 22.12.2004, 16:44   #2
HerrKautz
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hi,

poste bitte mal ein Log von HijackThis hier her!

http://filepony.de/download-hijackthis/
__________________


Alt 22.12.2004, 16:44   #3
Cidre
Administrator, a.D.
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hallo,

lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus und ein HJT Log-File:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________
__________________

Alt 22.12.2004, 18:18   #4
weicki
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hallo!
Habe genau dasselbe Problem und mal ein Log gespeichert. Wäre toll, wenn ihr mir helfen könntet!!




Logfile of HijackThis v1.99.0
Scan saved at 19:12:57, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Jonas\LOKALE~1\Temp\~AceTemp\hijackthis_199[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {232A78D5-31A4-4CAC-CDA6-16A201F3FDD0} - C:\WINDOWS\ipol32.dll
O2 - BHO: (no name) - {41D1FB4F-5E80-DEB8-E8F9-BB34248E60B0} - C:\WINDOWS\ipol32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1111.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8574D0A-D521-4371-BBF9-99AD1FCE3E94}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\iezj32.exe (file missing)


^
I
I das sagt mir gar nix

Grüße

Alt 22.12.2004, 18:22   #5
*Christian*
Gast
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Im abg. Modus löschen:

C:\WINDOWS\ipol32.dll


Fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {232A78D5-31A4-4CAC-CDA6-16A201F3FDD0} - C:\WINDOWS\ipol32.dll
O2 - BHO: (no name) - {41D1FB4F-5E80-DEB8-E8F9-BB34248E60B0} - C:\WINDOWS\ipol32.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1111.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\iezj32.exe (file missing)


Künftig nur mit sichere Browser surfen: www.firefox-browser.de
Bitte besuche www.windowsupdate.com und installiere dir alle Updates und Patches.


Alt 22.12.2004, 18:24   #6
Cidre
Administrator, a.D.
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



@ weicki

Diese Datei ebenfalls löschen: C:\WINDOWS\system32\lpflg.dll
__________________
--> Antivir hat Trojaner erkannt

Alt 22.12.2004, 18:31   #7
*Christian*
Gast
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Danke, Cidre.

Dies ist mir heute schon das 2.te mal passiert.

Alt 22.12.2004, 18:34   #8
weicki
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hallo!
Vielen, vielen Dank schonmal! Muss ich das auf eine besondere Art löschen oder reicht es einfach mit rechts draufzuklicken und es so zu löschen??

und die datei C:\WINDOWS\system32\lpflg.dll sehe ich nicht!?!

und was ist mit "fixen" gemeint??
sorry, kenne mich damit überhaupt nicht aus

Geändert von weicki (22.12.2004 um 18:38 Uhr) Grund: hab noch was vergessen

Alt 22.12.2004, 18:40   #9
Cidre
Administrator, a.D.
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



@ *Christian*
Gern geschehen.

@ weicki

So wie du beschrieben hast löschen.
btw:
Wenn du bestimmte Dateien nicht sehen kannst, dann führe dies aus:
Windows Explorer (Win Taste + E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)", und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Fixen:
HiJackThis nochmals starten -> Scan klicken -> vor den genannten Einträgen einen Haken setzen und auf Fix Checked klicken.

Wenn sich einige O15 Einträge nicht löschen lassen, dann:
http://www.trojaner-board.de/showpos...6&postcount=31
__________________
Gruß, Cidre


Alt 22.12.2004, 21:17   #10
weicki
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Schon mal vielen, vielen Dank, AntiVir zeigt den Trojaner nicht mehr an. Aber unter Software sind immernoch die Programme "Search Extender", "Search Bar", "Home search assistent", "shopping wizard", die sich nicht entfernen lassen. Könnt ihr mir sagen, wie ich die löschen kann??

grüße

Alt 22.12.2004, 21:44   #11
Cidre
Administrator, a.D.
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Vermutlich wurden die Programme unsauber deinstalliert.
Start -> Ausführen -> regedit -> OK -> navigiere zu diesem Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall" -> lösche die Unterschlüssel die auf diese Einträge "Search Extender", "Search Bar", "Home search assistent", "shopping wizard" verwaisen.
__________________
Gruß, Cidre


Alt 23.12.2004, 16:49   #12
Tom H
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Hi,
da ich nicht weiß, ob bei mir das gleiche, wie bei weicki zu tun ist, poste ich hier trotzdem mein HJT Logfile und die Ergebnisse von eScan.

eScan:

Thu Dec 23 16:24:39 2004 => File C:\Dokumente und Einstellungen\Anke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UT0RUX25\go[1].hta infected by "TrojanDropper.VBS.Inor.a" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:31:48 2004 => File C:\Programme\AntiVir\INFECTED\MKLIR.DLL.VIR infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:35:55 2004 => File C:\Programme\HijackThis\backup-20041103-175958-355.dll tagged as not-a-virus:RiskWare.Dialer.UDIS.b. No Action Taken.

Thu Dec 23 16:14:41 2004 => File C:\Dokumente und Einstellungen\Anke\Desktop\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

HJT:

Logfile of HijackThis v1.98.2
Scan saved at 14:29:21, on 23.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9005B7E4-713A-68F7-DA3A-3B9C0B2AC5EB} - C:\WINDOWS\system32\winwt32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174

Da scheinbar bei den Temporary Internet Files der Trojaner ist, habe ich bei den Internetoptionen im Internetexplorer die Temporären Dateien gelöscht. Das hat aber nichts gebracht.

