Trojaner-Board - Trojaner!!!!!!!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner!!!!!!!!! (https://www.trojaner-board.de/11675-trojaner.html)

Trojaner!!!!!!!!!

Ich hab ein prob. vielleicht kann mir ja hier einer helfen wäre gut. Ich hab einen trojaner aufen rechner nun das prob. ich hab anti virus druf und er erkennt ihn aber löst ihn nicht schreib nur eine oder mehrere dateien können nicht gelöst werden er schreibt mirt nur den namen TR/Hijack.PopCapLoa.hab mir dann spybot runter geladen und löst ihn auch nicht findet ihn aber auch nicht. ich brachen ein programm was den löst weil anti virus gibt zwar den pfad an aber wenn ich ihn suche finde ich ihn nicht.....Veilleicht hat ja einer von euch einen tip!!könnt mir auch ne mail schicken...

gruß marco

hm ohne genauere daten kann ich garnix sagen, aber dass du die datei nicht siehst, wundert mich garnicht. extras/ordneroptionen/ansicht dann geschützte systemdateien ausblenden haken weg, zu inhalte von systemordnern anzeigen haken hin und noch runterscrollen und dort alle dateien und ordner anzeigen selektieren. dann lad dir mal hijack this und escan runter. dann führ escan im abgesicherten modus aus, da ich nicht glaube dass die viren spurlos an der konfiguration vorbei gegangen sind.
dann EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
zitat von chaosman

und hijack this log kopierst du auch am besten ins forum
(es reicht auch, beides in eine textdatei zu kopieren, und dann im normalen modus aus der textdatei ins forum zu kopieren)

und wo bekomme ich das her??ich meine wo kann ich das runter laden???welche angaben meinst du welche du brauchst??? :confused:

ok ich geb mal die links
http://www.spywareinfo.com/~merijn/files/HijackThis.exe für hijack this
http://www.mwti.net/antivirus/free_utilities.asp dort die datei mwav.exe runterladen und ausführen im abgesicherten modus, und dann so fortfahren wie unten beschrieben.
mit angaben meine ich, welche viren noch drauf sind (und ich nehme an dass sich da nochmehr tummelt als nur 1) und welche dateien überhaupt befallen sind.
übrigens.. versuch auch mal gleich den virenscanner im abgesicherten modus scannen zu lassen. da ist die erfolgschance höher.

ich danke dir schon mal...ich werde gleich damit anfangen. sorry aber vin nicht gerade mit dem rechner bekannt und möchte wissen wie ich den im abgesicherten modus bekomme???Gruß Marco

Nachdem du keine Systeminfos preisgibst musst du selber googeln.

Wie systeminformationen????Was willste den wissen????

Ich will gar nix wissen.
Google ist dein Freund!

Gut wenn du nichts wissen willst ich hab ne frage weil ich nicht weiter weiss und komm ihr hin wollte eure hilfe und nicht blöd an gekackt werden.....also brauch nur ernst gemeinte beiträge...

File C:\DOKUME~1\Becci\ANWEND~1\acer.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\ELITET~1.DLL infected by "not-a-virus:AdWare.ToolBat.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\ELITET~1.DLL infected by "not-a-virus:AdWare.ToolBat.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\ANWEND~1\acer.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sideb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\doolsav.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.y" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sgldvw.dll infected by "not-a-virus:AdWare.PurityScan.z" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\!update.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\1074593.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\140796.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.y" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\153593.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\168125.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\552734.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Becci\LOKALE~1\TEMPOR~1\Content.IE5\61CRAHE5\silent_install[1].exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: No Action Taken.

hab jetzt dieses programm drauf escan nue kann nichts mit den sachen anfangen.....bitte um hilfe

Vorsicht mit dem was Du sagst, ich war so doof und hab letzte Woche einen ähnlichen Spruch abgelassen, zum Glück kam ich noch rechtzeitig zu Verstand und hab mich umgehend bei Cidre per PN entschuldigt.
Guck ma bitte wieviel Posts er hat, und denk Dir ma wieviel davon irgendwelche Kommentare sind und wieviel davon wirklich richtige und helfende Beiträge sind.
Und denk immer dran, die bekommen hier dafür keine Kohle und machen das nur um Deppen wie uns zu helfen.

PS: Sorry für Offtopic

ja gut du hast recht nur warum bringt er dann so doofe sprüch nur weil ich nichts von rechner verstehe und den virus runter will.....ich mein wenn er nur ein blöden spruch machen will dann kann er sich das auch sparen weil hab ja höfflich gefragt ob man mir helfen kann...mfg

Es geht um zwei wesentliche Punkte:

1) Zum Helfen brauchen wir soviele Informationen wie möglich, solange wir die nicht bekommen, geht es schlicht nicht. Dafür werden die beiden genannten und verlinkten Programme empfohlen. Wir wissen beispielsweise noch nicht mal, welches Betriebssystem du überheupt verwendest. Bei dir fehlt noch das Hijackthis-Log

http://www.trojaner-board.de/51130-a...ijackthis.html

2) Viele Informationen kann man sich selbst besorgen, indem man beispielsweise "windows xp abgesicherter Modus" bei google sucht, also ein wenig Eigeninitiative entwickelt. Das geht schneller und lässt uns auch mehr Zeit, um die Fragen zu beantworten, die wirklich wichtig sind.

Es ist ja auch nicht schlimm, wenn man noch nicht viel weiß, aber die genannte Eigeninitiative sollte man schon sehen, da das nicht selten fehlt, kommt es auch mal zu etwas deutlicheren Reaktionen (die aber hin und wieder nötig sind). :)

Hi ok du hast recht ich hätte vielleicht selber suchen sollen nur ich habe auch kein bock such schon die ganze zeit nach programmen zum löschen und kommt nur scheisse bei rum....deshalb habe ich gefragt...ich habe xp drauf und hier ist der rest hoffe ist alles wenn nicht sag bitte bescheid wenn du noch was brauchst....Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Becci\Anwendungsdaten\acer.exe
C:\PROGRA~1\ARCOR-~1\aob.exe
C:\PROGRA~1\ARCOR-~1\ac_dial.exe
C:\WINDOWS\system32\??rvices.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Becci\Eigene Dateien\marco\sp2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.bildkontakte.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\Becci\Anwendungsdaten\acer.exe
O4 - HKCU\..\Run: [Uhayecy] C:\WINDOWS\system32\??rvices.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...874856a78a1425
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylom.lycos.de/activex...amesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game17.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1CB49AA-B901-4EF2-B20D-1ABA38CA2564}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

und das schreib er bei anti vir : Pop2[1].gif
popcaploader_v5[1].cab
ArchiveType: CAB (Microsoft)
--> PopCapLoader.dll
[FUND!] Ist das Trojanische Pferd TR/Hijack.PopCapLoa
--> popcaploader.inf
popup[1].htm
popup_600x400_ohne_kopf[1].htm
popup_message[1].php
pop_ob-download-bild[1].
und ib dem ordner ist der::\DOKUMENTE UND EINSTELLUNGEN\Becci\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX0T2BGD

@Badboy0705
du hast mehrere probleme im system
der hier
reich schon aus um dich zu empfehlen dein system neu auf zu setzen, da anzunehmen ist, das dein system kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html

mache format C
hier ein paar tips zum neu aufsetzen
http://board.protecus.de/showtopic.p...me=1097944155&
sry
chaosman