Ich habe seit einiger Zeit ein Trojaner-Problem.

Habe escan laufenlassen und bekomme zwei Virus log-Meldungen

C:\WINDOWS\COMMAND\EBD\EBD.CAB not tagged as a virus. No action taken

C:\WINDOWS\DownloadedProgram Files\23D25380.EXE Generic Dialer. No action taken

Problem ist, dass diese exe-Datei überhaupt nicht angezeigt bekomme im Windows Explorer.

Kann ich die über eine escan-Funktion löschen lassen.

Danke für die Antworten

Hallo Cab,

es würde die Sache vereinfachen, wenn Du in einem Deiner beiden Threads von gestern geantwortet hättest: 7590 und 7592.

Das Ergebnis des eScan waren also zwei Dateien:

C:\WINDOWS\COMMAND\EBD\EBD.CAB not tagged as a virus. No action taken
ist kein Virus, folglich brauchst Du nichts zu unternehmen.

C:\WINDOWS\DownloadedProgram Files\23D25380.EXE Generic Dialer. No action taken
kannst Du im Taskmanager beenden, aber vielleicht solltest Du diese Datei auf Diskette sichern, falls es sich dabei um einen kostenverursachenden Dialer handelt und Du über die Telefonverbindung online bist: www.dialerschutz.de. Wie Du verdeckte Dateien sichtbar machen kannst, findest Du hier.

SD

Hallo Shadowdance,

sorry für die Eröffnung eines neuen Threads.

Danke für die Antworten

Der Dialer ist auch im Taskmanager nicht zu sehen. Ich weiß nicht wie ich ihn finden soll.. mit escan kann ich ihn leider nicht löschen, weil das Programm keine diesbezügliche funktion hat. Wenn ich auf STRG+ALT+ENTF gehe,läuft kein Dialer

Die andere Datei, von der Du sagst sie ist kein Virus ist im Virus log file angezeigt.

Irgendetwas ist nicht in Ordnung, weil meine WIndowsfestplatte immer voller wird und ich in C:\WINDOWS\TEMP eine Datei habe, die sich nicht löschen läßt und bei jedem Neustart anders heißt.

Also noch mal der Lagebericht:

1. Im Ordner C:\WINDOWS\TEMP liegt eine tmp-Datei, die sich nicht löschen lässt, und die nach jedem Neutstart anders heißt.

2. Meine WindowsFestplatte vergrößert sich nach dem Hochfahren, das heißt, sie wird beschrieben.

3. Nach dem Starten von Escan im abgesicherten Modus kommt bei dem Viren log

C:\WINDOWS\COMMAND\EBD\EBD.CAB not tagged as a virus. No action taken. Trotzdem erscheint das Viruszeichen von Escan

4. Es erscheint im Virus log von Escan

C:\WINDOWS\Downloaded Program Files\23D25380.EXE
Generic Dialer. No action taken.

Wenn ich nach dieser Datei suche, kann ich sie nicht auffinden. Auch Trojancheck hab ich mir geholt und geschaut was so beim Autostart mitläuft.

Es ist aber nichts zufinden.

Bin dankbar für Ratschläge, wie ich weiter vorgehen soll.

Habe heute von Antivir den Hinweis beommen, dass ich den TR/Dldr.Startpage

habe. Löschen bringt nichts, da mit jedem Windows-Start das Problem wieder

da ist.

Bitte um Hinweise zur Entfernung. Habe Betriebssystem Windows 98 SE.

Werde nacher mal mein logfile posten und den Bericht von escan

Poste nun halt mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Also mit HijackThis komme ich nicht weiter.

Wenn ich die "bösen" Registrierungseingänge lösche, kommen sie beim Neustart wieder.

McAfee findet beim Zugang zum Internet einen Trojaner, eine .dll-Datei, die bei jedem Neustart anders heißt.

Wie löse ich das Problem, dass nicht immer wieder eine .dll-Datei erzeugt wird??

Ich bekomme bei jedem Neustart eine .dll-Datei, die jedesmal anders heißt.

Wie bekomme ich die weg???

Gelöschte Registryeinträge sind bei jedem Neustart wieder da.

Poste mal ein komplett neues Log!

Logfile of HijackThis v1.98.2
Scan saved at 16:22:13, on 26.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
D:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSRTE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\PLUS!\DELUXECD\DELUXECD.EXE
D:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAMME\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [DeluxeCD] C:\PROGRAMME\PLUS!\DELUXECD\DELUXECD.EXE -tray
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] D:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic5\UTILITY\MMOVER32\PQINIT.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [CSINJECT.EXE] D:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Trojancheck 6.lnk = C:\Programme\Trojancheck 6\tc6.exe
O4 - Startup: Trojancheck 6 Handbuch.lnk = ?
O4 - Startup: Entferne Trojancheck.lnk = C:\Programme\Trojancheck 6\unins000.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
O12 - Plugin for .EXE: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - http://www.technical-investor.de/wpa...nts/msxml3.cab
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.de.tradesignal.com/wpa/ts...bt-2-6-2-2.cab
O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - http://www.technical-investor.de/wpa...bt-2-6-1-1.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...90/mcfscan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/...3/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/...20/mcgdmgr.cab

Ich sehe keinen Hijacker.

Findet eScan was?

Ich kann Escan leider nicht komplett laufen lassen, weil der Rechner irgendwann abstürzt.

Escan findet einen Virus

C:/windows/system/mmj.dll,die mit dem Trojaner Trojan.Win32.StartPage.ix

verseucht ist.

Außerdem findet es in

C:/Windows/Command/ eine CAB.Datei "not tagged as a virus".

Wie nun weiter?

Nach jedem Löschen der falschen Einträge ist mit einem Neustart der ganze Dreck wieder da