Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hallo! Habe mir auch was eingefangen :-(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.11.2004, 16:53   #1
Arminius
 
Hallo! Habe mir auch was eingefangen :-( - Unglücklich

Hallo! Habe mir auch was eingefangen :-(



Hallo ihr lieben!

Ich habe mir vor ein paar Tagen auch etwas eingefangen .

Ich habe hier im Forum auch einige Beiträge gesehen die eigentlich das gleiche Problem beschrieben haben. Bei einigen konnte es gelöst werden bei anderen leider nicht. Jeder mußte aber andere Dateien löschen. Wiso eigentlich? Gibt es verschiedene Arten von Trojaner die die gleichen Probleme hervorrufen?

Zu meinem Problem:

Meine Startseite vom IE 6 hat sich verändert (http://xysearch.biz/?wmid=1010) wie bei vielen anderen hier und es öffnen sich auch dauernd Fenster mit störender Werbung.

Seitdem benutze ich fast nur noch den Netscape 6.2.

Trotzdem würde ich gerne das Problem beseitigen. Wenn es klappt.

Hier mein Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:04:28, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\System32\NMSSvc.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\PROMon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\TTTimer.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1.HAL\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\system32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINNT\system32\TTTimer.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://67.19.99.158:80/iex/ofile.exe...0/rdgDE872.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab

Na dann ;-)

Arminius

Alt 21.11.2004, 17:01   #2
Mr.Z
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



Naja mir gehts ähnlich nur mit ner anderen seite !

Logfile of HijackThis v1.98.2
Scan saved at 16:47:21, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SYSsfit.exe
F:\ICQ\Icq.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\wisptis.exe
C:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C701392-ACB4-4ED9-B704-6374F9883500}: NameServer = 192.168.123.254
__________________


Alt 21.11.2004, 17:01   #3
Arminius
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



Hab noch was vergessen.

Sobald die Veränderte Startseite da ist sind auch diese zwei Prozesse anwesend: pxhping.exe und mqbckup.exe.


???
__________________

Alt 21.11.2004, 17:30   #4
Cidre
Administrator, a.D.
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



@ Arminius

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\system32\msacmx.dll
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://67.19.99.158:80/iex/ofile.ex...80/rdgDE872.exe

Lösche diese Dateien:
C:\WINNT\system32\msacmx.dll
dllhostxp.exe
Ordner C:\Programme\Gemeinsame Dateien\CMEII

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten
__________________
Gruß, Cidre


Alt 21.11.2004, 17:33   #5
Cidre
Administrator, a.D.
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



@ Mr.Z

Eröffne einen neuen Thread und schildere nochmals dein Problem, denn sonst wird dies zu unübersichtlich.

__________________
Gruß, Cidre


Alt 24.11.2004, 17:57   #6
Arminius
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



Hallo!

Ich habe alles gemacht wie beschrieben. Das Problem ist aber immer noch da.

Die Dateien C:\WINNT\system32\msacmx.dll konnte ich nicht finden.

eScan schreibt das TGBRFV_5.dll infiziert ist, aber sie kann ich auch nicht finden.

Hier mein Log-File :

Logfile of HijackThis v1.98.2
Scan saved at 16:13:46, on 24.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\PROMon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\TTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1.HAL\LOKALE~1\Temp\Rar$EX15.657\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINNT\system32\TTTimer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab

O15 - Trusted Zone: http://*.63.219.181.7 kann man nicht fixen. Taucht bei jedem Scan wieder auf.

Log-File von eScan ist ziemlich groß 13MB. Habe C: gescant. Wahrscheinlich reicht nur ein bestimmter Teil.

Gruß aus Köln

Alt 24.11.2004, 21:37   #7
Shadowdance
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



@ Arminius

scanne bitte mit dem eScan Deine gesamte(n) Festplatte(n) ... teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden, wie heissen diese Viren: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Wenn Du Dateien nicht findest: --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

SD

Alt 25.11.2004, 13:37   #8
Arminius
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



Mahlzeit.

ICH MUß MICH ERST MAL ENTSCHULDIGEN. Es hat sich doch schon einiges getan. Wenn man jetzt den IE öffnet steht zwar immer noch die Startseite "http://xysearch.biz/?wmid=1010" in der Adressleiste, auch wenn man sie versucht zu ändern, aber es kommen keine nervigen Werbe-PopUps mehr und es kommt die Info im Browser "Die Seite kann nicht angezeigt werden".
Das ist doch schon ein großer Erfolg :-).

VIELEN DANK.

Ich bin mit eScan nochmal drübergegangen und habe im Editor nach infected gesucht. Zwei Dateien hat er gefunden. Wobei es sich um die zweite Datei "besorger.exe" um ein kleines Joke-Programm handelt und es "eigentlich" keine Infizierte Datei sein kann

Gefundene Dateien:

C:\WINNT\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

Thu Nov 25 11:21:52 2004 => File D:\Privat\Lustiges\Lustige Progrämmchen\besorger.exe infected by "not-virus:Joke.Win32.Badgame" Virus. Action Taken: No Action Taken.