Gruss
Tom

Alt 23.12.2004, 17:10   #13
*Christian*
Gast
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Nochmal, dies gibts doch net.

Wurde die Datei von eScan nicht angemeckert?
Sende mal die Datei C:\WINDOWS\system32\winwt32.dll an partytime-germany.ice@web.de

Dann gehe wie folgt vor:

Lösche dies im abg. Modus:

C:\WINDOWS\system32\winwt32.dll
C:\WINDOWS\system32\qwwns.dll


Leere den AntiVir-Quarantäne-Ordner. Außerdem leere deinen Temp-Internet-Files-Ordner im abg. Modus.

Dann fixe mit HijackThis dies (von den genannten Einträgen ein Häckchen setzen und dann auf FIX CHECKED klicken - dies alles im Programm von HijackThis):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9005B7E4-713A-68F7-DA3A-3B9C0B2AC5EB} - C:\WINDOWS\system32\winwt32.dll


So, jetzt müsste zumindest der Hijacker weg sein.

Geändert von *Christian* (23.12.2004 um 18:39 Uhr)

Alt 23.12.2004, 17:44   #14
Cidre
Administrator, a.D.
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



@ TomH

Diesen Eintrag ebenfalls fixen:
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

Auch diese Dateien sollten entfernt werden:
C:\WINDOWS\system32\qwwns.dll
Ordner C:\Programme\WildTangent

btw:
Diese Datei C:\WINDOWS\system32\lpflg.dll wirst du nicht finden, da sie aus dem Log-File von weicki stammt.

Poste danach nochmal ein HJT Log-File aber mit der neuen Version 1.99.
__________________
Gruß, Cidre


Alt 23.12.2004, 18:40   #15
*Christian*
Gast
 
Antivir hat Trojaner erkannt - Standard

Antivir hat Trojaner erkannt



Zitat:
Zitat von Cidre

btw:
Diese Datei C:\WINDOWS\system32\lpflg.dll wirst du nicht finden, da sie aus dem Log-File von weicki stammt.
Sehr aufmerksam ... habs editiert ... vielleicht sollte ich doch den Baum schmücken gehen ...

Antwort

Themen zu Antivir hat Trojaner erkannt
adware, als startseite, anmelden, antivir, bla, datei, explorers, folge, forum, google, immer wieder, internetseite, kostenlos, link, links, neue, problem, quara, remover, schutz, seite, startseite, trojaner, trojanische pferd, viren, virenschutz, werbefenster, windows, ändern, öffnet



Ähnliche Themen: Antivir hat Trojaner erkannt


  1. Trojaner BDS/ZeroAccess.Gen in Datei C:\Recycle.Bin\... von Avira Antivir erkannt und kommt immer wieder
    Log-Analyse und Auswertung - 01.06.2013 (21)
  2. JS.Expack.AH von Antivir erkannt. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2012 (13)
  3. Piepston, als ob AntiVir Virus erkannt hätte
    Log-Analyse und Auswertung - 15.09.2011 (3)
  4. win32killAV-ahy von avast-antivir erkannt - was nun?
    Log-Analyse und Auswertung - 24.05.2011 (16)
  5. Malware von Antivir erkannt
    Plagegeister aller Art und deren Bekämpfung - 27.12.2010 (4)
  6. AntiVir hat Sinowal Gen erkannt. Und nun?
    Log-Analyse und Auswertung - 14.12.2009 (1)
  7. TR.Redol.C - hjgruirgixgvc.ddl wird laufend von antivir erkannt
    Plagegeister aller Art und deren Bekämpfung - 22.07.2009 (14)
  8. AntiVir hat TR/Crypt.ZPACK.Gen bei mir erkannt
    Log-Analyse und Auswertung - 30.04.2009 (4)
  9. TR/Hijack.AG.2 erkannt, Antivir kann nicht löschen
    Mülltonne - 12.11.2008 (0)
  10. Trojaner "DR/Zlob.Gen" erkannt von AntiVir !
    Mülltonne - 12.11.2008 (1)
  11. TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.
    Plagegeister aller Art und deren Bekämpfung - 12.11.2008 (1)
  12. TR/Crypt.XPACK.Gen wurde von AntiVir erkannt - HILFE!
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (1)
  13. Trojaner mit AntiVir erkannt
    Mülltonne - 01.11.2008 (0)
  14. TR/Agent.71680.19 : Trojaner erkannt von AntiVir
    Log-Analyse und Auswertung - 28.01.2008 (1)
  15. Unbekannter Virus der von AntiVir nicht erkannt wird
    Plagegeister aller Art und deren Bekämpfung - 25.05.2006 (31)
  16. Trojaner mit antivir erkannt was nun????
    Plagegeister aller Art und deren Bekämpfung - 02.01.2006 (2)
  17. Trojaner TR/Dldr.IstBar.A wurde von Antivir in Opera als OPR000NK.JS erkannt
    Log-Analyse und Auswertung - 08.01.2005 (1)

Zum Thema Antivir hat Trojaner erkannt - Hi, gestern hat mein Antivir (Version 6) einen Trojaner erkannt. Es erschien folgende Meldung: "C:\WINDOWS\ADDIH32.EXE Ist das Trojanische Pferd TR/Dldr.Agent.BQ" Ich hatte nun folgende Möglichkeiten, mit der Datei umzugehen: - - Antivir hat Trojaner erkannt...
Archiv
Du betrachtest: Antivir hat Trojaner erkannt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.