Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Naiv - Trojaner und Viren

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.02.2005, 14:18   #1
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



War vielleicht bisher ein bißchen naiv mit Trojanern…habe immer Antivir und z.T. auch ZoneAlarm aktiv gehabt, aber es ist doch passiert…
Auf meinem Rechner befanden sich gleich mehrere Trojaner. Mit verschiedenen Programmen (XoftSpy, SpyBot, Ad-Aware, Microsoft AntiSpyware, SpyBouncer, Escan) habe ich das System schon einigermaßen gecleant. Es bleiben aber immer noch einige Bösewichter. Interessanterweise immer andere, je nachdem welche Such-Software man benutzt. Also:

SpyBot findet im Registry:
1. n-case bei HKEY_USERS\S-1-5-18\Software\sais und bei HKEY_USERS\DEFAULT\Software\sais
2. Dyfuca bei HKEY_USERS\S-1-5-18\Software\Policies\Avenue Media und bei HKEY_USERS\DEFAULT\Software\Policies\Avenue Media
3. Außerdem verfolgen mich hartnäckig folgende Cookies: atdmt.com von Avenue Inc. und Mediaplex. Spybot beseitigt die immer brav, sie kommen aber genauso gerne immer wieder.

1.+2. kann SpyBot gar nicht beseitigen und rät mir zum Reboot, die Einträge tauchen aber immer wieder auf. Habe auch schon versucht, einige Anleitungen zur Entfernung von n-case und dyfuca im Internet zu finden. Die funktionieren aber alle nicht, da die dort angegebenen Einträge bei mir gar nicht vorhanden sind. Kann ich die einfach gefahrlos im REGEDIT löschen??

XOFTSPY findet ShopAtHome File in D:\winxp\system32\vp.dat

Ich hatte schon zuvor alle SAH-Dateien z.T. manuell gelöscht. Es scheint da auf den ersten Blick nix Schlimmes zu passieren, aber die Warnung von XOFTSPY kommt immer wieder. Kann ich vp.dat einfach löschen, soll ich alles so lassen, oder was??

Escan findet 2 Viren:
1. D:\winxp\system32win32.exe infected by Trojan.Dropper.Win32.WinAD.c
2. D:\winxp\system32\du.exe infected by “not-a-virus:AdWare.Dealhelper.w

(Anm.: Windows XP ist bei mir in „WINXP“, nicht „WINDOWS” installiert).

Habe nur die Escan-Suchfunktion ausgeführt, für´s Löschen müsste ich EScan kaufen. Krieg ich die Fieslinge weg, ohne mir EScan kaufen zu müssen? Mein Antivir schafft´s offenbar nicht, oder mach ich was falsch? (habe die aktuellste Version)

Die Microsoft-Antispyware findet interessanterweise nix mehr, Ad-Aware auch nicht mehr…Allerdings läuft das Internet z.Zt. auch (noch!) OK.

Beim Antivir-Scan werden immer wieder Dateien angezeigt und deleted (kommen aber immer wieder), die die Signatur von sdbot.80820 und RBot.81852 enthalten.

Kann mir jemand helfen? Warum können einen diese idiotischen Hacker eigentlich nicht einfach in Ruhe im Internet surfen lassen???

Alt 07.02.2005, 14:46   #2
Rene-gad
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



@cste
Zitat:
Beim Antivir-Scan werden immer wieder Dateien angezeigt und deleted (kommen aber immer wieder), die die Signatur von sdbot.80820 und RBot.81852 enthalten.
Zitat:
Warum können einen diese idiotischen Hacker eigentlich nicht einfach in Ruhe im Internet surfen lassen???
Könnte sein, die Ursache ist oben geschrieben.
Bei Trojaner mit Backdoor-Funktion bleibt nur: http://www.trojaner-board.com/showthread.php?t=12154
__________________


Alt 07.02.2005, 15:02   #3
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



Wirklich keine andere Möglichkeit???



