Trojaner gefunden! wie löschen?

#0
04.07.2004, 16:42
...neu hier

Beiträge: 3
#1 ich habe mein system mit antivir durchsucht und Trojaner (TR/Dldr.PurScan.B.1) und Würmer gefunden. ich konnte fast alle löschen nur ein trojaner, der in einem Archiv gefunden wurde ist noch da.
Wie entfehrne ich den jetzt? Und noch eine frage: Wenn der PC längere zeit an ist (und das ist er sehr oft ;)). Der Internet Explorer fängt an zu spinnen, d.h. er zeigt nahezu alle seiten die ich besuchen will fehlerhaft(fehlende bilder, usw.) oder garnicht an. oft erst nach mermaligen aktuelisieren. Nun die Frage: Gibt es einen zusammenhang zwischen den IE Problem und dem Trojaner oder ist das wider was anderes?
Ich hatte vor ein paar wochen ein ähnliches Porblem mit dem IE. Habe dann C: ganz formatiert und alles neu afgespielt. Wieso habe ich jetzt schon wieder so was?
ich habe keine ahnung von den ganzen viren zeug und wäre über Hife sehr Dankbar.
Dieser Beitrag wurde am 04.07.2004 um 16:47 Uhr von Strahler editiert.
Seitenanfang Seitenende
04.07.2004, 22:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.07.2004 um 22:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 16:42
...neu hier

Themenstarter

Beiträge: 3
#3 hier is die aktuellse Log datei. ich habe das allerdings schon mal gemach und es mir auf so einer seite interpretiren lassen. Und was ist mit dem Explorer los?

log:

Logfile of HijackThis v1.98.0
Scan saved at 16:39:11, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q815021_XPSP2_WinSE_44054\Q815021_WXP_SP2_x86_DEU.exe
d:\179776458bc82877748042346c5ab9f1\xpsp1hfm.exe
d:\179776458bc82877748042346c5ab9f1\sp1\update\update.exe
D:\Felix Ordner\Internet\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://warcraft3.ingame.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe
O4 - HKCU\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Zone Labs Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
Seitenanfang Seitenende
05.07.2004, 17:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Strahler

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe mit dem HijackThis

O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Windows Firewalll] scvhost.exe

neustarten

Lade mwav.exe ...30 Tage free und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

Lade Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus...kann lange dauern

normal neustarten

Lade Sygate Firewall, falls du keinen Router oder Firewall hast.
http://smb.sygate.com/products/spf_standard.htm

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 18:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 22:40
...neu hier

Themenstarter

Beiträge: 3
#5 Wiederherstellung war deaktieviert. Habe einträge gefixd, scan im Abgesicherten Modus gemacht und der Trojaner im Archiv ist immer noch da.
was ist diese mwav.exe? Bei mir zeigt er an, das die datei gefählich sei?!?

aktueller Log:

Logfile of HijackThis v1.98.0
Scan saved at 22:39:01, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\devldr32.exe
D:\Felix Ordner\Internet\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://warcraft3.ingame.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Zone Labs Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{586BFEF3-1C67-41E4-AE31-7223139D97E2}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{586BFEF3-1C67-41E4-AE31-7223139D97E2}: NameServer = 217.237.151.97 194.25.2.129
Seitenanfang Seitenende
05.07.2004, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 @Strahler

mwav.exe ist ein Virenscanner...sehr effizient , aber nur 30 Tage free.
Eigentlich muesste er den Virus loeschen.
Wenn nicht, musst du es manuell machen.


Gehe in die Registry und loesche auf der rechten Seite die Eintraege
Start<Ausfuehren<regedit reinschreiben
es oeffnet sich die Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche :
[Microsoft Update]
[Windows Firewalll]

schliesse die Registry

Loesche :
C:\WINDOWS\System32\snlogsvc.exe
C:\WINDOWS\System32\scvhost.exe........genau diese loeschen und nicht verwechseln mit anderer aehnlichen Namens !!!!

Tipp:
Der Antivirus hat einen Guard, der muesste im Systemstart erscheinen
in der Taskleiste als "aufgespannter Regenschirm"
Stelle bitte den Antivirus im <Menue< so ein.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 23:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »