Mir ist klar das zum selben Trojaner schon ein Thread offen war aber ich bin mir sicher das das problem wo anders liegt.....irgendwie ?!
Zumindest hab ich mit überhauptkeinen nebenwirkungen zu kämpfen !! Bekomme aber im Minutentakt eine nette Viruswarnung von AntiVir (auf dem neusten Stand) ! DIe datei ATpartners.dll ist der Trojaner TR/Small.GS.2 !! Blöd...... Archiv file. unlöschbar ???

hier mal die HijackThis log:

Logfile of HijackThis v1.97.7
Scan saved at 11:14:07, on 23.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\AVPersonal\AVGNT.EXE
C:\Programme\Wsr\WinsysRsr.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\wt\wcmdmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\dokume~1\dreadn~1\anwend~1\webcheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\AVPersonal\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Omniquad\Omniquad Personal Firewall\OPFSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\sysupd.exe
C:\PROGRA~1\FLASHGET\flashget.exe
C:\Dokumente und Einstellungen\Dreadnught\Desktop\Incomming Files\hjt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\siae3123.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2328
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2328
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpyStopper] C:\Programme\SpyStopper\spystopper.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Win32 Classes -
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FF36DE5-2369-47AD-912A-8809ECED88AE}: NameServer = 217.237.151.97 194.25.2.129

ja hab genau das gleiche problem
auch bis jetzt keine nebenwirkungen oder sonstigen blödsinn nur im minutentakt die viruswarnung

gibts denn keine einfache möglichkeit das zu beheben?

hab gerade beim durchsehen der erklärung von den Log files was bemerkt !!
Die diese Zeile:

O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL

trägt den gleichen Namen wie die Trojaner file !!! fixen ????????

!?!?!

Hallo 'DieIdeeistGut' und Willkommen,

hast Du schon die hier im Board merhfach beschriebenen Tools Ad-aware, Spybot Search&Destroy und den CWShredder (im abgesicherten Modus Deines Rechners) ausgeführt?

Das Log zeigt noch weitere 'suspekte' Einträge...
Also lass mal die genannten Tools Dein System überprüfen und poste danach ein aktuelles HijackThis-Log.

@DieIdeeistGut
Mich wundert es kein bisschen, dass hier soviele Malwaresammlungen auf dem PC habt, wenn ihr kein www.windowsupdate.com macht.

Wow, die behandlung durch ad-aware und Cwshredder
hat zwar sage und schreibe 132 Malware und Dataminer zu Tage gefördert und eliminiert....für den Tipp schon mal danke

Aber die Viruswarnung bin leider immer noch nicht los.

poste gleich noch ne aktuelle HijackThis log !

Ok mich wundert gar nichts mehr.......
nachdem ich jetz den ganzen Salat auch noch durch spybot S&D gejagt habe hab ich ungefär noch ma soviel gefunden.....hätte ich nie gedacht sogar ein 0190 Dailer der aber bisheute nicht connecten konnte oder zumindest keinen schaden angerichtet hat....irgendwie sonst hätte ihn YAW bestimmt beim connecten erwischt !! (an der rechnung merk ich auch nix) Glück gehabt..........naja also insgesammt so knapp 200 "böse" Sachen draufgehabt......der Trojaner is aber immer noch da hier die HijackThis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 15:14:59, on 23.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\AVPersonal\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Omniquad\Omniquad Personal Firewall\OPFSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\AVPersonal\AVGNT.EXE
C:\Programme\Wsr\WinsysRsr.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sysupd.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\dokume~1\dreadn~1\anwend~1\webcheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dreadnught\Desktop\Incomming Files\Sicherheit\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpyStopper] C:\Programme\SpyStopper\spystopper.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...130.2145717593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FF36DE5-2369-47AD-912A-8809ECED88AE}: NameServer = 217.237.151.97 194.25.2.129


hmm ich denk mal auf jeden weniger schrott als anfangs !

Hi,

folgendes musst Du noch fixen und die entsprechenden Dateien -sofern vorhanden- löschen:

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
</font>[/QUOTE]Die Aufrufe unter O4 kannst Du hier auch mal selbst überprüfen: http://www.sysinfo.org/startuplist.php
Must nur etwas Geduld mitbringen, da die Seite oft überlastet ist! Ggf. öfter auf aktualisieren klicken!

Zu dem Trojaner-Problem:
Wo genau findet AntiVir den Trojaner? Also mach bitte mal eine genaue Pfadangabe. Evtl. reicht es schon, wenn Du mal die temporären Dateien des InternetExplorers löscht.

Und beachte bitte den Hinweis von *Christian* mit dem WindowsUpdate!

weitere malware:


</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe </font>[/QUOTE]kann auch raus :


</font><blockquote>Zitat:</font><hr /> O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab </font>[/QUOTE]

So....es ist vollbracht !! Zumindest was malware und weiteres angeht.

lies sich nicht fixen/löschen:

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe


ist übrigens die Dailer Datei !! Nennt sich TSCash (noch kein bekannter schaden) lies sich auch von spybot nicht entfernen !


Genaue Pfadangabe für Small.GS.2 ist:

C:\Windows\System32\ATPARTNERS.DLL

Archiv datei nicht löschbar !! Hmmm

Pc soweit ganz clean bis auf diese zwei geschichten !!!

Insofern schon mal thx an euch und die schnellen antworten !!! Windows Update ist am downloaden !

Funktioniert das Löschen auch nicht im abgesicherten Modus?

DieDatei ließ sich prima im abgesicherten Modus löschen !!! Dailer somit auch weg......bleibt nur noch das trojaner problem....bis ketzt noch keine Virusmeldung von Antivir...... mal sehn


thx so far tolles team !!!!
Gute Seite !!!!!
[img]graemlins/huepp.gif[/img]

halli hallo,

oh man mich plagt seit vorgestern abend der gleiche trojaner, hatte Ad Aware 6, Stinger und Antivir guard, aber kein Programm kann es löschen... kann mir da jemand (ich bin weiblich- also ich hab net so viel ahnung von computern)vielleicht weiterhelfen? Bitte Bitte Bitte Bitte Bitte Bitte Bitte Bitte Bitte!!!


Liebe Grüße
Sportyangelari

Hallo Sportyangelari!

Poste doch mal ein HijackThis-Logfile.

Hi Sportyangelari,

bitte arbeite doch mal die o.g. Tips/Fragen ab:
- Scan mit SPYBOT & Cwshredder
- wo wird er genau gefunden ?
- Welches Win hast du ? Alle Windowsupdates ?
- Hijackthis-Log hier reinstellen: Anleitung hier oben rechts unter "News/Schlagzeilen"..
- Obige Forensuche verwendet ?