Trojaner-Board - Hilfe! Hilfe! Hilfe!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe! Hilfe! Hilfe!!! (https://www.trojaner-board.de/12524-hilfe-hilfe-hilfe.html)

Hilfe! Hilfe! Hilfe!!!

hi leute,
ich hab da so ein dickes problem mit nem trojaner und kann den mit NAV nicht löschen. BITTE BITTE BITTE helft mir! ich weiß nicht was ich machen soll! :heulen:

schonmal im Voraus DANKE!!!

felima915

Hallo,
vielleicht solltest du uns mitteilen was von Norton wo gefunden wurde ;)

Poste zusätzlich ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

also erst mal danke dass du dir des mal angeschaut hast!!!

hier is ma mein hijack this log:

Logfile of HijackThis v1.99.0
Scan saved at 15:28:16, on 22.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CashBack\bin\cashback.exe
C:\temp\salm.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\WINDOWS\system32\zdablpu.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\PROGRA~1\COMMON~1\tsa\ts2.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.936\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\system32\ATPART~1.DLL
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [wrup] C:\WINDOWS\wrup.exe
O4 - HKLM\..\Run: [oldtymq] C:\WINDOWS\system32\zdablpu.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] È@‹
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Linda\Desktop\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Linda\Desktop\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winaklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winaklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winaklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winaklsp.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

hoffe dass du mir damit weiterhelfen kannst!!!

DANKE

felima915

Also da ist mehr als "nur" ein Trojaner!
Wenn du deinem System wieder vertrauen willst, setzt es neu auf und geh nach dieser Anleitung vor.

Wenn du eine Reparatur versuchen willst, dann führe erst mal dies aus:
Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei
dann einfach ins Forum kopieren.

hej haui45,
also erst mal danke dass du dir mein problem etwas genauer angeschaut hast, und nun versuchst mir zu helfen!!! :dummguck:
da ich keinen brenner am laptop habe, würden mir bei einer Formatierung wichtige dateien abhanden kommen, desshalb hab ich mal dieses eScan im abgesicherten modus drüberlaufen lassen.
aber was damit nun anfangen???????????

Danke schonmal im Voraus
felima915

Du suchst in der mwav.log nach "infected" und kopierst die entsprechenden Einträge hierher (hat Haui aber schon beschrieben). Danach können wir dann mal schauen, ob eine Reparatur noch Sinn macht oder du lieber alles neu machen solltest.

hej guys,
also ich hab jetzt mal alle sachen aus dem scanergebnis rausgesucht.
ich denke und hoffe ihr könnt mir damit weiterhelfen:

Sun Jan 23 17:20:43 2005 => File C:\Programme\CashBack\bin\cashback.exe infected by "not-a-virus:AdWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:43 2005 => File c:\temp\salm.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:43 2005 => File C:\PROGRA~2\DESKAD~1\DESKAD~2.EXE infected by "not-a-virus:AdWare.WinAD.m" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:43 2005 => File C:\WINDOWS\wrup.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:43 2005 => File C:\PROGRA~2\WINDOW~1\WinCtlAd.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:44 2005 => File C:\PROGRA~1\COMMON~1\tsa\tsm2.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:20:54 2005 => ERROR!!! Invalid Entry \SystemRoot\system32\drivers\Wbutton.sys. Removing SYSTEM\CurrentControlSet\Services\Wbutton...
Sun Jan 23 17:21:03 2005 => File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:21:03 2005 => File C:\WINDOWS\P2P[p2p-10805,de,1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:47:39 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Sun Jan 23 17:47:39 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys
Sun Jan 23 17:47:47 2005 => File C:\Temp\NCasePackage.exe infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:47:48 2005 => File C:\Temp\SearchRelevancy.exe infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:47:48 2005 => File C:\Temp\SAHPackage.exe infected by "not-a-virus:AdWare.Sahat.h" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:47:48 2005 => File C:\Temp\sahagent.exe infected by "not-a-virus:AdWare.Sahat.h" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:47:48 2005 => File C:\Temp\salmhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:51:49 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:51:51 2005 => File C:\WINDOWS\system32\InstaFinder_inst.exe infected by "not-a-virus:AdWare.InstaFinder.a" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:51:52 2005 => File C:\WINDOWS\system32\WebRebates_1_InstallAS.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
Sun Jan 23 17:51:52 2005 => File C:\WINDOWS\system32\winakrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:23 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\GLF3DGLF3D.EXE infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:24 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\winakcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:24 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\winakrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:24 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\winaklsp.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:25 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\tsinstall_4_0_3_7.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:16:25 2005 => File C:\Dokumente und Einstellungen\Michael&Dagmar\Lokale Einstellungen\Temp\GLF94GLF94.EXE infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:42:21 2005 => File C:\Programme\Common Files\tsa\tsl.exe infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:42:21 2005 => File C:\Programme\Common Files\tsa\tsl2.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:42:21 2005 => File C:\Programme\Common Files\tsa\ts2.exe infected by "Trojan-Downloader.Win32.TSUpdate.h" Virus. Action Taken: No Action Taken.
Sun Jan 23 18:42:22 2005 => File C:\Programme\Common Files\tsa\tsp2.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken.
Sun Jan 23 19:04:26 2005 => File C:\Recycled\Dc163.exe infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Jan 23 19:04:26 2005 => File C:\Recycled\Dc168.tmp\localNrd.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sun Jan 23 19:04:26 2005 => File C:\Recycled\Dc168.tmp\localNRD.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Sun Jan 23 19:04:26 2005 => File C:\Recycled\Dc168.tmp\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.

danke im voraus

felima915

Empfehlung :
Lade Dir "Clamwin" aus dem Internet...http://www.clamwin.de/der findet und löscht auch den Trojaner!!!

Hinweis: Nach der Installation in den "Preferrences" noch von Scan only auf remove umschalten !!!!!!!
Norton möglichst vorher deinstallieren!!! (empfiehlt sich eh immer:headbang: )

@Ret-S
Der Thread ist ein Jahr alt :balla:

hallo ich bekomme immer diese meldung cannot find import DLL may be missing,corupt,or wrong version File"rtl70.bpl,error 126 wenn ich internet explorer satrte oder das betriebsystrem starte und der pc läuft auch schon langsamer wqs ist das ?
danke im voraus