Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: harnig

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.05.2004, 18:52   #1
Laser
 
harnig - Beitrag

harnig



Hallo, Ich habe das Problem, daß bei mir immer wieder die Meldung kommt, daß ich den Trojan Harnig.P habe und AVG laufen lassen soll.
AVG findet den auch, kann ihn aber nicht entfernen.
Antivir, Bitdefender und TrendMicro finden nichts.
Wenn ich nach harnig.p googele, finde ich auch kein removal tool. Auch hier im Forum hab ich nix gefunden. Vielleicht bin ich auch zu blöd.
Seltsam ist noch, daß ich diese Warnung immer nur bekomme, wenn ein AntiVirenProg läuft?? Egal welches und es heißt immer, ich soll AVG laufen lassen.
Falls einer eine Lösung hat (glaube doch, dieses Forum ist mir wärmstens empfohlen worden), bitte step by step erklären, da ich nicht so der Fachmann bin.

Besten Dank JoE

Alt 24.05.2004, 19:25   #2
Shadoweye
 
harnig - Beitrag

harnig



Hallo Laser,

hast Du mal es unter
http://de.trendmicro-europe.com/ente...usecall_it.php

probiert??

So long

Dat Schatterl [img]graemlins/teufel3.gif[/img]
__________________

__________________

Alt 26.05.2004, 22:42   #3
Laser
 
harnig - Beitrag

harnig



Auch schon probiert, auch bei diesem Test meldet AVG(!) "harnig gefunden".
Das ist das was ich wirklich seltsam finde. Immer wenn ein x-beliebiges Virenprog sucht, meldet AVG!

JoE
__________________

Alt 27.05.2004, 07:39   #4
mav1976
 
harnig - Beitrag

harnig



komisch, bei mir spuckt google eine menge aus zum troj.harnig auch als startpagehijacker bekannt bei mcaffee.

http://www.viruslist.com/eng/viruslist.html?id=754904 <--- kaspersky spuckt dies aus.
http://www.viruslibrary.com/virusinf...n32.Harnig.htm <--- viruslibrary


hier die trefferliste von trendmicro: http://de.trendmicro-europe.com/enterprise/security_info/ve_search_result.php?hidChoice=1&VName=harnig&General=Schnellsuche&ddmVPayload=&ddmVType=&radVDayCritSel=1&ddmVWkday=&ddmVM onth=&ddmVDay=&ddmVYear=

__________________
Gruß mav

Alt 29.05.2004, 11:29   #5
rock
 
harnig - Beitrag

harnig



HARNIG = Also known as:
StartPage-BT (McAfee),
Trojan.Win32.Harnig.b (Kaspersky),
Win32/Harnig.B.Trojan, HTML/Harnig.B.Trojan, Win32/Harnig.G (Eset)


Alt 05.06.2004, 18:34   #6
Laser
 
harnig - Beitrag

harnig



Erstmal danke!

Ich meinte, speziell zu harnig.p finde ich nichts.
Übrigens wird auch dropper.inor von AVG gefunden, aber sowohl das wie auch harnig kann ich nicht entfernen.

Hab jetzt auch mal hijachthis laufen lassen. das ist rausgekommen:

