Wie bekomme ich Pipas.A dauerhaft weg?
 

Hallo,
habe ein Problem mit Umleitungen der Suchseiten beim IE-Explorers, vermutlich wegen Pipas.A, obwohl ich Firewall von T-Online und Windows, Spybot, Kaspersky und Antivir im Einsatz habe.
Bei den von mir ausprobierten Programmen findet nur Spybot den Pipas.A, auch nicht F-Secure's "Blacklight", Spybot löscht zwar den Pipas.A, beim nächsten Rechnerstart ist er aber wieder da.
Wer kann mir helfen diesen Plagegeist loszuwerden??

Vielen Dank für eine Hilfe!

Hier noch der HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 21:47:31, on 03.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart \DESKMENU.EXE
C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart \Ejector.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] C:\Programme\Browser MOUSE\R2M.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [dmvon.exe] C:\WINDOWS\system32\dmvon.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: DESKMENU.EXE
O4 - Startup: Ejector.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B2E2FE-175B-4E1F-A81A-25B808386919}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD1F317-50D3-432E-A4A7-452923AD3692}: NameServer = 85.255.115.77,85.255.112.159
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\ipkv.exe (file missing)

mOIn schorsch.,
evtl. hast du noch ganz andere Probleme scanne bitte mal diese beiden Datein :
O4 - HKLM\..\Run: [dmvon.exe] C:\WINDOWS\system32\dmvon.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
bei Jotti oder Virustotal und kennst du diese Programme :
...\*\Startmenü\Programme\Autostart \DESKMENU.EXE
...\*\Startmenü\Programme\Autostart \Ejector.exe
wenn nicht ebenfalls bei o.g. einen onlinescann durchführen lassen und anschließend berichten
MFG aus HH

Hallo

in Deinem System ist/war u.a. Dieser aktiv.

Bei einem Trojaner mit Backdoor-Funktionaltität rate ich Dir hier dringend zur Neuinstallation.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hallo nochdigger,

eine Datei sys.exe habe ich auf meiner Festplatte nur unter Spybot\Recovery\WinGuardian.zip gefunden, eine Überprüfung bei Jotti hat keine Viren ergeben.
Die dmvon.exe gibt es nun nicht mehr, an deren Stelle gibt es jetzt ein dmbrw.exe.
Bei Jotti kam diese Meldung, obwohl 44 kB im Explorer angezeigt wird:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.
Bei Virustotal keine Viren gefunden.

Die Datei deskmenu.exe ist eine Schnellübersicht aller auf dem Desktop befindl. Dateien und der ejector wirft die CD aus.

Hallo dartus,

danke für die Infos. Für die Entscheidung einer Neuinstallation brauche ich noch ein paar Tage Bedenkzeit. Ist doch mit ganz schön Arbeit verbunden.

Viele Grüße.

Hallo,

sinngemäß kann zum entfernen von Piper.A die Anleitung für einen User von der Adresse http://board.protecus.de/t20870.htm angewendet werden.

Dabei muß beachtet werden, das PIPER.A den Prozeß und die Dateien versteckt. D.h. auf dem infizierten Rechner selbst sind die Dateien weder im Explorer noch der Prozeß im Taskmanager zu sehen. Bei jedem Systemstart wird im Systemverzeichnis eine d????.exe-Datei (???? = zufällige Zeichenkette) mit 44kB abgelegt und die alte gelöscht. Über ein Netzwerk kann man diese Datei sehen, sich aber nicht mal die Eigenschaften anzeigen lassen. Im übrigen rate ich davon ab, den infizierten Rechner im Netzwerk zu betreiben! Diese d????.exe-Datei wird von Silentrun in der Registry unter Winlogon angezeigt.
Auf Grund dieses zufälligen Dateinamens sage ich oben "sinngemäß anwenden".

Falls es an einer Stelle hapert, am besten die Protokolle in das Forum setzen.

Ansonsten bin auch ich der Meinung, das die einzig wirklich sichere Methode der Neuaufbau des Systems ist. Es kann durchaus sein, das die offensichtlichen Symptome zwar weg sind, im Hintergrund aber eigentlich viel schlimmeres passiert.

Hallo,
habe gestern eine Neuinstallation durchgeführt, denke auch dass dies die beste Maßnahme war. Habe danach keine Viren oder verdächtige exe.Dateien mehr gefunden.
Komischerweise kam ich auch in mein Bios-Setup nicht mehr rein, weil hier auf einmal ein Passwort verlangt wurde. Durch stecken eines Jumpers konnte ich CMOS-Inhalt löschen und war wieder im Bios. Ob dies auch der Pipas.A verursachte?
Danke an alle !