hallo!

ich habe ein problem:

meine firewall gibt mir an, dass sich zwei dateien ständig versuchen ins internet einzuwählen! zum einen ist das die wininimil.exe und dann noch ati2vid! wenn ich diese dateien in den prozessen (unter windows-task-manager) ausschalte, kommen sie trotzdem beim nächsten start wieder zum vorschein! ich habe mal im google nach der wininimil gesucht und herausgefunden, dass das wohl ein sogenanntes spyprogramm ist! wie kann ich das löschen??? ich habe xp jetzt erst neu installiert, mein antivirenprogramm und die firewall auch ... anscheinend hat dieses spy-programm wohl doch nen offenes törchen gefunden! könnt ihr mir weiterhelfen??? ich wäre euch echt dankbar!

grüsse LUNA

Hallo

Zitat:

ich habe ein problem:

hast du auch ein Antivirus-Programm am Rechner? Nutz einer Firewall ist mehr als fragwürdig.

Zitat:

zum einen ist das die wininimil.exe

http://www.bsi.bund.de/av/vb/spybot.htm

Zitat:

und dann noch ati2vid!

die Datei ist vermutlich sauber und gehört zu ATI-Grafikkarte.
Bitte HJT von www.hijackthis.de runterladen, Log hier posten.
Wenn du aber schnell und sicher geholfen werden möchtest - mach dein PC platt, Neuinstallation mit allen Updates und Patches.
Hier geht's weiter : http://faq.underflow.de/#SECTION000120000000000000000

Versuche zunächst dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

Dann hole dir HijackThis und poste ein Log:
http://www.trojaner-board.de/51130-a...ijackthis.html

Wenn du das System eh erst neu gemacht hast und es nun kompromittiert ist (der Trojaner kann auch Passworte aufzeichnen), wäre eine Neuinstallation allerdings die beste Lösung, Passworte solltest du sowieso ändern. Und dann von Anfang an vorsichtiger sein, Browserwechsel, unnötige Dienste deaktivieren usw., das kann man dann auch noch mal genauer ausführen. Welchen Virenscanner hast du, ist er auf dem neuesten Stand? Hast du die Windowsupdates alle installiert?

edit: gleichzeitig gepostet.

hallo

erstmal danke an euch zwei! ich habe mir dieses eine programm (spybot search and destroy) runtergeladen! damit hab ich dann einige dinge beseitigen können (sah aus wie cookies)! dann habe ich mit hilfe meines antivirenprogrammes (fp-win) diesen virus/trojaner/spybot was auch immer namens w32/parite.b@mm enfernt!

hoffe nun bin ich den mist los!

grüsse luna

Zitat:

hoffe nun bin ich den mist los!

Wenn du ein Log-File posten würdest, könnte man mehr dazu sagen!

Allerdings schließ ich mich Rene-gad an:
Die einzig sicherste Lösung, um wieder einen vertrauenswürdigen Zustand herzustellen, wäre: Neuaufsetzen deines Systems.

Zur Info:
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Der parite-Virus ist wieder ein anderer. Ich glaube ehrlich gesagt nicht, dass du alles los bist, wenn du nur diesen wirklich entfernt hast. Bitte nimm E-Scan und HijackThis wie vorgeschlagen, wir sehen uns dann das Logfile an, wobei eine Neuinstall wie gesagt, das Beste wäre, wenn es dir nicht zu viele Umstände macht.

log datei vorm löschen:

Logfile of HijackThis v1.98.2
Scan saved at 20:58:43, on 12.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Armor2net\Armor2net Personal Firewall\armor2net.exe
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Programme\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Armor2net] C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wininimil.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wininimil.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wininimil.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab


log datei nach dem löschen:

Logfile of HijackThis v1.98.2
Scan saved at 23:25:18, on 12.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Programme\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Armor2net] C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wininimil.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wininimil.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wininimil.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D16B605-9A01-4D1A-AEBC-013862ED834E}: NameServer = 217.237.151.225 194.25.2.129


und, was meint ihr? ist alles weg?? krieg so langsam die krise ... hab mein system schon mindestens 3x bis zum jetzigen zeitpunkt neu installiert ... immer wieder wegen trojanern