Logfile of HijackThis v1.97.7
Scan saved at 19:27:17, on 05.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.000\System32\smss.exe
C:\WINDOWS.000\system32\csrss.exe
C:\WINDOWS.000\system32\winlogon.exe
C:\WINDOWS.000\system32\services.exe
C:\WINDOWS.000\system32\lsass.exe
C:\WINDOWS.000\system32\svchost.exe
C:\WINDOWS.000\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.000\System32\svchost.exe
C:\WINDOWS.000\System32\svchost.exe
C:\WINDOWS.000\system32\spoolsv.exe
C:\WINDOWS.000\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.000\System32\DVDRAMSV.exe
C:\WINDOWS.000\System32\nvsvc32.exe
C:\WINDOWS.000\System32\svchost.exe
C:\WINDOWS.000\System32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS.000\Explorer.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS.000\SYSTEM32\Mounter.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe
C:\WINDOWS.000\System32\RUNDLL32.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS.000\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Grisoft\AVG6\avgw.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS.000\SYSTEM32\RAMASST.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS.000\System32\rundll32.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Jap\jap.exe
C:\WINDOWS.000\wjview.exe
C:\Programme\Kazaa Lite\kazaalite.kpp
C:\Programme\Kazaa Lite\speed up.exe
C:\Dokumente und Einstellungen\JoE\Eigene Dateien\Antiviren\hjt.exe
C:\WINDOWS.000\System32\rundll32.exe
C:\Dokumente und Einstellungen\JoE\Eigene Dateien\Antiviren\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.capriv8.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.000\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS.000\SYSTEM32\Mounter.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS.000\FONTS\msoffice.hta
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.000\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.000\System32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: AVG 6.0 for Windows.lnk = C:\Programme\Grisoft\AVG6\avgw.exe
O4 - Global Startup: Sygate Personal Firewall.lnk = ?
O4 - Global Startup: AntiVir.lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS.000\SYSTEM32\RAMASST.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...747.3819791667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup144.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE80388-FD1E-4EFC-B431-9CDDA01E3533}: NameServer = 217.237.150.141 194.25.2.129

Muß ich da was fixen? Oder wie krieg ich die Mistviecher los?

Besten Dank

JoE

Alt 06.06.2004, 12:42   #7
mav1976
 
harnig - Beitrag

harnig



2 monitore (wächter) gleichzeitig laufen lassen, ist keine so gute idee.

bitte einen wächter deaktivieren. kommt die meldung dann immernoch? wenn ja, dann bitte auch x den genauen pfad zur virulenten datei angeben.

bitte auch mal deinen autostart aufräumen. einiges kannst du per hand manuell nachstarten, dies muß nicht unbedingt automatisch geschehen.

auch bitte dein system updaten. dir fehlt immerhin das sp1.

was ist das für ein plugin?

</font><blockquote>Zitat:</font><hr /> O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup144.cab </font>[/QUOTE]diesen pfad bitte mal kontrollieren. die original "systray.exe" sollte sich bei deinem system in c:\windows\system32" befinden. befindet sie sich woanders kann dies der virus "aladinz", ein irc-backdoor, sein. hier mehr infos: http://securityresponse.symantec.com...alinstructions

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [SystemTray] SysTray.Exe </font>[/QUOTE]
__________________
Gruß mav

Alt 06.06.2004, 13:36   #8
Laser
 
harnig - Beitrag

harnig



Okay, habe antivir, den bitdefender und zonealarm geschlossen. Es lief also noch spf und avg. Avg hab ich laufen lassen, wieder dropper und harnig.p.
abacast ist für das webradio, damit ich Country hören kann
Im autostart bin ich mir halt nicht sicher, ob die ganzen AV und firewall progs auch laufen, wenn ich sie nicht extra starte. Versuche halt vorsichtig zu sein. Wobei ich ramasst nicht dorthin getan habe. Hat es anscheinend selber gemacht. Ist anscheinend vom Brennprogramm.
Zum updaten warte ich lieber bis zum sp2, Ihr wißt sicher warum
Die systray.exe ist nicht in c:\windows\system32, sondern in c:\windows\system als Anwendung mit 36kb. Außerdem noch in c:\windows.000\system32 als Anwendung mit 3kb, in c:\windows\options\cabs\win_17.cab als Anwendung mit 36 kb und dann ist da noch systray.exe-2e400588.pf als pf-Datei mit 13 kb. Keine Ahnung, was das heißen soll.

Hilfe, ich will doch nur surfen!

JoE

Alt 06.06.2004, 14:33   #9
mav1976
 
harnig - Beitrag

harnig



bitte den prozess "systray.exe" via HijackThis fixen lassen! die echse bitte löschen, aber nur die 36kb große in c:\windows\system
die originale ist 3kb groß.

wieviele windowsordner hast du eigentlich? mich stört der eintrag .000 nach windows.
__________________
Gruß mav

Alt 07.06.2004, 08:26   #10
Skull
 
harnig - Beitrag

harnig



Hallo ihr da.
He ich weiss ja nicht was du unter schliessen meinst, aber alle 2 Virenscanner sind echtzeitbasiert.
Das bedeutet das sie auch aktiv sind wenn du sie schließt.Die laufen also im Hintergrund mit ohne das du es merkst.
Und 2 Hintergrundwächter bekommen sich in die Haare. [img]graemlins/kloppen.gif[/img] .
Am besten 1 davon als Hintergrundwächter unter den Einstellungen(sofern es geht) deaktivieren.
Zonealarm würde ich aber lassen.

