Forum
Tipps
News
Menu-Icon

XP klebriger wiederkehrender Trojaner

Hallo Helfer,

seit Tagen habe ich einen Trojaner, der beim Programmstart immer wieder eine bestimmte Startseite festlegt und ein popup startet. Antivir ist das einzige Programm, das wenigstens etwas merkt und Namen nennt: Agent.AP2 und Agent.Z.2. Und die in Antivir genannten unterschiedlichen exe.dateien sind nie da!
Auch habe ich die Empfohlenen Virenprogramme (CWSchredder, Norton, stinger, a2) im abgesicherten Modus laufen lassen. Das Ergebnis ist immer gleich: Ich hätte ein sauberes System! Haha!Ich habe auch Lösungswege ausprobiert, die ähnlich wie meins gelagert sind, jedoch birgt der lange und komplizierte Lösungsweg zu viele Fallen auf meinem Computer.

Während dieser Beschreibung musste ich allein vier Trojaner in Quarantäne verschieben. Ach so: Auch löschen in der Registry bringt nichts. Beim nächsten Öffnen ist das sch...ding wieder da.

Hier ist das oder der Log von hijackthis aus dem Abgesicherten Modus (ich hoffe das war richtig):
Logfile of HijackThis v1.97.7
Scan saved at 20:05:21, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Alle.COMPI\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fykxv.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://fykxv.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fykxv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fykxv.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fykxv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fykxv.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {822ABD24-5874-FE61-791F-D05D010B41C2} - C:\WINDOWS\system32\javavz.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [xezkroq] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [yxnnfpq] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [usqydqlg] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\Programme\Logitech\WingMan Profiler\LWTest.Exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ipkd.exe] C:\WINDOWS\system32\ipkd.exe
O4 - HKCU\..\Run: [StartNote] "C:\Dokumente und Einstellungen\Alle.COMPI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXG30563\actnote[1].exe" /startnote /piano
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37657.0299189815
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Ist mir zu helfen?

Grüße, Ingo




Antworten zu XP klebriger wiederkehrender Trojaner:

Jo wahrscheinlich...aber erstmal hier durchlesen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Und dann nochmal ein LOG mit Hijackthis 1.98 machen...

Gruß

Jetzt habe ich im abgesicherten (und im normalen) Modus diverse Antivirenprogramme laufen lassen.

 A2 hat viel gefunden und vernichtet, aber wohl nicht die Wurzel des Übels. Die Startseite ist immer wieder da. Der schredder findet überhaupt nichts, Antivir bleibt im abgesicherten Modus dauern stehn (findet aber fleissig im normalen Modus Trojaner) und sysclean kann ich wohl nicht entpacken und starten, weil ich zu doof bin. Ach so: Spybot und Norton freuen sich auch, weil sie ja nichts finden!

Hier ist dann zur gefälligen Ansicht meine aktalisierte Log.datei vom aktualisierten hijackthis:
Logfile of HijackThis v1.98.0
Scan saved at 01:04:47, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Alle.COMPI\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yygdz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yygdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yygdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yygdz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yygdz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yygdz.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {822ABD24-5874-FE61-791F-D05D010B41C2} - C:\WINDOWS\system32\javavz.dll
O2 - BHO: (no name) - {96570635-6008-7B57-1A20-2B7B55B31A13} - C:\WINDOWS\system32\neted.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [xezkroq] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [yxnnfpq] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [usqydqlg] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\Programme\Logitech\WingMan Profiler\LWTest.Exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ipkd.exe] C:\WINDOWS\system32\ipkd.exe
O4 - HKLM\..\RunOnce: [iprk.exe] C:\WINDOWS\system32\iprk.exe
O4 - HKLM\..\RunOnce: [msuo32.exe] C:\WINDOWS\msuo32.exe
O4 - HKCU\..\Run: [StartNote] "C:\Dokumente und Einstellungen\Alle.COMPI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXG30563\actnote[1].exe" /startnote /piano
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Noch eine Bitte: Bitte mach es einfach!


Vielen Dank,

Ingo

Wie wäre es wenn du einfach mal alles runter machst und neu rauf?  ;D aber mh.. *grübel* hast schon mal in der boot.ini geguggt.. dort findest vielleicht was... kann ja sein das die datei veersteckt immer wieder neu gebootet wird... oder wenn du xp hast dann mach doch system wiederherstellung...

Schau dir folgenden Thread an dort steht wies geht:
http://www.computerhilfen.de/hilfen-17-32951-0.html

Schädliche Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yygdz.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yygdz.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yygdz.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yygdz.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yygdz.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yygdz.dll/index.html#96676

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
(normalerweise twaintec.dll wird der AV gelöscht haben)

O2 - BHO: (no name) - {822ABD24-5874-FE61-791F-D05D010B41C2} -
C:\WINDOWS\system32\javavz.dll

O2 - BHO: (no name) - {96570635-6008-7B57-1A20-2B7B55B31A13} - C:\WINDOWS\system32\neted.dll

O4 - HKLM\..\Run: [xezkroq] C:\WINDOWS\System32\gqfnxq.exe

O4 - HKLM\..\Run: [yxnnfpq] C:\WINDOWS\System32\gqfnxq.exe

O4 - HKLM\..\Run: [usqydqlg] C:\WINDOWS\System32\gqfnxq.exe

O4 - HKLM\..\Run: [ipkd.exe] C:\WINDOWS\system32\ipkd.exe

O4 - HKLM\..\RunOnce: [iprk.exe] C:\WINDOWS\system32\iprk.exe

O4 - HKLM\..\RunOnce: [msuo32.exe] C:\WINDOWS\msuo32.exe

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Gruß

Start---> Ausführen---> msconfig eingeben---> systemstart.  Dort mal schauen ob du den Trojaner findest. Haken entfernen ... fertig

Hallo nighty,

schon unter Punkt 1. vom Beitrag

Entfernen von: res://x:..\xxx.dll/sp.html#xxxx
« am: 25.06.04, 19:58:09 »

habe ich das Problem, daß ich überhaupt nicht weiß, nach welchen Programmen ich denn suchen soll bzw. welche denn die Schädlinge sind oder aktivieren oder so! Wie sind denn die Namen?