Zitat:
Zitat von Rene-gad
@cste


Könnte sein, die Ursache ist oben geschrieben.
Bei Trojaner mit Backdoor-Funktion bleibt nur: http://www.trojaner-board.com/showthread.php?t=12154
__________________

Alt 09.02.2005, 17:11   #4
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



Hmm.... habe doch einmal alle möglichen Scans versucht und einige Einträge im REGEDIT gelöscht. Jetzt ist das System FAST sauber (auch ohne Neuformatierung der Festplatte - "danke" für den Tipp an Rene-GAD, so schlau bin ich dann auch noch). Es bleibt jetzt nur noch Folgendes:

1.XOftspy findet immer noch die ShopAtHomeFile in der Datei D:\winxp\sytem32\vp.dat; das Programm verspricht Beseitigung, wenn ich XOftspy kaufe. Es finden sich weder bei Suchen auf der Platte noch mit REGEDIT irgendwelche SAH-Dateien mehr, nachdem ich die z.T. mit Virenscanner, z.T. manuell entfernt habe. Kann ich diesen Rest beseitigen, ohne XOftspy kaufen zu müssen? Oder kann ich vp.dat einfach löschen?

2. Escan bzw. Kaspersky zeigt mir immer noch die Meldung "D:\winxp\system32\dun.exe infected by not-a-virus:AdWare.DealHelper.w". Auch hier müßte ich Escan kaufen, um es zu beseitigen. Geht das auch anders?

3. Ad-Aware und Spybot finden nach Reboot immer mehrere "verfolgende Cookies" (z.b. DoubleClick, Mediaplex), die als gering gefährdend eingestuft werden. Beide Programme entfernen diese brav, sie tauchen aber nach Re-Boot immer wieder auf. Ich nehme an, daß der DealHelper (s.o.) mir diese Cookies einbrockt? Oder wie kann ich die sonst los werden??

AntiVir findet nix mehr, Dyfuca, TrojanDropperWin32.WinAD.c und n-case sind auch erfolgreich eliminiert.

Kann mir jemand helfen???

Danke!! cste

Alt 09.02.2005, 18:57   #5
chaosman
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



@cste
wenn du dieses forum mal durchgelesen hättest, dann würdest du wissen, dass wir meistens nach HJT logfile oder escan ergebnisse fragen.
poste bitte ein HJT logfile,
und die escan ergebnisse
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

dann können wir dir helfen
chaosman

__________________
Bonus vir semper tiro

Alt 09.02.2005, 22:06   #6
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



OK, ich bin wirklich GANZ neu hier! Bitte also hier um etwas Nachsciht. Also:

Ergebnis von EScan:
File D:\WINXP\system32\dun.exe infected by "not-a-virus:AdWare.DealHelper.w" Virus.

HJT-Log:

Logfile of HijackThis v1.99.0
Scan saved at 21:28:30, on 09.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\WINXP\Explorer.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINXP\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\DOKUME~1\cste\LOKALE~1\Temp\400000108000a722430022\hs.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINXP\system32\ZoneLabs\vsmon.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/Default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HistorySweep] "D:\PROGRA~1\HISTOR~1\HistorySweep.exe" /autostart
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106961564723
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HistorySweepService - Unknown - D:\Programme\HistorySweep\HSSvc.exe
O23 - Service: KLBLMain - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINXP\system32\ZoneLabs\vsmon.exe

So, das wär´s. Kann man den Dealhelper da wegbekommen?? Ist sonst noch was faul?

Vielen Dank für die Hilfe!!

CSTE

Alt 09.02.2005, 22:08   #7
Chris14
 

Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



jep. lösche die datei einfach im abgesicherten modus.

Alt 10.02.2005, 00:48   #8
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



Also erst einmal vielen Dank!!! Ich habe jetzt nach fast 3 Tagen am PC den ganzen Sch... weggeräumt, den mir diese Hacker-Idioten auf meinen PC gezaubert hatten. Nach Löschen von dun.exe (offenbar das Uninstall-Programm von Dealhelper) findet E-scan jetzt nix mehr und Windows startet einwandfrei. Auch Antivir und Spybot erklären mich für virenfrei! Aber ich habe in meinen verzweifelten Versuchen, diese Trojaner loszuwerden, auch andere Antiviren-Programme über meinen PC laufen lassen und XOftSpy findet immer noch die ShopAtHome File in der Datei d:\winxp\system32\vp.dat. Das Dateichen ist 4 KB groß und wenn man mit Rechts-Mausklick unter "Eigenschaften" schaut, hat es keine Microsoft-Signatur. Kann man das auch einfach so löschen??


