Wie bekomm ich die Trojaner los?

3Antworten
  1. #1
    Avatar von
    Themen Starter

    Standard Wie bekomm ich die Trojaner los?

    Hallo Leute,
    ich zähl auf eure Hilfe.
    Folgende Trojaner meldet mir Antivir beim Starten:
    - Click.Small.BT.3
    - Dldr.Leser.A
    - Delprot.A
    - 3P_IN.EXE
    - DLdr.Agent.EX
    - Dldr.MediaPa.1.A
    - Small.BB
    - Drop.Small.TY.1

    Desweiteren kommt zwischen den Antivir immer ein PopUp Namens Internet Explorer mit Inhalt " Sie müssen auf Yes klicken um fortzufahren" (oder so ähnlich). Und bestätigen kann man nur mit OK. Sobald ich das mache kommt die nächste meldung von Antivir.

    Hinzu kommt noch, dass beim Starten von Windows 2 Verknüpfungen aufm Desktop erstellt werden.
    - Virus Hunter Security
    - Spyware Avenger
    beide mit einer Webadresse als Ziel

    Hier meine Log nach dem Starten:

    ogfile of HijackThis v1.99.1
    Scan saved at 20:04:27, on 04.04.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\DU Meter\DUMeter.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\hostdll.exe
    C:\WINDOWS\System32\cmd32.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Program Files\Media Access\MediaAccK.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\AIM95\aim.exe
    C:\Program Files\Media Access\MediaAccess.exe
    C:\WINDOWS\System32\izxczxcr.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\ICQLite\ICQLite.exe
    E:\Installer\anti Trojaner\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www2.tcnet.ne.jp/metadoll/mov5003.swf
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
    O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
    O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O15 - Trusted Zone: *.ysbweb.com
    O15 - Trusted Zone: *.blazefind.com (HKLM)
    O15 - Trusted Zone: *.clickspring.net (HKLM)
    O15 - Trusted Zone: *.flingstone.com (HKLM)
    O15 - Trusted Zone: *.mt-download.com (HKLM)
    O15 - Trusted Zone: *.my-internet.info (HKLM)
    O15 - Trusted Zone: *.searchbarcash.com (HKLM)
    O15 - Trusted Zone: *.searchmiracle.com (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotch.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
    O15 - Trusted Zone: *.ysbweb.com (HKLM)
    O15 - Trusted IP range: 67.19.185.246
    O15 - Trusted IP range: 67.19.185.246 (HKLM)
    O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - https://secure2.comned.com/signuptemplat ... kurity.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c7.cab
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - https://tw.msi.com.tw/autobios/client/iftwclix.cab
    O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Hallo, bitte bedenkt bei euren Antworten, dass ich nicht so der Computerpor bin.
    Schonmal vielen Dank!

    gruß
    Michael

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also zuerst mal die Systemwiederherstellung deaktivieren. Dann folgende Einträge mit HijackThis reparieren ( fixen ):

    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) - Böse
    O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) - Unbekannt
    O4 - HKLM\..\Run: [hostdll.exe] C:\WINDOWS\hostdll.exe - Eventuell Böse
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile - Unbekannt
    O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe - Böse
    O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe - Unbekannt
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe - Böse
    O15 - Trusted Zone: *.blazefind.com - Böse
    O15 - Trusted Zone: *.clickspring.net - Böse
    O15 - Trusted Zone: *.flingstone.com - Böse
    O15 - Trusted Zone: *.mt-download.com - Böse
    O15 - Trusted Zone: *.my-internet.info - Böse
    O15 - Trusted Zone: *.searchbarcash.com - Böse
    O15 - Trusted Zone: *.searchmiracle.com - Böse
    O15 - Trusted Zone: *.skoobidoo.com - Böse
    O15 - Trusted Zone: *.slotch.com - Böse
    O15 - Trusted Zone: *.slotchbar.com - Eventuell Böse
    O15 - Trusted Zone: *.windupdates.com - Böse
    O15 - Trusted Zone: *.xxxtoolbar.com - Böse
    O15 - Trusted Zone: *.ysbweb.com - Böse
    O15 - Trusted Zone: *.blazefind.com (HKLM) - Böse
    O15 - Trusted Zone: *.clickspring.net (HKLM) - Böse
    O15 - Trusted Zone: *.flingstone.com (HKLM) - Böse
    O15 - Trusted Zone: *.mt-download.com (HKLM) - Böse
    O15 - Trusted Zone: *.my-internet.info (HKLM) - Böse
    O15 - Trusted Zone: *.searchbarcash.com (HKLM) - Böse
    O15 - Trusted Zone: *.searchmiracle.com (HKLM) - Böse
    O15 - Trusted Zone: *.skoobidoo.com (HKLM) - Böse
    O15 - Trusted Zone: *.slotch.com (HKLM) - Böse
    O15 - Trusted Zone: *.slotchbar.com (HKLM) - Böse
    O15 - Trusted Zone: *.windupdates.com (HKLM) - Böse
    O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) - Böse
    O15 - Trusted Zone: *.ysbweb.com (HKLM) - Böse
    O15 - Trusted IP range: 67.19.185.246 - Eventuell Böse
    O15 - Trusted IP range: 67.19.185.246 (HKLM) - Böse
    O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - https://secure2.comned.com/signuptemplat ... kurity.cab - Eventuell Böse
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c7.cab - Böse
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - https://tw.msi.com.tw/autobios/client/iftwclix.cab - Eventuell Böse
    O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll - Eventuell Böse
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing) - Unbekannt
    O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe - Unbekannt
    Anschließend im abgesicherten Modus den Rechner starten und die reparierten Dateien löschen...

    Auch die Temproären Dateien löschen, also eine Datenträgerbereinigung durchführen...

    Danach normal starten und nochmals scannen...

    Bei Trojanerbefall sollte man generell alle Paßworte etc. ändern...

  3. #3
    Avatar von
    Themen Starter

    Standard

    Hallo,
    vielen Dank für deine Hilfe. Mein Antivir ist jetzt beim Start endlich ruhig und meldet sich nicht mehr.

    Den O23 - Acronis Scheduler hab ich aber nicht rausbekommen.

    Hier die neue Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:43:56, on 04.04.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\DU Meter\DUMeter.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\AIM95\aim.exe
    E:\Installer\anti Trojaner\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www2.tcnet.ne.jp/metadoll/mov5003.swf
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Nochmal Vielen Dank

    gruß
    Michael

  4. #4
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    kein Problem. Der war irgendwie dazwischengerutscht...

    Folgenden Eintrag solltest du noch reparieren lassen:

    R3 - Default URLSearchHook is missing
    Ist nichts tragisches, aber wäre nicht schlecht wenn du es machen lassen würdest...

    Ansonsten sieht das Logfile sehr gut aus...

Ähnliche Themen

  1. Bekomm ich keinen Sound über den HSMI-Ausgang?

    Von Kerox im Forum Grafikkarten und Monitore
    Antworten: 6
    Letzter Beitrag: 08.11.2011, 15:33
  2. Bekomm keine Internet Verbindung (WLAN)

    Von Tojama im Forum Netzwerk Probleme
    Antworten: 47
    Letzter Beitrag: 06.05.2010, 20:01
  3. Trojaner

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 19
    Letzter Beitrag: 18.01.2006, 19:33
  4. Trojaner

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 13.09.2005, 15:24
  5. Trojaner

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 08.09.2005, 11:31

Benutzer, die dieses Thema gelesen haben: 0

Derzeit gibt es keine Benutzer zum Anzeigen.
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz