Trojaner-Board - hilfe für neuling

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - hilfe für neuling (https://www.trojaner-board.de/12629-hilfe-neuling.html)

hilfe für neuling

hallo!
ich bin neu hier und habe bis jetzt nie was mit trojanern zutun gehabt.ich habe heut mal mit dem prog escan ein check gemacht und es wurde folgendes gefunden:
File D:\RECYCLER\NPROTECT\00001389.EXE infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.

File D:\RECYCLER\NPROTECT\00001396.RAR infected by "Trojan-Dropper.Win32.Delf.fl" Virus. Action Taken: No Action Taken.

kann mir bitte jemand sagen,wie ich die wegbekomme? für eine antwort und hilfe wäre ich sehr dankbar.
gruß calle

Leere deinen Papierkorp und poste danach bitte mal ein Log von Hijackthis hier her http://hijackthis.de/downloads/hijackthis_199.zip

Gruss

halllo!
mein papierkorb wird automatisch geleert.das kam beim scannen raus:

Logfile of HijackThis v1.99.0
Scan saved at 14:53:47, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Down\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105971020559
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7237780-D9E6-48EF-B359-F19C6E48DFCD}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

gruß calle

der papierkorb ist darauf eingestellt das er sich:
-entweder selbst entleert wenn etwas reingetan wird (btw es garnicht in den papierkorb kommt)
-0% eingestellt ist und so sofort entleert wird

also nichts schlimmes^^

hallo!
hab jetzt nochmal antivir laufen lassen und es wurde mir folgendes angezeigt:

TR/Drop.Delf.1

Ordner D:\RECYCLER\NPROTECT
Datei: 00001396.RAR...SetupCloneDVD2Slysoft.exe
Status: Speicher freigegeben

und das stand im report:

D:\RECYCLER\NPROTECT
00001387.RAR
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
00001396.RAR
ArchiveType: RAR
--> CloneDVD v2.4.5.4\Crack\reg.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Delf.FD.1
Fehler beim Wechsel in das Verzeichnis System Volume Information

wie bekomme ich den trjojaner weg?antivir hat das nicht gemacht.bitte um schnelle hilfe.
gruß calle

Zitat:

Zitat von djcalle

Ordner D:\RECYCLER\NPROTECT...

Hattest Du mal eine AntiViren-Version von Norton/Symantec auf Deinem System??

Zitat:

Zitat von djcalle

Datei: 00001396.RAR...SetupCloneDVD2Slysoft.exe
--> CloneDVD v2.4.5.4\Crack\reg.exe

Na na na, wer wird denn da.... ;)

ja hatte ich.der trojaner war witziger weise im keygenerator von norton internetsecurity.
gruß calle

Vielleicht verstehe ich Dich ja gerade grundlegend falsch, aber Du saugst Dir aus 'irgendwelchen' Quellen Programme und Keygeneratoren und wunderst Dich dann ernsthaft, dass Du Dir solchen Mist einfängst?? *kopfschüttel*

wundern direkt nicht.aber mein virenscanner hatte nichts angezeigt.deswegen hab ich es genutzt.musste aber auch feststellen,das norton nichts taugt.
gruß calle

Zitat:

der trojaner war witziger weise...

Ist denn Dein Problem jetzt behoben? Oder wird AntiVir noch fündig?

der trojaner ist immernoch vorhanden,wie unten beschrieben.antivir hat ihn das erste mal in diesen dateien entdeckt die habe ich gelöscht,weil ich nicht wusste(mein erster trojaner),das man bei trojanern das anders machen muss. nun bekomme ich ihn aus unten angeführten pfad nicht raus.ich kann zwar zu
Ordner D:\RECYCLER\NPROTECT gehen und sehe die datei,kann sie aber nicht löschen.
gruß cale

Starte den Rechner mal im abgesicherten Modus und versuche es dann.

Wenn Du Norton komplett und 'sauber' wieder entfernt hast, kannst Du den Ordner \NPROTECT imho auch komplett löschen.

Ganz allgemein solltest Du Deine 'Software-Beschaffungs-Wege' und '-Praktiken' mal überdenken...

was muss ich dann im abgesicherten modus machen??? hab das noch nie so gestartet.das mit der software passiert mir mit sicherheit kein 2. mal.dann lieber doch weiterhin in die tasche greifen.
gruß calle

Zitat:

was muss ich dann im abgesicherten modus machen???

Wenn Du erst einmal im abgesicherten Modus bist (bzw. natürlich dein Rechner ;) ), kannst Du -wie sonst auch- den Datei-Explorer öffnen und versuchen, die Datei zu löschen.