|
habe trojaner TR/Dldr.Dyfuca.BM Hallo leute habe schon alles mögliche laufen lassen ad aware antivir a2 und trotzdem werde ich das viech nicht los der wird mir immer wieder angezeigt wie werde ich das ding wieder los???? bitte bitte um hilfe :heulen: |
Bitte poste ein HijackThis Logfile per copy&paste ins Forum. |
Logfile of HijackThis v1.98.2 Scan saved at 14:34:39, on 02.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\RUNDLL32.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\windows\system32\win32us.exe C:\windows\system32\evthtm.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\rsvp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\YServer.exe C:\Programme\Opera\opera.exe C:\unzipped\hijackthis1982[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F3 - REG:win.ini: run=c:\windows\system32\vid32cntl.exe O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [gizzvvvpclps] C:\WINDOWS\System32\xvoyhrz.exe O4 - HKLM\..\Run: [win32us] c:\windows\system32\win32us.exe /nocomm O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm O4 - HKLM\..\Run: [Vid32cntl] c:\windows\system32\vid32cntl.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [Vid32cntl] c:\windows\system32\vid32cntl.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.hansenet.de O15 - Trusted Zone: *.db105.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.windupdates.com O16 - DPF: v2cab - http://www.yupsearch.com/v2cab.cab O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylomgames.com/activex/zylomloader.cab O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...00/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DF004076-E798-4303-B54F-775CE249E23A}: NameServer = 213.191.92.87 213.191.74.18 O18 - Filter: text/html - {812DA200-2D5D-4AE5-B616-57571C39859A} - C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat |
Du hast mehr als ein Problem. Der hier ist im System. Siehe hierzu auch diesen Post. Wie gehst du ins Netz, per Modem, ISDN, oder DSL, du hast nämlich mindestens einen Dialer drauf. Außerdem noch andere Malware. Das beste wird sein du setzt dein System neu auf, steht aber alles im Link zum Rbot. Scanne deinen PC trotzdem vorher mal mit eScan im abgesicherten Modus und poste was gefunden wurde. Sichere deine Dialer unbedingt zur Beweissicherung auf Diskette!!! |
ok werde ich machen aber jtzt sage mir bitte wie ich das machen soll denn ich weiss nicht wie das geht ich bin sowas von unerfahren!!vielen dank für die hilfe |
Bei was soll ich dir helfen? Was verstehst du nicht? |
ich kann mein log hier irgendwie nicht reinbringen vom e scan im abgesicherten modus!wieso nicht als ob ich nicht schon genug bestraft bin! |
ok machs so: im Verzeichnis C:\bases befindet sich nach dem Scan eine Datei, die sich mwav.log nennt. Öffne diese Datei mit dem Editor. Dann Bearbeiten->Suchen-> infected eingeben-> Treffer markieren und ins Forum kopieren, solange bis du alles was infiziert ist kopiert hast. |
File C:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\windows\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File c:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File c:\windows\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File c:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PIJC9IB\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8J1JAMBD\evthtm[1].exe infected by "TrojanDownloader.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8J1JAMBD\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3F79HWE\Free_Sex_Download[1].exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IL3W90ZA\infected terran avatar[1].jpg [**]File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1CLEFC9\loader[1].exe infected by "TrojanDownloader.Win32.Small.vc" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1CLEFC9\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*File C:\Programme exe\My crackz\Spell Force\wsock32.dll infected by "Trojan.Win32.Patcher.a" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.!!!!! ok ich hoffe das wars was du gemeint hast!!!!! |
Lösche die gefundene Malware manuell im abg. Modus. Leere deinen Temp- und Temp. Internet Files-Ordner mit Clearprog: http://www.clearprog.de/programme/clearprog/index.php |
welches denn es gibt soviel auswahl??kann ich dabei denn was löschen was ich noch brauchen könnte ??? |
Nein! Lösch einfach, was ich dir gesagt habe. |
sorry aber ich kenne mich damit eigentlich so gut wie garnicht mit sowas aus das mag vielleicht auch dumm klingen aber ich weiss garnicht was alles malware auf meinem comp ist. Und bei clearprog ist nicht nunr 1 programm was zur wahl steht welches man downloaden kann?? also bitte sei nachsichtig wenn ich nicht alles auf anhieb verstehe vielen dank für eure hilfe |
http://winload.de/download/29001/Int....4.1.Beta.html Downloade es hier und lass das besagte löschen. Danach postest du mal ein neues Log von eScan. |
so hier das neue log vom e scan File C:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\windows\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File c:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File c:\windows\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File c:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PIJC9IB\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8J1JAMBD\evthtm[1].exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8J1JAMBD\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3F79HWE\Free_Sex_Download[1].exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1CLEFC9\loader[1].exe infected by "TrojanDownloader.Win32.Small.vc" Virus. Action Taken: No Action Taken.canning File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IL3W90ZA\infected terran avatar[1].jpg [**]File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1CLEFC9\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.File C:\Dokumente und Einstellungen\Marco2004\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1CLEFC9\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File c:\windows\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File c:\windows\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\System32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. File C:\Programme exe\My crackz\Spell Force\wsock32.dll infected by "Trojan.Win32.Patcher.a" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\egdi32.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\evthtm.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.File C:\WINDOWS\system32\win32us.exe infected by "TrojanDownloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken. |
Hallo nadja, hast Du das Clear Prog mittlerweile runter geladen? Clear Prog, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Nun musst Du etliche Dateien von Hand löschen. Um alle Dateien sehen zu können, musst Du zunächst Folgendes tun: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne nun die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Danach in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. SD |
hallo ja habe das programm auch schon laufen lassen das war ja das log von dem prog. aber meine frage ist jetzt wenn ich dieses häkchen entferne steht da das mein computer danach vielleicht nicht mehr richtig laufen würde??stimmt das?oder muss ich mir da keine sorgen machen ?und vielen dank für die hilfe |
Hallo nadja, Zitat:
Bei welchem Programm sollst oder willst Du ein Häk'chen entfernen? Ich weiss leider nicht, was Du genau meinst. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board