Home » Spyware & Browser Hijacker Support Forum » Ich bekomme den Trojaner "TR.Click.Noname2" nicht weg, hier das Log-File: » Themenansicht

Ich bekomme den Trojaner "TR.Click.Noname2" nicht weg, hier das Log-File:
#0
27.03.2005, 13:52
3vision
...neu hier

Beiträge: 2
#1 Hallo,

nachdem ich meinen Rechner mit Adaware und Antivir "durchleuchten" ließ, hab ich ein Problem mit o.g. Trojaner, den ich nicht löschen kann bzw. die Programme nicht löschen können. Ich habe euer Forum durchgelesen und hoffe, das ihr mir mit dem Log-File von HijackThis helfen könnt:

Logfile of HijackThis v1.99.1
Scan saved at 13:33:16, on 27.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Programme\Steam_halflife2\Steam.exe -silent
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EB5EA10-9F71-429E-98C2-87C717437FB8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EB5EA10-9F71-429E-98C2-87C717437FB8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1EB5EA10-9F71-429E-98C2-87C717437FB8}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Im voraus schonmal lieben Dank und lob an dieses Forum.

Grüsse,

Willi
Seitenanfang Seitenende
27.03.2005, 22:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@3vision

Im Log ist nichts sichtbar...also tiefer "graben"

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier poste
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2005, 11:39
3vision
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

viele Dank für die Mühe und die prompte Hilfe.

Soweit hab ich alles befolgt und folgende infizierte Meldungen bekommen:

Mon Mar 28 02:40:41 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\41UNG56B\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 02:43:06 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\2XXENEH4\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 02:45:08 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\29LRRD63\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 02:45:48 2005 => Total Disinfected Files: 0
Mon Mar 28 03:03:40 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\41UNG56B\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 03:05:55 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\2XXENEH4\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 03:07:51 2005 => File C:\DOKUME~1\ADMINI~1.SOE\LOKALE~1\TEMPOR~1\Content.IE5\29LRRD63\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 03:26:39 2005 => File C:\Dokumente und Einstellungen\Administrator.SOENNCHE-BSBNWV\Lokale Einstellungen\Temporary Internet Files\Content.IE5\41UNG56B\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 03:28:56 2005 => File C:\Dokumente und Einstellungen\Administrator.SOENNCHE-BSBNWV\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XXENEH4\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Mon Mar 28 03:30:53 2005 => File C:\Dokumente und Einstellungen\Administrator.SOENNCHE-BSBNWV\Lokale Einstellungen\Temporary Internet Files\Content.IE5\29LRRD63\prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 28 05:03:44 2005 => ***** Scanning complete. *****

Mon Mar 28 05:03:44 2005 => Total Files Scanned: 74776
Mon Mar 28 05:03:44 2005 => Total Virus(es) Found: 10
Mon Mar 28 05:03:44 2005 => Total Disinfected Files: 0
Mon Mar 28 05:03:44 2005 => Total Files Renamed: 0
Mon Mar 28 05:03:44 2005 => Total Deleted Files: 0
Mon Mar 28 05:03:44 2005 => Total Errors: 10
Mon Mar 28 05:03:44 2005 => Time Elapsed: 02:01:41
Mon Mar 28 05:03:44 2005 => Virus Database Date: 2005/03/24
Mon Mar 28 05:03:44 2005 => Virus Database Count: 123152

Mon Mar 28 05:03:44 2005 => Scan Completed.



Ich hoffe, alles ist genauso wie du es benötigst. Sorry, aber in solchen Dingen bin ich einfach Laie.

Nochmals vielen Lieben Dank für die Mühe.

Grüsse,

Willi
Seitenanfang Seitenende
28.03.2005, 12:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@3vision

•Zum Starten des Dienstprogramms Datenträgerbereinigung[/color] klicken
Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

C:\Dokumente und Einstellungen\Administrator.SOENNCHE-BSBNWV\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<--alles leeren
(lasse nur die index.dat)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
----------------------------------------------------------------------

Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

[B] Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.

