Trojaner-Board - Bitte um hilfe, ich weiß net mehr weiter !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um hilfe, ich weiß net mehr weiter ! (https://www.trojaner-board.de/16910-bitte-um-hilfe-weiss-net-mehr.html)

Bitte um hilfe, ich weiß net mehr weiter !

Tag liebe Forum Leser, mein problem wurde hier schon bearbeitet, nur ich komme da nicht weiter.

http://www.trojaner-board.de/showthread.php?t=12365

geh mal auf ausführen cmd und dort gibste ein del %temp%

1)>> da pasiert nix >>

C:\Dokumente und Einstellungen\SchnuffKnuff>del %temp%
Möchten Sie "C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\*" löschen (J/N)? J
C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\IEC2.tmp
Zugriff verweigert
C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\Perflib_Perfdata_868.dat
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess
verwendet wird.
C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\_is2.tmp
Zugriff verweigert

dann fixt du noch dies

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll
O13 - DefaultPrefix: hxxp://ehttp.cc/?
O13 - WWW Prefix: hxxp://ehttp.cc/?
O13 - WWW. Prefix: hxxp://ehttp.cc/?

Was wird mit fixen gemeint ? Löschen ? Und wie ?

sagt mir gerade nix wenn nicht kennst auch weg
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
C:\WINDOWS\system32\AEIWLSTA.EXE

Bitte nicht lachen, aber weiß echt nicht wiei ch den weg bekommen soll.

Ich habe Ad-Aware , Zonealarm und XP Service 2 und die XP Firewall laufen und trotzdem habe ich so ein mist bekommen, wie kann das sein

hoffe ihr könnt mir nochmal hier helfen, würd mich sehr drüber freuen

danke !! :party:

@Babyface

Zitat:

C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\*" löschen

Mit hxxp://www.clearprog.de/ kannst du den (und nicht nur den) Ordner bereinigen.

Zitat:

Was wird mit fixen gemeint ?

http://www.trojaner-board.de/51130-a...ijackthis.html
Du hast doch bestimmt die Verbindung zu Google.de ;) .

Zitat:

sagt mir gerade nix wenn nicht kennst auch weg
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
C:\WINDOWS\system32\AEIWLSTA.EXE

hxxp://www.liutilities.com/products/wintaskspro/processlibrary/aeiwlsta/
Du hast doch bestimmt die Verbindung zu Google.de ;) (zum 2. Mal)

Zitat:

Ich habe Ad-Aware , Zonealarm und XP Service 2 und die XP Firewall laufen und trotzdem habe ich so ein mist bekommen, wie kann das sein

Eine Pflichtlektüre: hxxp://faq.underflow.de/

Was ich noch sagen wollte, zur not werd ich formatieren, nur das würd ich gerne anders lösen.

was ich net verstehe ist das ich forewall vonxp habe sp 2 zonealarm ad-aware virus guard und trotzdem bekomme ich so ein mist

@ Rene-gad

vielen dank, ich werd nun langsam anfangen :D

hab nun auch meine sachen gescannt

Logfile of HijackThis v1.99.1
Scan saved at 12:28:13, on 21.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\TASKMGRU.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\MSIMN32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\WinSys.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\TASKMGRU.EXE
C:\WINDOWS\system32\MSIMN32.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\DOKUME~1\SCHNUF~1\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\system32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\system32\MSIMN32.EXE
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2CB5069-F569-4E1E-AFC3-01AA4C35FE3A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ist da etwas was net sein sollte ??

danke jungs im vorraus

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe

den habe ich nun gefixt :D ich glaube der gehört net da hin, kann sich sonst ein profi nochmal mein scann angucken und mir sagen was weg sein soll

danke für eure hilfe, sonst müsste ich formatieren !! :huepp:

@Babyface

Zitat:

danke für eure hilfe, sonst müsste ich formatieren !!

Ich gehe stark davon aus, dass du doch formatieren musst.

Zitat:

C:\WINDOWS\system32\WinSys.exe

http://www.sophos.de/virusinfo/analyses/w32rbotgv.html
BTW: Eine Firewall kann schon überflüssig sein: www.dingens.org. Und 2 Firewalls braucht kein Mensch.

