Hallo,
ich hab das Ding jetzt zum 2. Mal. Beim 1. Mal hab ich mir eine neue Festplatte eingebaut und Anzeige bei der Polizei erstattet. Ermittlungen laufen noch. Jetzt wieder, dauern werden die dlls verändert und im Hintergrund volle Auslastung, was bedeutet, da sendet jemand spams oder arbeitet mit meinem Speicher. Heute hab ich den Rechner zum formatieren zum Händler gebracht. Fertig.
Eine Frage: Kann sich der Trojaner im Druckerspeicher verstecken, denn irgendwie muss der ja wieder draf gekommen sein? Danke für Antwort. Michael

Hallo Leute ich glaube ich habe gute Nachrichten  

AntiVir schlägt nicht mehr aus und ich glaube das Ding ist besiegt nachdem ich nun mein System manuell von dem Schädling bereinigt habe. AnitSpySoftware konnte bei dem Problem nicht helfen.

Der Schlüßel zu dem ganzen ist der Ordner in dem die ganzen .dll und .dat abgelegt werden und der Zeitpunkt an dem sich der Schädling ins System einnistet. Der Schädling befindet sich in einer .exe Datei.

Trotzdem danke für euer gehör... naja die meisten werden auf der Arbeit oder in der Schule sein. :-)

bye

Hallo hab ein Problem,

bei mir hat sich etwas eingenistet, was mein AntiVirProgramm als "TR/Dldr.WinSh.AC.05" bezeichnet.
Angeblich befindet sich der Code des Virus in einer Datei namens "SFOTP.dll" - wofür ist diese eigentlich gut ? (nebenfrage)
AnTiVir schlägt jedes mal aus wenn ich ein InternetExplorerFenster öffne also wenn ich online bin ! und das kann ganz schön nerven. Habe mir als alternative Mozilla gedownloaded, ich will aber trotzdem das der IE wieder ohne Probleme läuft. Achja und meine GoogleToolbar verschwindet seit diesem Problem auch immer wieder, hängt wahrscheinlich mit dem Problem zusammen.
Habe alles durchprobiert jedoch ohne Erfolg..
Helft mir bitte weiter hier meine aktuelle hijackthis log (hab schon einiges gefixt aber geht noch nicht):

Logfile of HijackThis v1.97.7
Scan saved at 06:48:36, on 15.06.2004
Platform: Windows ME
MSIE: Internet Explorer v5.50

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\CRUO32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\NETMB32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\t-online\BSW4\ONLINE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\SYSTEM\ICILOTA.DLL (file missing)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)
O2 - BHO: (no name) - {69535ABC-0AE9-CD1D-1A43-88C6797D9B6E} - C:\WINDOWS\ADDRV.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [dfueconf] C:\Programme\Eumex\dfueconf.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NETMB32.EXE] C:\WINDOWS\NETMB32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [CRUO32.EXE] C:\WINDOWS\CRUO32.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex\HNetCtrl.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Bitte wieder in verständlicher Sprache was zu tun ist, bin kein Profi )
Danke für eure Hilfe !

Die kannste mal bei Kaspersky-Online Virentest prüfen und wenn schädlinch dann auch fixen:

O4 - HKLM\..\Run: [NETMB32.EXE] C:\WINDOWS\NETMB32.EXE
O4 - HKLM\..\RunServices: [CRUO32.EXE] C:\WINDOWS\CRUO32.EXE


Die kannst fixen:

O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\SYSTEM\ICILOTA.DLL (file missing)

O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)

O2 - BHO: (no name) - {69535ABC-0AE9-CD1D-1A43-88C6797D9B6E} - C:\WINDOWS\ADDRV.DLL

Und dann solltest mal dein IE updaten auf IE6-SP1

Gruß

hallo,
ich hab es auch geschaft.
alles wieder weg.
-systemwiederherstellung deaktivieren .
-spybot und ad-aware durchlaufen lassen und manuell alle einträge bis zuletzt verfolgen und manuell löschen
und dann systemneustart und nun sind sie alle wieder weg.
ich hoffe das bei euch auch so gut geklappt hat.
gruß rainer

Erstmal ein Hallo an alle,

schön, das ihr das Teil eingedämmt bekommt - ihr solltet
jedoch noch einen Blick in die FireWall Einstellungen riskieren.

<Gilt nur für diejenigen unter euch, die die WinXP Firewall nutzen>

Das Problem ist,das einige der nachgeladenen Trojaner die
Einstallung verändern - und auf ein Echorequest antworten.
Dieser Haken kann nicht mehr rausgenommen werden, ausser man
stellt alles wieder auf die Standardeinstellungen.
(Standard wiederherstellen)
Sonst antworten eure Rechner brav jedem Virus, der in eurem
SubNet nach Opfern sucht    und ihr habt ihn schwupps wieder
auf der Kiste ...

lg