Wenn du es schon wusstest und das auch so gemacht hast dann sorry.
Dann habe ich nix gesagt.
__________________
Ich fange alles ein. Besonders Viren

Alt 07.06.2004, 19:02   #11
Laser
 
harnig - Beitrag

harnig



Puh, wußte ich nicht. Hab antivir gleich deinstalliert. Die exe ist gelöscht, aber in c:\windows\options... kann ich sie offensichtlich nicht löschen (?)
Ich hab ab Werk schon immer windows und windows.000. War so ein fertiger PC mit ME ursprünglich.
Ergebnis? dropper.inor und trojan horse harnig.p [img]graemlins/heulen.gif[/img]
Als Meldung von AVG kommt zuerst, healing nicht möglich. Dann klicke ich auf move to virus fault.
Danach kommt c:\Dokumente und Eistellungen\JoE\Lokale Einstellungen\Temporary Internet files\Content.IE5\WRVZ6SLP\load[1].exe bzw. ...cont.IE5\QXLIF6D8\data1[1].hta kann nicht gelöscht werden.
Was mich da noch wundert ist das IE5, da ich den IExplorer 6 drauf hab.

Ich glaub, ich geb bald auf. Solange das Kroppzeug nix kaputt haut...

JoE

Alt 07.06.2004, 21:21   #12
paff
 
harnig - Beitrag

harnig



@laser

Lösch mal deine TempInternetfiles

IM Internet Explorer
Menue Extras/Internetoptionen/Dateien löschen

Dann sind die 2 Dateien gelöscht

Gruß paff
__________________
Reverse Engineering Malware

Alt 08.06.2004, 02:26   #13
Skull
 
harnig - Beitrag

harnig



Also für solche sachen habe ich "HDCleaner".
Den gibt es bei www.Winload.de.
Ist echt Komfortabel wenn du du deine Festplatte säubern willst. z.B. Cockies und Temporäre Internetfiles.
Ist aber net alles.
Meine erfahrung nach musst einträge von Antivir aus der Regedit.exe löschen dann sollte das andere zu löschen kein Problem sein.
So ähnlich ging es bei mir mit Norton Antivir.
Scheiss Registry klammerer. [img]graemlins/pfui.gif[/img] [img]graemlins/lach.gif[/img] .

War dein IE vorher mal IE5 und hast ein Update auf IE6 gemacht?
__________________
Ich fange alles ein. Besonders Viren

Alt 08.06.2004, 17:02   #14
Laser
 
harnig - Beitrag

harnig



Hallelujah, das war´s!!! Danke paff, dein Tip war richtig. [img]graemlins/bussi.gif[/img]
Wobei ich denke, daß wenn ich den Pfad gleich angegeben hätte, das andere das auch gewußt hätten, mein Fehler. Trotzdem danke für Eure Mühe!
Und ich hab mich immer durchgeclickt von c:, Doks + Einstellungen usw. und da waren dann nur (erlaubte) Cookies [img]graemlins/headbang.gif[/img]

Werd hier noch öfter reinschauen. Werd zwar keine große bis gar keine Hilfe sein, aber vielleicht kann ich dann das näxte prob selber lösen

Gruß JoE

Antwort

Themen zu harnig
avg, bitdefender, defender, empfohlen, entferne, erklären, forum, gefunde, glaube, immer wieder, laufe, laufen, lösung, meldung, nicht, problem, removal, trendmicro, troja, trojan, warnung




Zum Thema harnig - Hallo, Ich habe das Problem, daß bei mir immer wieder die Meldung kommt, daß ich den Trojan Harnig.P habe und AVG laufen lassen soll. AVG findet den auch, kann ihn - harnig...
Archiv
Du betrachtest: harnig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.