Hallo Gast,

die Häkchen vor welchen Programmen setzen? Alles was sich komisch anhört? Das habe ich gerade gemacht, hat leider nichts genützt.

Aber eines muss ich trotz allem jetzt schon sagen: Vielen Dank und Hut ab für die Hilfsbereitschaft!!!

Steht doch dort nach Name sortieren und nach Einträgen mit & suchen...

Zusätzlich hab ich dir doch alle schädlichen Einträge/Dateien hingeschrieben..damit solltest die Anleitung abarbeiten können

Und bei msconfig Häkchen setzen bringt erstmal garnix, weil die Einträge immer wieder neu geschrieben werden wenn der Verursacher nicht beendet/gelöscht wird.

Gruß

« Letzte Änderung: 10.07.04, 18:53:17 von Nighty »

Und genau da liegt der Hase im Pfeffer: Ich finde kein einziges Programm im Task-Manager->Prozesse mit einem & irgendwo im Namen. Hir eine Kopie von hijackthis normaler modus was gerade läuft:

Logfile of HijackThis v1.97.7
Scan saved at 19:15:08, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\Dit.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ipkd.exe
C:\Programme\Biet-O-Matic\Biet-O-Matic.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Alle.COMPI\Desktop\HijackThis.exe

Meine Frau guckt auch gerade und schüttelt nur den Kopf. Sagt aber nicht ich sei blöd, wie nett ;-)

Na dann mach bei Punkt 2. weiter...musst doch nur schauen die Dateien stehn doch bei den schädlichen Einträgen jeweils dabei...oder was genau is jetzt unklar dabei...

Gruß

Jetzt bin ich bis zum Punkt 8 der Anleitung gekommen, mich plagen aber heftige Zweifel: Soll ich "Regedit4" durch "Bearbeiten/Neu in die sieben angegebenen Ordner kopieren? Dann fragt mich das System: Schlüssel, Zeichenfolge, Binärwet usw. Oder doch dieses "regedit4" als Datei importieren? Ich hab bei solchen Operationen immer ein ungutes Gefühl ...

Oder soll ich lieber den Trojanerbauer direkt auf einen neuen PC verklagen? ;-)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Würde alles Formatieren und dann:

am besten nutzt Du fürs Netz Linux!

Wenn Win XP, dann erstelle Dir Benutzer, die eingeschränkte Rechte haben(dann können Würmer und Viren nicht so viel Schaden anrichten!)
http://www.heise.de/ct/04/15/106/

Benutze mit Ausnahme des Win updates nicht mehr den IE sondern benutze den Firefox/Mozilla oder Opera als Browser!

Installiere eine vernünftige Firewall und Virenscanner und mache mind. wöchentlich ein Update von allen Sicherheitsupdates und Virensignaturen und scanne mind. wöchentlich nach Schädlingen!

Meide "schlüpfrige" Seiten und Tauschbörsen!(emule/Kazaa) und öffne keine email Anhänge unbedarft und ohne Virusscann dann bist Du um einiges sicherer unterwegs!

Gruß
Ralf

« Letzte Änderung: 11.07.04, 14:26:27 von rascherer2003 »

Nein das blaue musste in einen Text-Editor kopieren, habs schon abgeändert in der Anleitung..

Gruß

Hallo nighty,

ich bin noch nicht ganz fertig, aber es funktioniert tatsächlich (bis jetzt)! Jetzt muss ich ja wohl noch spybot aktualisieren oder sonstwas. Wo kann ich denn diese "Sdhelper.dll" downloaden?

Danke,

Ingo

In der Anleitung isn Link hier (blau unterstrichen)..

Gruß

Da wollte ich gerade feiern, bekomme aber das letzte Stückwerk nicht hin:

Die sdhelper.dll habe ich jetzt im Spybot-Ordner, bekomme aber den richtigen Befehl in "Ausführen" nicht hin. Dauernd die Meldung: Das angegebene Modul wurde nicht gefunden!

Den Pfad habe ich (nach mehreren anderen Versuchen) aus dem Pfad "Eigenschaften von sdhelper.DLL" kopiert.

Der Befehl lautet dann:

regsvr32 "x:\C:\Programme\Spybot - Search & Destroy\sdhelper.dll

Was mache ich falsch?

Gruß

Ingo

regsvr32 "C:\Programme\Spybot - Search & Destroy\sdhelper.dll"

Gruß

Ingo, versuch's 'mal mit der DOS-Box Lösung, die
ich für Luise und ihrem SCAGENT.EXE beschrieben
habe. Solche Dinger sind nur manuell zu beseitigen.
Viel Glück
Sanctior

Hallo Nighty,

Applaus Applaus, der Trojaner ist weg. Das war richtig gute Hilfe!

Hallo Sanctior, danke für das Angebot, aber das Problem ist jetzt nicht mehr da.

Bin auch auf Firefox umgestiegen.

Vielen Dank!!!

Ingo

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

UND lege Dir einen Benutzer mit eingeschränkten Rechten an-die Rechte die Du nicht besitzt besitzen die "Schädlinge" ebenfalls nicht!!

Gruß
Ralf


« merkwürdiges sassr-verhaltenWin98: Startseite!!!!http://aifind.info/ »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...