@ Babyface

Zitat:

C:\WINDOWS\system32\WinSys.exe

lasse die Datei erst nochmal hier scannen

Zitat:

Zitat von Rene-gad

@Babyface

Ich gehe stark davon aus, dass du doch formatieren musst.

http://www.sophos.de/virusinfo/analyses/w32rbotgv.html
BTW: Eine Firewall kann schon überflüssig sein: www.dingens.org. Und 2 Firewalls braucht kein Mensch.

und warum muss ich es ??

wenn ich mit escan scanne zeigt er mir diese sachen an

wie z.B

C:\Windows\system32\TASKMGRU.exe infected by "Trojan.Win32.Agent.cx"Virus.Action Taken: No Action Taken

und halt immer weiter, 64 sachen hat er gefunden

in System Volume Information hat er 52 stück gefunden und ie anderen in windows 12 stück

ähm kann man da überhaupt noch was retten ? wie kann ich die befunde bei escan mal kopieren udn hier einfügen ?

Zitat:

Zitat von Gigamail

@ Babyface

lasse die Datei erst nochmal hier scannen

Datei: WinSys.exe

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: taskmgru.exe

INFIZIERT/MALWARE

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.StartPage.666 gefunden
F-Prot Antivirus W32/Agent.MW gefunden
Fortinet W32/Agent.CX-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.cx gefunden
mks_vir Trojan.Agent.Cx gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Agent.cx gefunden

So nun spaß bei seite, was soll ich noch machen ?? der hat bei mr sachen gunfunden die kann ich mit Hijack fixen ok, aber bei escann wurden halt 58 viren in den ordner gefunden den ich net finde bei windows

und zwar System Volume Information

und wie bekomme ich nun den Trojaner Trojan.Win32.Agent.cx

ich werd gleich formatieren weil ich mir net mehr helfen kann :headbang:

Zitat:

Zitat von Babyface

Thu Apr 21 12:58:51 2005 => File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP43\A0016536.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Thu Apr 21 12:58:51 2005 => Scanning File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP43\A0016537.EXE
Thu Apr 21 12:58:51 2005 => File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP43\A0016537.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Thu Apr 21 12:58:51 2005 => Scanning File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP43\A0016538.EXE
Thu Apr 21 12:58:51 2005 => File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP43\A0016538.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

hier noch paar beispiele

kann mir da einer bitte helfen sonst muss ich pc ausmachen und format c: machen

Zitat:

ich werd gleich formatieren weil ich mir net mehr helfen kann

Das ist natürlich die sicherste Variante überhaupt :)
Poste mal die Ergebnisse von eScan
=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
(Cidre zitiert)

lese auch mal zu der Datei: O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe hier
da gibt es bestimmt noch was zu bereinigen

Thu Apr 21 13:11:30 2005 => Total Objects Scanned: 25111
Thu Apr 21 13:11:30 2005 => Total Virus(es) Found: 67
Thu Apr 21 13:11:30 2005 => Total Disinfected Files: 0
Thu Apr 21 13:11:30 2005 => Total Files Renamed: 0
Thu Apr 21 13:11:30 2005 => Total Deleted Objects: 0
Thu Apr 21 13:11:30 2005 => Total Errors: 5
Thu Apr 21 13:11:30 2005 => Time Elapsed: 00:25:36

File C:\WINDOWS\system32\TASKMGRU.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken

MSIMN32.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken

File C:\WINDOWS\bhoass.dll infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken

C:\WINDOWS\explorer32dbg.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus. Action Taken: No Action Taken.

C:\WINDOWS\msxmidi.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\SCHNUF~1\LOKALE~1\TEMPOR~1\Content.IE5\CR9VE6F5\tb[1].txt infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\SchnuffKnuff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CR9VE6F5\tb[1].txt infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken

File C:\System Volume Information\_restore{60C1C07E-B3F4-4640-9BC1-0F032E72F7FD}\RP42\A0015224.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken

naja und sp weiter, das vieh heißt immer gleich Trojan.Win32.Agent.cx oder not-a-virus:AdWare.ToolBar.ToolBand

so was empfehlt ihr mir ?? format c ? hab eh 3 partitionen und würd mich net so stören da ich alles wichtige wo andes habe

hm hab da so ein gefühl das mir so viel auch net geholfen werden kann

bin dann format c machen

kleine frage hätte ich noch, welchen antivirus & Trojaner progi könnt ihr mir empfehlen ?? will ja gleich mein system aufsetzen und es diesmal sicherer machen

Zitat:

so was empfehlt ihr mir ?? format c ? hab eh 3 partitionen und würd mich net so stören da ich alles wichtige wo andes habe

wenn das bei Dir so leicht geht, dann ist das die sicherste Methode um wieder sauber zu sein. Halte aber dazu ein paar Regeln ein. Hilfe zum Neuaufsetzen wichtig mit den passwörtern!!
Zitat Antiviruslab:
Allgemeine Beschreibung:
Trojan-Downloader.Win32.Delf.cb ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert. -->
C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Delf.cb"