Misch mich kurz ein:
Was ist bitte ein TCMCombo-Set? Ist das was von tchibo?
Bkcln.Unknown kommt aus Tschechien; ist in fast jeder eMail von da.
cacatoa

@cacatoa TCMCombo-Set gehört zu Maus und Tastaturprogrammen. Manche Hersteller geben CDs mit, auf denen solche Programme sind, die dann die "web-funktionen" der tastatur aktivieren (bspw auf www drücken und es öffnet sich der browser)
@bine das sicherheitsrisiko wieder so einen trojaner zu bekommen, geht mehr durch den IE. verwende einen anderen browser wie firefox oder opera und verwende den IE nurnoch für windowsupdates, die du alle 3wochen überprüfen solltest, da man nie weiß ob es ein neues sicherheitsloch gibt.

@ chris
Danke für die Info; aber zu welchen Programmen? Ich möchte es wissen, weil die "mousedrv.exe" ein Hinweis auf den Troj/Crypter-C ist (sophos).
Außerdem hat sie einige Einträge, die überprüft gehören und drei, die gefixt werden sollten.
cacatoa

ich hatte mal die gleiche tastatur deshalb weiß ichs. is zwar ne weile her, aber das war mal so ein paket. das war ein paket rundum mit treiber für maus und für tastatur drin (natürlich auch die beiden dinger selbst drin)
allerdings macht mich etwas stuzig am log..

moment mal!
lass mal die dateien PS2USBKBDDRV.EXE und MOUSEDRV.EXE im ordner C:\PROGRAMME\TCM COMBO SET\ bei http://virusscan.jotti.org/de überprüfen. ich bin mir nun nicht mehr so sicher..
es wäre möglich das wir es wie cacatoa erwähnt hat, wir es mit dem crypter-c zutun haben..

Hallo, ich fürchte das ich auch so ein Problem habe.
Ständig öffnen sich neue Fenster "Only the best search" oder dergleichen.
Wenn ich den IE neu öffne, meldet Antivir Trojaner, z. B. "Deafeat".
Aber mit Antivir, Ad aware, CW Shredder, Spybot und Reg Supreme bekomme ich das Problem einfach nicht in den griff.

Kann jemand helfen?

Mein Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 21:43:19, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Andre\Eigene Dateien\downloads\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dyrjv.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B0368787-BE40-E5AC-3D33-11D0130B1D10} - C:\WINDOWS\crya32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Admanager Controller] c:\program files\admanager controller\admanctl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...bridge-c10.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

neeeeeiiiiiinnnn!!!!!!!
neue threads erstellen hab ich doch gesagt!!!!
@bine nein. dein system ist kompromittiert, das heißt es ist nicht mehr vertrauenswürdig. du musst windows komplett neu installieren und cidres rat wie vorhin gesagt befolgen.

Zitat:

Zitat von Chris14

neeeeeiiiiiinnnn!!!!!!!
neue threads erstellen hab ich doch gesagt!!!!
@bine nein. dein system ist kompromittiert, das heißt es ist nicht mehr vertrauenswürdig. du musst windows komplett neu installieren und cidres rat wie vorhin gesagt befolgen.

OK, Sorry, veruche es in einem neuen.

kann keinen cdplayer.exe finden. mein system ist soweit ich weiß auf "D" installiert, oder ?

achso stimmt ja^^ du musst selbstverständlich auf d: im ordner winnt\system32 gehen. ich bin als windowsinstallationsordner eben immernoch c: gewohnt^^

@ newgucci und @ andreHH:
Bitte macht für eure Probleme ein neues Thema auf! Keiner weiß mehr, wer wen anspricht.
Also: Forum Hijacker/HiJackThisLogfiles posten
und dort
"Thema erstellen" anclicken, o.k.?
cacatoa

wie ich schon schrieb, habe ich wenig ahnung.

deshalb noch mal zur verdeutlichung. mit IE meinst du den internet explorer. d.h. ich soll mir einen anderen browser installieren, über den ich im internet surfe, chatte etc. und da schlägst du firefox oder opera vor.

ich vermute aber, dass der trojaner über musikladen mit auf den pc kam. werde ich die finger in zukunft von lassen.

übrigens habe ich von tchibo eine tastatur und maus. dies zu der anfrage von cacatoa.

bye bine

und nochmal tausend dank für die schnelle und tolle hilfe

@ bine
Danke für die Info.
Ich denke mal, chris wird dich gut weiterführen.
cacatoa

hallo chris, habe beide dateien durch den scan gejagt.

bringt beide male no viruses found bei allen virenprogrammen.

nur bei statistik ist bei einigen scannern unter maleware eine bezeichnung und kein rotes kreuz. brauchst du die im detail?

bine

Mich hat es auch erwischt und mein ganzer Urlaubstag is dabei drauf gegangen. Habe alle scans probiert und bekomme about blank nicht weg.
Wer kannn helfen ?

plz neuer thread @newgucci

ich bin schonmal durcheinander gekommen, weil 3verschiedene leute im gleichen thread gepostet haben.

@bine
ja, ich brauch mehr daten über die malware.

achja cacatoa hat mich auf noch was hingewiesen:
nämlich auf die einträge
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL (file missing)
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
ich nahm an das die datei bereits gelöscht sei, aber HijackThis weiß net was es nun sagen will.
lass diese datei am besten auch gleich bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis und lösche sie im abgesicherten modus anschließend.