HI!

Ich hab folgendes Problem! Mein Virenscanner findet alle paar Minuten einen Trojaner. (TROJ_AGENT.Z2 und
TROJ_WINSHOW.AB).

Weiterhin ist mein Internetexplorer verseucht! Er öffnet beim Starten immer die selbe Seite (irdendwas mit search ...).Also der fukntioniert gar nimmer richtig!

Dann ist mir noch aufgefallen das unter Systemsteuerung ...Software...folgende drei PRogramme sich nicht mehr löschen lassen:

"Home search assistenr" Shopping Wizard" und Search extender"

wenn mann die programme löschen will dann öffnet sich im explorer einse seite! aber löschen funktioniert trotzdem nicht!

was kann ich machen ? hab schon sämtliche scanner laufen lassen (escan, ad-aware, spybot, scanoffice)

die finden zwar viren aber ständig öffnen sich neue)

achja nochwas! wenn ich in der registry zb. shopping WIzard lösche dann sind die beim nächsten Neustart wieder drin!

was kann ich machen! THX im vorraus

Juli

Hallo!

Dann erstell ein HijackThis-Logfile und poste es hier.

Logfile of HijackThis v1.97.7
Scan saved at 22:25:02, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\winun.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Hd C\Programme\Ahead\Nero\Nero\Misc\NeroSVC.exe
C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Julian\Eigene Dateien\Programme Download\Highjack#this\HijackThis.exe

O4 - HKLM\..\Run: [Nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [winun.exe] C:\WINDOWS\winun.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.1.200/officescan/Clie...l/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.1.200/officescan/clie...l/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.1.200/officescan/clientinstall/setup.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.1.200/officescan/clie...RemoveCtrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28CCB0D8-CFDD-4DDB-B7CD-57A6CAEF5918}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7A903C-6A4F-447C-BE81-99690F3B0855}: NameServer = 192.168.1.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{28CCB0D8-CFDD-4DDB-B7CD-57A6CAEF5918}: NameServer = 217.237.151.97 194.25.2.129

C:\WINDOWS\winun.exe

Bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnis hier posten. Falls keine Infektion gefunden wird, Datei bitte an die Mailadressen in meiner Signatur mailen. Danke!


Mit HijackThis fixen:

O4 - HKLM\..\Run: [winun.exe] C:\WINDOWS\winun.exe

hi!
vielen dank für die hilfe mein Problem hat sich gelöst!

ich habe noch in services.msc den "Network Security Service" deaktiviert und in der registry die einträge für "Search Extender","Home Search Assistent" und "Shopping Wizard" gelöscht!

Die Übeltäter waren "appgv.exe" und "winun.exe"

mfg

Juli