Nochmals vielen Dank für die Hilfe! Macht Spaß, wieder an einem halbwegs "sauberen" PC zu arbeiten!

cste

Alt 10.02.2005, 14:25   #9
cste
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



Kurze Ergänzung. Habe auf der Homepage von Pestpatrol

www.pestpatrol.com/pest_info/de/s/sahagent.asp

eine Anleitung zur Entfernung vom sahagent gefunden (die deutsche Übersetzung ist übrigens lesenswert ). War bei mir alles schon weg durch die vorherigen Antiviren-Scanner. Aber da stand auch, daß man den vp.dat löschen soll. Hab´s gemacht. Jetzt ist wirklich ALLES desinfiziert. Alle Virenscanner schweigen...

JUHU!!!

Gruß, cste

(Hoffe, daß ich Euch nicht zu oft wieder bemühen muß, obwohl ich in den letzten Tagen einiges über´s Internet gelernt habe - und meine Naivität verloren!)

Alt 10.02.2005, 16:26   #10
Gigamail
 
Naiv - Trojaner und Viren - Standard

Naiv - Trojaner und Viren



Zitat:
(Hoffe, daß ich Euch nicht zu oft wieder bemühen muß, obwohl ich in den letzten Tagen einiges über´s Internet gelernt habe - und meine Naivität verloren!)
hoffentlich bist Du auch mit einem sicheren Browser unterwegs siehe dazu hier
sonst bist Du bald wieder hier

__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu Naiv - Trojaner und Viren
.com, .exe, ad-aware, aktiv, antispyware, antivir, escan, falsch, file, helfen, home, immer wieder da, infected, internet, löschen, löschen?, mehrere, microsoft, nicht vorhanden, programme, regedit, registry, s-1-5-18, surfen, system, system32, trojaner, träge, viren, warnung, warum, windows, windows xp, winxp



Ähnliche Themen: Naiv - Trojaner und Viren


  1. Wie überprüft man die externe (Sicherungs)Festplatte auf Trojaner / Viren, wenn zuvor der PC einen Trojaner hatte?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2015 (9)
  2. Acer Windows 7-Rechner * Befall von Viren und Trojanern? * Antivir Rescue CD beseitigt Viren/Trojanernicht
    Plagegeister aller Art und deren Bekämpfung - 14.12.2014 (15)
  3. Jeder Viren chutz erkennt bei normalen Programmen über 300 Viren auf meinem PC
    Log-Analyse und Auswertung - 01.08.2013 (9)
  4. Jeder Viren Schutz erkennt bei normalen Programmen über 300 Viren auf meinem PC
    Mülltonne - 31.07.2013 (1)
  5. These: Avira installiert eigene Viren bzw. parallel AV-Programme, die Viren enthalten ...
    Antiviren-, Firewall- und andere Schutzprogramme - 13.05.2013 (7)
  6. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  7. CPU Auslastung bei 100 % / Spiele ruckeln/ Viren und Trojaner gefunden ( Trojaner TR/Ramson.EJ.18..)
    Log-Analyse und Auswertung - 09.02.2012 (28)
  8. Trojaner bzw.Viren
    Log-Analyse und Auswertung - 06.06.2011 (1)
  9. Viren und Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (5)
  10. e.exe und msc.exe Viren/Trojaner auf dem PC
    Log-Analyse und Auswertung - 11.01.2010 (11)
  11. Viren/trojaner
    Log-Analyse und Auswertung - 16.01.2009 (18)
  12. POPUPS und VERSCHIEDENE VIREN VIREN UND TROJANER !
    Mülltonne - 10.10.2008 (0)
  13. Viren und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.05.2007 (28)
  14. War eine ganze Weile fei von Viren aber jetzt habe ich Viren Bursters !!!
    Log-Analyse und Auswertung - 17.12.2006 (1)
  15. kaspersky findet angeblich viren ind java dateien - sind es wirklich viren ?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)
  16. Viren Trojaner etc.
    Log-Analyse und Auswertung - 20.09.2004 (1)
  17. viren - trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 02.08.2003 (4)

Zum Thema Naiv - Trojaner und Viren - War vielleicht bisher ein bißchen naiv mit Trojanern…habe immer Antivir und z.T. auch ZoneAlarm aktiv gehabt, aber es ist doch passiert… Auf meinem Rechner befanden sich gleich mehrere Trojaner. Mit - Naiv - Trojaner und Viren...
Archiv
Du betrachtest: Naiv - Trojaner und Viren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.