Virus/Trojaner gefunden - Hilfe!

Dieses Thema im Forum "Windows" wurde erstellt von Nemesis Force, 16. Februar 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 16. Februar 2007
    Hallo,
    nachdem ich das Programm "WindowBlinds" entfernt hatte, kam jedesmal eine Trojaner-Warnmeldung von AntiVir.

    Es wurden 3 unterschiedliche Trojaner gefunden, ich habe sie jedesmal gelöscht, doch irgendwie kommt diese Meldung jedesmal aufs neue - habe jetzt schon Adware und AntiVir drüberlaufen lassen. Doch irgendwie scheints nicht zu helfen.

    Was soll ich nur machen - bitte um Hilfe hab echt keine Ahnung was das für dinger sind! ?(
     
  2. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    Du könntest mal versuchen dir die test-version von nod32 zu saugen und es damit zu versuchen ansonsten mal versuchen es mit ner Systemwiederherstellung es grade zu biegen....

    Gr33tZ -=LuIgI=-
     
  3. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    Probier ma Spybot Search & Destroy

    Ansonsten poste ma deinen HijackThis-Log, dann können wir hier bestimmt welche helfen
     
  4. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    find die registry einträge raus und lösch die rest dateien der trojaner dann in der registry....ausserdem würde ich auch noch mal spybot search & destroy nehmen weil adware sucht nur nach spam auf deinem PC


    E#1: Sauber Killerburns, ich glaube wir hatten beide den gleichen Einfall
     
  5. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    Hatte gestern einen drauf... hab ihn mit dem programm sofort wieder weg bekommen. is kinderleicht und funzt super!
    PC optimization, PC security and spam filters for clients and servers
     
  6. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    Hier der Bericht:

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:27:33, on 16.02.2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    D:\Download\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pr.atwola.com/promoclk/100024888x1101023599x1076898975/aol?redir=http%3A%2F%2Fad.de.doubleclick.net%2Fclk%3B58150428%3B14865956%3Bu
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4AA8CE09-170D-4808-BA40-0525C1C53F96}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{97D6C9F9-516A-4E79-A20E-AA89172ECE31}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D219F0-8D55-47BD-B720-68406639330F}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Das andere werde ich später prüfen...
     
  7. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    1. installiere das service pack 2
    2. installiere den ie7
    3. lösche den proxy server im internet explorer
    und
    4. "fixxe mit hijackthis" diese einträge
    Code:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pr.atwola.com/promoclk/100024888x1101023599x1076898975/aol?redir=http%3A%2F%2Fad.de.doubleclick.net%2Fclk%3B58150428%3B14865956%3Bu
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    ...
    O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4AA8CE09-170D-4808-BA40-0525C1C53F96}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{97D6C9F9-516A-4E79-A20E-AA89172ECE31}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D219F0-8D55-47BD-B720-68406639330F}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1B7EDCF6-3E02-4CA0-A1F8-BB1DE2439545}: NameServer = 85.255.114.76,85.255.112.81
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    dann gehe auf Jotti online malware scan oder virustotal online scan

    und prüfe diese dateien
    C:\WINDOWS\System32\msdxm.ocx
    C:\Programme\Ahead\Nero BackItUp\NBJ.exe

    per copy und paste kopierst du die gesamten ergebnisse dort rüber.

    nun, bislang habe ich nicht wirklich etwas gefunden, was dafür verantwortlich ist, dass du ständig eine virenmeldung bekommst.

    daher wäre es sehr hilfreich, wenn du die meldung einmal abtippen und hier hinein kopieren könntest.

    mfg spotting
     
  8. 16. Februar 2007
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Virus/Trojaner gefunden - Hilfe!

    hab mal spybot drüberlaufen lassen, hat ne menge gefunden...
    hier nen screen von 2 warnmeldungen:

    av_screen.gif
    {img-src: //i135.photobucket.com/albums/q146/contrex24/av_screen.gif}
     
  9. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    backdoor trojaner und ein trojanisches pferd.

    problem:

    das pferd hat neue sicherehitslücken in dein windows system gebracht. damit ist jeder in der lage, neuen schadhaften code auf deinem pc auszuführen.
    der backdoor trojaner hat die aufgabe, neuen schadhaften code aus dem internet anzufordern.

    ich empfehle dir,

    formatiere deinen pc

    warum? ich kann dir nicht sagen, wo das pferd die lücken gerissen hat, und wie man diese lücken wieder schließen kann. auch wenn du es schaffst, sämtlichen code aus dem system zu entfernen, wenige augenblicke später kann de pc wieder infiziert sein. als kleine unterhaltungslektüre habe ich dafür einen eintrag in meiner faq stehen, was passiert, wenn man momentan mit einem frisch installierten windows xp ins internet geht, ohne hardware firewall und ohne service pack installiert zu haben. die einzige 100% sichere lösung ist ein formatieren aller deiner partitionen und einer sauberen neuinstallation.


    nun, da es aber für viele nicht in frage kommt, alles zu formatieren,
    nach der installation von windows, allen service packs und sicherheitsupdates, dem verschließen des systems durch http://www.ntsvcfg.de und dem umstieg auf einem alternativen browser sollte man, BEVOR DU DAS ERSTE MAL AUF DIE ALTEN PARTITIONEN ODER SICHERHEITS-DVDs zugreifst diese effektiv nach viren scannen. dafür befolge die unten verlinkte anleitung zu escan.

    wenn eine formatierung für dich aber wirklich nicht in frage kommt, und auch keine windows installation, dann wird es heikel.

    deine hijackthislogfiles sind hier fast unbrauchbar.

    starte den pc im abgesicherten modus mit netzwerkunterstützung.

    melde dich dort unter dem nick "administrator" an.

    gehe in den ordner, indem du hijackthis gespeichert hast und benenne die datei "hijackthis.exe" in "hijack.com" um. wichtig dabei ist die andere dateiendung.

    wiederhole den scan von hijackthis und fixxe alle einträge, die du in diesem neuen scan findest, in dem alten (siehe deinen post oben) nicht hast. ebenso die einträge, die ich markeirt habe.

    dann

    bitte mache dies hier.

    ich empfehle dir, escan auf einem anderen pc zu laden und upzudaten. danach den ordner auf cd kopieren, und dann auf deinem infizierten pc im abgesicherten modus auszuführen.
    sollte kein zweiter pc verfügbar sein,
    lade die dateien im abgesicherten modus mit netzwerkunterstützung.

    danach schauen wir weiter.

    mfg spotting
     
  10. 16. Februar 2007
    AW: Virus/Trojaner gefunden - Hilfe!

    shit, na danke auch ;(
     
  11. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.