Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe Trojaner seit 6 tagen (https://www.trojaner-board.de/21296-hilfe-trojaner-seit-6-tagen.html)

franzi 28.08.2005 13:13
Hilfe Trojaner seit 6 tagen
 
Hallo ich heiße franzi!

Ich habe seit 6 Tagen eine Trojanisches Pferd auf den Pc und mein Antivir meldet sich immer wieder . Ich habe mir semtliches Zeug installiert um das ding weg zu bekommen erst gestern das ARNTNS programm aber der findet den nicht . Habe eben gerade wieder 3 meldungen bekommen .

Der Heißt Trojanisches Pferd TR/D/DR.VB.FT.5

kann mir jemand helfen

danke

Haui45 28.08.2005 13:15
Hallo,

wo findet AntiVir den Schädling genau (z.B. C:\Windowsd\System32\abcd.exe)?

Überprüfe die Datei bei http://virusscan.jotti.org/de und poste das Ergebnis.
Poste außerdem ein HijackThis-Logfile.

franzi 28.08.2005 13:25
28.08.2005,13:58:52 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
28.08.2005,13:59:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
28.08.2005,14:15:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE

das ist erst mal der report aus meinen antivier

Haui45 28.08.2005 13:26
Starte den PC im abgesicherten Modus und leere den Cache des Internet Explorers, entweder manuell oder mit www.clearprog.de
Verwende in Zukunft einen alternativen Browser.

franzi 28.08.2005 13:48
habe jetzt meinen pc mit den abgesichtern modus gemacht und das gelöscht


hier ist das programm was ich mir instalieren sollte und was er scannt hat

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Muiltmedia keyboard utility\2.2D\KbdAp32A.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Yahoo!\Messenger\YPAGER.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtSrv.exe
C:\Dokumente und Einstellungen\danny\Eigene Dateien\HijackThis.exe

Haui45 28.08.2005 13:50
Das Log ist nicht komplett, es fehlen der erste und der letzte Teil.

franzi 28.08.2005 13:53
Logfile of HijackThis v1.99.1
Scan saved at 15:03:20, on 28.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Muiltmedia keyboard utility\2.2D\KbdAp32A.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Yahoo!\Messenger\YPAGER.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtSrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Dokumente und Einstellungen\danny\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hyrican.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\2.2D\MMKEYBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [fzseagju] C:\WINDOWS\system32\dowdjugs.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://h**p://dm.screensavers.com/dm...sinstaller.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://h**p://sc.groups.msn.com/cont...UC/MsnUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://h**p//messenger.msn.com/downl...Downloader.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.download-url.de/InstallationsAssistent.ocx[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{E87DB1A9-6361-49AB-8D07-DC9CF52CFC04}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Rene-gad 28.08.2005 14:05
@franzi
Bitte mach alle Links in deinem Posting inaktiv (z.B. h**p statt http)
Deinstalliere über Systemsteuerung/Software:
Zitat:
C:\Programme\ShopperReports
C:\Programme\HbTools
Lösche die Datei
Zitat:
C:\WINDOWS\system32\dowdjugs.exe
Fixe diese alle Einträge
Zitat:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://h**p://as.starware.com/dp/sea...QKHFdeA96rWxGZ
R3 - Default URLSearchHook is missing
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [fzseagju] C:\WINDOWS\system32\dowdjugs.exe
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hyrican.de
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://h**p://dm.screensavers.com/dm...sinstaller.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://h**p://install.download-url.d...sAssistent.ocx

franzi 28.08.2005 14:24
Habe die Dateien gelöscht .

Aber das antivir hat sich gerade wieder gemeldet bevor ich die dateien gelöscht habe .

Meine frage was bedeutet das Fixe unten und die dateien die da stehen
soll ich das im edit löschen?

Rene-gad 28.08.2005 14:29
@franzi
Zitat:
Aber das antivir hat sich gerade wieder gemeldet bevor ich die dateien gelöscht habe .
Was hast du von im gesagt gekriegt?
Zitat:
Meine frage was bedeutet das Fixe unten und die dateien die da stehen
soll ich das im edit löschen?
Hast du die Anleitung zum HJT gelesen? http://www.trojaner-board.de/showthread.php?t=17493

franzi 28.08.2005 14:40
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\SG155L59\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Rene-gad 28.08.2005 14:52
Zitat:
Zitat von franzi
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\SG155L59\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Hat Haui45 den Posting in Japanisch erfasst ? : http://www.trojaner-board.de/showpos...17&postcount=4
IE muss dabei geschloßen bleiben.

franzi 28.08.2005 15:46
habe den mozila Firefox instaliert .

und das gefixt was da alles stand

danke euch hofe das der trojaner nicht mehr kommt .


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132