Unter Explorer habe ich das Häkchen bei "Geschützte Systemdateine ausblenden entfernt und bei "Alle Dateien und Ordner anzeigen" ist es aktiviert, was ich sofort nach der Windowsinstallation immer aktiviere.

Aber diese Dateit "C:\WINNT\system32\TGBRFV_5.dll" ist nicht zu finden. Nehme mal an das das der Knackpunkt ist.



Gruß Arminius

Alt 26.11.2004, 23:49   #9
Shadowdance
 
Hallo! Habe mir auch was eingefangen :-( - Standard

Hallo! Habe mir auch was eingefangen :-(



@ Arminius

Zitat:
Zitat von Arminius
Wenn man jetzt den IE öffnet steht zwar immer noch die Startseite "http://xysearch.biz/?wmid=1010" in der Adressleiste, auch wenn man sie versucht zu ändern, aber es kommen keine nervigen Werbe-PopUps mehr und es kommt die Info im Browser "Die Seite kann nicht angezeigt werden".
--> Erstelle bitte ein weitere Hijack This Logfile.

Zitat:
Zitat von Arminius
Gefundene Dateien:

C:\WINNT\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

Thu Nov 25 11:21:52 2004 => File D:\Privat\Lustiges\Lustige Progrämmchen\besorger.exe infected by "not-virus:Joke.Win32.Badgame" Virus. Action Taken: No Action Taken.
--> boote in den abgesicherten Modus/VGA-Modus, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten.

Zitat:
Zitat von Arminius
Aber diese Dateit "C:\WINNT\system32\TGBRFV_5.dll" ist nicht zu finden. Nehme mal an das das der Knackpunkt ist.
--> zum löschen von dll's. Versuch's mal damit und lass uns wissen, ob es gelungen ist.

SD

Antwort

Themen zu Hallo! Habe mir auch was eingefangen :-(
adobe, bho, dateien, dsl, explorer, forum, hijack, hijackthis, internet, internet explorer, logfile, meinem, microsoft, problem, programme, seite, software, system, system32, t-online, temp, trojaner, userinit, userinit.exe, virusscan, windows, wiso, wmid



Ähnliche Themen: Hallo! Habe mir auch was eingefangen :-(


  1. hallo.ich habe ein riesenproblem....hab mir glaub ich malware eingehandelt! habe scon mit spybot,
    Alles rund um Windows - 05.05.2015 (4)
  2. Hallo, Habe ebenfalls infection von AdvancedSymstem Protector und RegCleaner Pro wie auch Pccleaner.exe
    Log-Analyse und Auswertung - 05.05.2014 (9)
  3. hallo lieber betreiber ich habe leider nun auch dieses blöde nation zoom
    Plagegeister aller Art und deren Bekämpfung - 18.01.2014 (27)
  4. Hallo ich habe auch das Problem mit dem Nation Zoom.
    Plagegeister aller Art und deren Bekämpfung - 16.12.2013 (15)
  5. Hallo auch ich hab mir delta search eingefangen.
    Log-Analyse und Auswertung - 30.09.2013 (5)
  6. HILFE habe mir den Bundestrojaner eingefangen. Kann mich nicht mehr anmelden. Abgesicherter Modus geht auch nicht
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (21)
  7. Habe mir auch den Bundespolizei Virus eingefangen
    Log-Analyse und Auswertung - 03.05.2013 (16)
  8. Habe mir auch den GVU eingefangen :-(
    Plagegeister aller Art und deren Bekämpfung - 18.09.2012 (2)
  9. Hallo, bin neu im Forum und habe auch plötzlich den AKM Virus
    Log-Analyse und Auswertung - 12.06.2012 (1)
  10. Ich habe mir auch den 50 Euro Virus eingefangen. Was tun?
    Log-Analyse und Auswertung - 11.02.2012 (33)
  11. hallo ich habe auch das Problem das ich 50euro zahlen soll um mein windows wieder freizubekommen
    Log-Analyse und Auswertung - 20.12.2011 (13)
  12. Ich habe mir auch den BKA Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (8)
  13. Habe mir auch den Antivirus_antyspyware_2011 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (5)
  14. Habe mir auch einen sshnas.dll - Virus eingefangen
    Log-Analyse und Auswertung - 23.09.2010 (2)
  15. Auch ich habe nen TR/Dropper.Gen eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (16)
  16. hallo ihr ich habe auch das problem dem trojaner kann mir jemand helfen !
    Log-Analyse und Auswertung - 31.03.2006 (1)
  17. Hallo habe ein Problem weis nicht ob ich ein Virus habe
    Log-Analyse und Auswertung - 26.09.2004 (4)

Zum Thema Hallo! Habe mir auch was eingefangen :-( - Hallo ihr lieben! Ich habe mir vor ein paar Tagen auch etwas eingefangen . Ich habe hier im Forum auch einige Beiträge gesehen die eigentlich das gleiche Problem beschrieben haben. - Hallo! Habe mir auch was eingefangen :-(...
Archiv
Du betrachtest: Hallo! Habe mir auch was eingefangen :-( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.