ich habe von antivir die meldung bekommen:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{8654D6E4-1950-48AB-BF97-389C11578ADF}\RP24\A0003542.EXE

Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds

habe ihn schon mehr fach gelöscht aber er kommt immer wieder.
könnt ihr mir helfen.

marder79http://www.trojaner-board.de/images/smilies/confused.gif

hallo
habe wieder eine meldung bekommen :

C:\PUFFER\DOWNLOADE\U4QBPIBKTASPKA43P7FEAZOQNPBHAUJE (FULL) SPIONFREI.RAR

Ist das Trojanische Pferd TR/Dldr.IstBar.nj

abgesehen von den weiteren Folgen die ein Infektion mit Malware haben kann...

Deaktiviere die Systemwiederherstellung, Neustart, bei Bedarf wieder aktivieren
Scanne unbedingt mit ein oder mehreren weiteren On-Demand-Antiviren-Scannern (z.B. Onlinescanner s.u.) dein System.
Kaspersky

Panda

F-Secure

(nur als Beispiel, gibt noch mehr. IE mit aktivierten ActiveX nötig)

Nachtrag: Mein Beitrag bezog sich alleine auf dein erstes Posting, multipler Malwarebefall sollte in eine dringende saubere Neuinstallation führen!
=> Neuaufsetzen des Systems und anschliessende Absicherung!

hi
also muss ich wohl formatieren richtig.

marder79

@marder79

Zitat:

also muss ich wohl formatieren richtig.

Die Daten, die du uns so sperrlcih gibst, lassen keinen gescheiten Beschlüß machen. Bitte HJT-Log (beachte die Anleitung in meiner Sig) erstellen und posten.

hi
so ist es das was ihr braucht:

Logfile of HijackThis v1.99.1
Scan saved at 11:17:25, on 01.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\MenuApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\RegistryCleaner.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marder79\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Xla3] C:\WINDOWS\heyjrl.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - Startup: MenuAppServer.lnk = C:\WINDOWS\MenuApp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{9127E040-3DA1-474A-B22B-10EBD60AA231}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

das habe ich ja ganz vergessen, habe gestern noch diese meldungen bekommen:


C:\SYSTEM VOLUME INFORMATION\_RESTORE{8654D6E4-1950-48AB-BF97-389C11578ADF}\RP26\A0003584.DLL

Ist das Trojanische Pferd TR/Dldr.IstBar.MS

C:\SYSTEM VOLUME INFORMATION\_RESTORE{8654D6E4-1950-48AB-BF97-389C11578ADF}\RP26\A0003718.EXE

Ist das Trojanische Pferd TR/Dldr.IstBar.jm.3


C:\SYSTEM VOLUME INFORMATION\_RESTORE{8654D6E4-1950-48AB-BF97-389C11578ADF}\RP26\A0003719.EXE

Ist das Trojanische Pferd TR/IstBar.BZ.1

C:\SYSTEM VOLUME INFORMATION\_RESTORE{8654D6E4-1950-48AB-BF97-389C11578ADF}\RP26\A0003723.EXE

Ist das Trojanische Pferd TR/Dldr.IstBar.IJ.1

@marder79

Zitat:

das habe ich ja ganz vergessen, habe gestern noch diese meldungen bekommen

Hättest du es nicht bekommen, wenn du dem Rat von Shadow gefolgt hättest.

Zitat:

O4 - HKLM\..\Run: [Xla3] C:\WINDOWS\heyjrl.exe

Wahrscheinlich ist diese Datei gut, hat aber bestimmt in Windows-Verzeichnis nichts zu suchen. Bitte lass sie bei http://www.virustotal.com überprüfen.

so habe es

Object "cws.loadadv.400 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "searchexe Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "ezula Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "clientman Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Easy-WebPrint" verweist auf das ungültige Objekt "C:\Programme\Canon\Easy-WebPrint\Easy-WebPrint". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\Marder79\Desktop\hijackthis.exe". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2006\Utilities\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2006\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft AntiSpyware\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Catalyst Control Center\Erweitert\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Micros

oft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Catalyst Control Center\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon PhotoRecord\". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Internet Optimizer". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ISTsvc". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Power Scan". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "SAcc". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "SideFind". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "YourSiteBar". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{0494ACA0-E038-4604-BF83-1B5D5A517C05}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\CLSID\{3E8C39DA-FC50-413F-B0FA-E005C249AB2A}" verweist auf das ungültige Objekt "C:\Programme\Softinterface, Inc\Convert Image\ConvertImage.EXE". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\TypeLib\{8AA2C715-02CE-4558-BC70-AF308E2B35F8}" verweist auf das ungültige Objekt "C:\Programme\Softinterface, Inc\Convert Image\ConvertImage.EXE". Folgende Maßnahme wurde durchgeführt: No Action Taken.

@marder79

Zitat:

so habe es

Was? Wer hat dich um das eScan-Protokoll gebeten? Bitte LESE erst, dann MACHE was.
Und wenn schon - tue es bitte nach Anleitung und verwende die Find.bat - Datei um Ergebnisse zu posten.

hi
ich dachte halt.
na welcher datei soll ich jetzt scanen.

hi
so habe es geschaft.
ich danke euch für die hilfe.

marder79