Das Service Pack 2 (SP2) soll Windows XP besser vor Viren und Angriffen aus dem Internet schützen. Ein wichtiger Sicherheitsaspekt wird allerdings durch SP2 kaum gewürdigt:
--------------------------------------------------------------------------------------
Viele Windows-Nutzer arbeiten an Ihrem PC im gefährlichen Administratormodus. ]Das sollten sie ändern.Nach Ansicht von Fachleuten ist SP2 zwar ein Schritt in die richtige Richtung. „Was in Service Pack 2 wirklich fehlt, ist die Umstellung von Millionen Windows-Zugängen mit Administratorrechten auf eingeschränkte Benutzer-Accounts"

Wenn sich der Administrator einen Trojaner oder Backdoor installiert (mittels eines kleinen unbemerkt installierten Schadprogramms, das seine wahren Absichten verschleiert) sind umgehend auch die vielen neuen Sicherheitsfunktionen von SP2 gefährdet. Mit Administratorrechten kann ein Trojaner/Backdoor Firewalls sowie Antivirensoftware ausschalten, denn es hat vollen Zugriff auf sämtliche System-und persönliche Datein) ohne dass es der Nutzer bemerkt.

Die Lösung ist die Umwandlung Ihres bisher genutzten Administratorkontos in ein eingeschränktes Benutzerkonto, auch „Account" genannt - und zusätzlich die Einrichtung eines neuen Admin-Kontos, das für Spezialfälle vorbehalten bleibt.

Es lässt sich unter Windows XP in der Systemsteuerung aktivieren

>>Start > Systemsteuerung > Benutzerkonten

>>Hier erstellen Sie als Administrator Ihres Computers ein neues, am besten kennwortgeschütztes Benutzerkonto, dem Sie einen beliebigen Namen geben.
Geben Sie diesem Konto die vollständigen Administratorrechte

>>Im nächsten Schritt entziehen Sie Ihrem bisher genutzten Konto die Administratorrechte und verwandeln es in ein eingeschränktes Benutzerkonto. Geben Sie diesem Konto einen anderen Namen. Wenn Sie künftig an Ihrem PC arbeiten, melden Sie sich regelmäßig unter "diesem Namen" an. So vermindern Sie die Gefahr, dass ein versehentlich installiertes Schadprogramm die neuen Sicherheitsfunktionen von Windows außer Kraft setzt.

Zu Beachten
Künftig funktioniert NUN einiges nicht mehr so einfach, z.b: „Abbrechen des Prozesses nicht möglich. Zugriff verweigert" oder Programme lassen sich nicht mehr installieren (da sie nur im Administratormodus installiert und zum Laufen gebracht werden können)

Künftig funktioniert NUN einiges nicht mehr so einfach, z.b: „Abbrechen des Prozesses nicht möglich. Zugriff verweigert" oder Programme lassen sich nicht mehr installieren (da sie nur im Administratormodus installiert und zum Laufen gebracht werden können)

1.Möglichekeit:
#
Solche Programme starten Sie im Administratormodus am leichtesten, indem Sie Ihre Anmeldung am PC wechseln
#
Start > Abmelden > Benutzer wechseln
#
Die gerade laufenden Programme des eingeschränkten Benutzerkontos bleiben dabei im Hintergrund aktiv, und Sie können auf die gleiche Weise zum Ursprungskonto zurückkehren. Windows XP gibt übrigens eine Warnung aus, falls Sie den Computer ausschalten wollen, wenn noch unter anderen Benutzerkonten Programme offen sind.

2.Möglichkeit:
Wenn bestimmte Software nur im Administratormodus läuft, gibt es noch eine andere Lösung: Sie besteht darin, das Programm unter anderer Anmeldung laufen zu lassen (mit einem Rechtsklick auf das gewünschte Programm und der Auswahl von „Ausführen als"). Hier geben Sie dann die Administratorkennung ein.
http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1