Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit Trojaner (https://www.trojaner-board.de/8314-probleme-trojaner.html)

Paulisa35 11.10.2004 21:03
Probleme mit Trojaner
 
Hallo,
kann mir jemand von Euch bitte bei folgenden Problemen mit meinem Rechner helfen:


Im Archiv FS570.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten (TR/Tinytest.Dld3)
- Im Archiv FS583.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten (TR/Drop.FunWeb.A)
- Im Archiv FS574.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten

Habe diese Infos von meinem AntivirProgramm erhalten; leider kann ich diese Dateien weder reparieren noch löschen, laut Antivir.

Ich habe dank Eurer Seite über Trojaner und deren Gefahren gelesen, was kann ich tun in meinem Fall?
Danke für Eurer Hilfe!!

LG Paulisa35

Cidre 11.10.2004 21:27
Deaktiviere die Systemwiederherstellung -> Neustart -> Aktiviere sie wieder und das Problem ist gelöst.

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Deaktiviere die Datei und Druckerfreigabe

Cidre 11.10.2004 21:42
Zitat:
könntest du bitte kurz erklären wie ich das mit der deaktivierung hinbekomme?
http://www.bsi.bund.de/av/texte/wiederher_me.htm

honey1 10.12.2004 22:09
hätt da auch eine frage zu diesem TR/Drop.FunWeb.A...hab mir den beim download von "smileycentral" eingefangen und wollt jetz fragen, ob der irgndeinen schaden anrichten kann! und wenn nicht, warum erkennt ihn dann antivir als virus? und wieso erkennt ihn das virenprogramm von xp nicht? danke :aplaus:

chaosman 10.12.2004 22:13
@honey1
hier ein paar infos
http://securityresponse.symantec.com...n.dropper.html

würde dich empfehlen schnellstens ein Hijackthislogfile hier zu posten, es konnte sein dass dein pc schon befallen ist.
http://www.hijackthis.de/
anleitung
chaosman

honey1 10.12.2004 22:40
Logfile of HijackThis v1.98.2
Scan saved at 22:37:26, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\CommonSearch\MailCleanerPre.exe
C:\Programme\Kazaa FasterDownload\KazaaFasterDownload.exe
C:\Programme\MSN Video Enhanced\MSNVE.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Downloads\DayDisplay\DayDisplay.exe
C:\WINDOWS\webshots.scr
C:\Programme\Downloads\Winamp\winamp.exe
C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\DOWNLO~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://windu.t-online.at/tom/sidesearch.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oe3.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.dogpile.com/info.dogpl.dld/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://windu.t-online.at/tom/sidesearch.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: T-Online - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - C:\WINDOWS\DOWNLO~1\tonline.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: T-Online - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - C:\WINDOWS\DOWNLO~1\tonline.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [MailCleanerPre] C:\Programme\CommonSearch\MailCleanerPre.exe
O4 - HKLM\..\Run: [Debug ] C:\WINDOWS\SMSS.exe
O4 - HKLM\..\Run: [KazaaBooster] C:\Programme\Kazaa FasterDownload\KazaaFasterDownload.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\System32\kdpupd.dll
O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [hihwn] C:\WINNT\hihwn.exe
O4 - HKLM\..\Run: [MSN Video Enhanced] "C:\Programme\MSN Video Enhanced\MSNVE.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [DayDisplay] C:\Programme\Downloads\DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NetGuard Lite] "C:\WINDOWS\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [ZeroSpyware Lite] "C:\WINDOWS\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Webshots.lnk = C:\Programme\Downloads\Webshots\Webshots\Launcher.exe
O4 - Startup: Winamp.lnk = C:\Programme\Downloads\Winamp\winamp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} (T-Online) - http://toolbar.t-online.at/tonline.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...85/mcfscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7BD35F6-D61A-4A4A-9BAC-25BFB4BF0F68}: NameServer = 195.34.133.13,195.34.133.14

chaosman 10.12.2004 22:48
@honey1
lade dir hier escan

führe es durch wie hier beschrieben wird
scan dauert 1 stunde
poste nur die gefundene ergebnisse

chaosman

honey1 10.12.2004 23:42
die windows-firewall blockt das...auf "nicht mehr blocken" klicken???

honey1 10.12.2004 23:46
aaaaaaaah! hilfeeeeee!..jetz is das dos-fenster weg! aber sonst is nix passiert..? :confused:

MountainKing 10.12.2004 23:46
Wenn du das E-Scan-Update meinst: einfach "erneut nachfragen" wählen.

honey1 10.12.2004 23:52
danke! hab's schon! hab einen blödsinn gmacht *gg* ok, jetz eine stunde warten... :rolleyes:

honey1 11.12.2004 02:22
das hab ich aus dem "virus log information-fenster" kopiert...aber, wenn ich auf view log geh, dann kommt da so ein unendlich langer text, soll ich den jetz auch kopieren??? :confused: wie kommt nur das ganze zeug auf meinen pc... :koch:


File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Cliprex_388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ICD2.tmp\utilidadesau.exe infected by "Trojan.Win32.Dialer.ag" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\UUXSGN64\CursorManiaInitialSetup1.0.0.8[1].cab infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG127.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG129.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12B.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12C.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Cliprex_388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ICD2.tmp\utilidadesau.exe infected by "Trojan.Win32.Dialer.ag" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\UUXSGN64\CursorManiaInitialSetup1.0.0.8[1].cab infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG127.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG129.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG12B.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG12C.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Programme\Downloads\Clipscreensaver\Clipscreensaver.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Incredimail\Anti-Virus\mcsetup.exe infected by "not-a-virus:AdWare.Gator.3102" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Kazaa Lite\Kazaa faster dl\kazaaFDL.exe infected by "TrojanDownloader.Win32.Dreamad" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Screensaver\Screensaver Coral free\coralfree.exe infected by "not-a-virus:AdWare.SaveNow.aa" Virus. Action Taken: No Action Taken.
File C:\Programme\Kazaa FasterDownload\huh!.exe infected by "TrojanDownloader.Win32.Dreamad" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP113\A0060484.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.ad" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP116\A0060692.exe infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system32\zslfiles\00084.rps infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00108.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00182.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00183.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00185.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00198.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00202.rps infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00204.rps infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.

*Christian* 11.12.2004 02:25
Leere deinen Temp-Ornder und Temp-Internet-Files-Ordner.

Dann deaktiviere die Systemwiederherstellung -> Neustart -> aktiviere die Systemwiederherstellung wieder.

Den Rest lösche manuell im abg. Modus.

Verwende anschl. Ad-aware: www.lavasoft.de
Das Tool ist kostenlos.

honey1 11.12.2004 13:11
wo find ich denn den temp-ordner??? hab jetz unter internetoptionen die cookies und datein aus dem temp ordner gelöscht und das programm nocheinmal drüberlaufen lassen, aber die ganzen dialer etc. sind noch immer im temp-ordner...

*Christian* 11.12.2004 13:16
Übern Explorer ... du kannst auch dieses Tool verwenden: http://www.clearprog.de/programme/clearprog/index.php


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:16 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129