Trojaner-Board - Virus/Programm lässt sich nicht löschen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus/Programm lässt sich nicht löschen (https://www.trojaner-board.de/38176-virus-programm-laesst-loeschen.html)

Virus/Programm lässt sich nicht löschen

Hi alle zusammen,

ich hab hier ein kleines problem:dummguck: . Ich weiß das es schon oft gepostet wurde aber ich finde jeder Virus muss selber behandelt werden. Also, sobald ich auf meinen Benutzernamen gehe ist die CPU ausgelastet und der RAM natürlich auch. Da hab ich mich mal erkundigt gemacht und hab geschaut woran es liegen könnte. Ich hab herrausgefunden das es eine Anwendung ist die immer Zugriff auf mein IEXPLORER haben will und deshalb dann less ausgelastet ist. Ich hab den Pfad gefunden und versucht es manuell zu löschen, aber ohne erfolg. Das Programm kommt nach wenigen Sekunden wieder. Ich weiß das es ein Zweites Programm braucht damit es wieder erstellt wird, aber ich finde das nicht. Ich hab schon mein Avire durlaufen lassen. Hat aber nix gefunden. Das Programm heißt CsHacks falls es wichtig ist.

Ich bin neu auf den BOARD und bin leider noch ein anfänger darin. Hoffe es kann mir einer Helfen

Hallo

Mach bitte alle versteckten Dateien und Ordner sichtbar und anschließend erstelle mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und persönlichen Einträge und poste es dann hierher.

MFG

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
D:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Kids\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sim4free.atspace.org
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft

Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe

/autorun
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter

Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "D:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe"

-TRAY

Ich hpffe du kannst mir helfen^^.Danke schon mal im Vorraus

Hallo

mit so einem verstümmeltem log kann niemand etwas anfangen, es fehlt mindestens der Kopf sowie die Einträge nach der O4 Sektion, versuche es bitte noch einmal.

Zitat:

Ich hab herrausgefunden das es eine Anwendung ist die immer Zugriff auf mein IEXPLORER haben will

welche Anwendung wäre das?

MFG

Logfile of HijackThis v1.99.1
Scan saved at 20:32:47, on 22.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\Kids\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sim4free.atspace.org
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "D:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [{9B71D88C-C598-4935-C5D1-43AA4DB90836}] C:\Dokumente und Einstellungen\Kids\Anwendungsdaten\CsHacks.exe
O8 - Extra context menu item: Download all by Rapidown... - C:\Dokumente und Einstellungen\Kids\Eigene Dateien\Rapidown\rapidownGetAll.htm
O8 - Extra context menu item: Download by Rapidown... - C:\Dokumente und Einstellungen\Kids\Eigene Dateien\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: d:\programme\ashampoo\ashampoo firewall\spi.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Sorry aber ich bin erst neu hier und kenn mich mit den Begriffen noch nicht so gut aus. Aber danke für die schnelle Antwort.

So die Anwendung heißt bei mir *CsHacks* was auf mein IEXPLORER zugreifen will.

Hallo

zuerst fällt auf, dass du kein Servicepack 2 installiert hast, welches zahlreiche Sicherheitslücken schließt.

Lass die Datei
C:\Dokumente und Einstellungen\Kids\Anwendungsdaten\CsHacks.exe
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Hier sind die Ergebnisse von Jotti,

Datei: CsHacks.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

A-Squared Keine Viren gefunden
AntiVir PCK/Themida gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus BackDoor.Generic6.AAQ gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Smalldoor.ALNW gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Hoffe kannst mir weiter helfen:crazy:

Hi,

es scheint sich um den hier
zu handeln.
Veraltetes und verseuchtes System das von einen Hacker übernommen würde:
setze dein System am besten gleich neu auf.
Hier eine Anleitung

SRY
chaosman

Das ist ja voll die scheiße, wieder alles neu trauf zu machen. Ich hab da aber auch ne andere Idee. Geht das auch wenn ich diesen benutzer lösche wo der backdoor-trojaner drauf ist? Ich habe nämlich mehrere benutzer. Der Backdoor-trojaner ist auch nur auf einen benutzer aktiv, bei den anderen zeigt er keine Wirkung. Also könnte das gehen wenn ich nur den einen benutzer lösche?