@ Rock

Hab das von dir beschriebene Prozedere das du Mr. Black gegeben hast genaustens verfolgt, es hat jedoch gar nix genüzt. Heut waren die Viren wieder da.
Ist diese Lösung nur im Falle von Mr. Black gültig und von PC zu PC verschieden?

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Prozesse mit dem Taskmanager beenden:

Winad.exe
WinClt.exe

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

C:\Program Files\Winad Client\Winad.exe
C:\Program Files\Winad Client\WinClt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Aa-Bob/HTT-html/HTTasbl1.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - d:\PROGRA~1\onlineTV\OTVTOO~1.DLL
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15d5f69...ip/RdxIE601.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.dexia-bil.lu/multisecur...tStartSetup.cab

Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und

aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den

Informationen über von E-Scan gefundene Schädlinge.

Hallo,

ich habe (wie viel andere hier wohl auch) oben beschriebenes Problem.

1.) habe ich mir das Programm E-Scan (von der Seite http://www.trojaner-board.de/42731-escan-anleitung.html) runter geladen.

2.) dann habe ich die Systemwiederherstellung deaktiviert.

3.) danach wollte ich die Programme "Winad.exe" und "WinClt.exe" mit dem Taskmanager beenden. Allerdings musste ich feststellen, dass diese entweder zur Zeit nicht liefen oder das sie bei mir nicht vorhanden sind.

4.) dann habe ich mit dem bei Punkt 1 heruntergeladenem Programm mein System gescannt. dabei sind Folgene Ergebinisse aufgetreten:

Total Viruses Found: 4
Total Errors: 6

5.) und jetzt kommt mein eigentliches Problem. Ich wollte dann nämlich den von MountainKing besagten Schritt "Mit HijackThis fixen" befolgen. Allerdings musste ich feststellen, dass ich nirgends wo die Option "Fix checked" auswählen kann...

Was muss ich machen, damit ich diesen Trojaner eliminieren kann, bzw. was habe ich bisher falsch gemacht? Ich würde mich sehr über Hilfe freuen.

Vielen dank schon einmal im Vorraus.

MFG Feister-Mann

Zitat:

Was muss ich machen, damit ich diesen Trojaner eliminieren kann, bzw. was habe ich bisher falsch gemacht?

Uns mehr Informationen geben!

Zitat:

Total Viruses Found: 4

Welche und Wo?

Zitat:

dass ich nirgends wo die Option "Fix checked" auswählen kann...

http://www.trojaner-board.de/51130-a...ijackthis.html

Also welche Informationen genau?

Hier habe ich jetzt erstmal die Ergebnisse mit dem eScan.

File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\WINDOW~1\CComm.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\WINDOW~1\WinSync.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.


Was benötigt ihr noch für Informationen?

Poste einmal ein HijackThis-Log: www.klaffke.de

OK, hier ist der Log.


Logfile of HijackThis v1.98.2
Scan saved at 21:44:02, on 11.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\hejicksith oder o\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc 4885a4

hm
ich bins mal wieder... sehr glorreich mit nem neuen alten trojaner!

es erscheint die warnung:
C:\TEMP\MSBB.EXE

Ist das Trojanische Pferd TR/LowZones.A.2


hier ist meien HijackThis log:

Logfile of HijackThis v1.99.0
Scan saved at 11:17:33, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\FaJo\Timetool\TimeTool.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe
O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c283.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - hxxp://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - hxxp://asp04.photoprintit.de/microsite/1773/defaults/activex/ImageUploader3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)



würde mich freuen wenn mir jemand weiterhelfen könnte.

MFG
Feister-Mann

@Feister-Mann
lade dir clearprog bei clearporg.de
programm starten, alle häkchen bei IE und windows setzen, löschen.
diese dateien
hier online
überprüfen lassen
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
poste das ergebnis
wechsle in den abgesicherten modus und fixe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c283.cab
neu booten ein neues HJT logfile hier posten und die ergebnisse von jotti.org
chaosman

äh ja,... da fängts bei mir schon an:
clearporg.de? gemeint ist doch www.clearporg.de oder? aber die url gibts nicht...

@Feister-Mann
clearprog
sry ein verdreher
chaosman