Trojaner nicht zu entfernen.

#0
08.06.2005, 01:27
...neu hier

Beiträge: 1
#1 Hallo,

hab seit einigen tagen ein riesiges problem mit meinem internet. alles super langsam, dauernd werden automatisch irgendwelche programme runtergeladen. im taskmanager habe ich einige anwendungen gefunden, die nicht abzuschalten sind aber auch bei einer suche nach der datei nicht aufzufinden sind z.B. ijrusvc.exe.

kann mir irgendjemand helfen, wie ich dieses problem in den griff kriege. habe selber keine ahnung von diesem thema, deswegen würde es mir helfen von euch zu erfahren, welche informationen ihr genau braucht um das problem zu identifizieren und mögliche lösungen anzugeben und wie ich diese informationen aus meinem system bekomme.

soviel kann ich schon mal sagen, beim öffnen des internet explorers öffnet sich automatisch ein weiteres fenster auf dem irgendwelche werbung dann dargestellt wird. und wenn ich offline den internet explorer öffne zeigt er mir nicht mehr wie früher "Seite konnte nicht gefunden werden" sondern sucht unaufhörlich nach der seite.

habe adserve und antivir schon zigmal über meinen rechner gefahren. adserve findet nachdem ich im internet war immer eine menge an malware, aber antivir findet keinen virus. nur wenn ich online bin öffnet sich öfter ein feld in dem antivir mich auf einen trojaner aufmerksam macht und mir anbietet diesen zu löschen. hilft aber irgendwie nicht, da diese trojaner immer wieder kommen.

würde mich wahnsinnig freuen, wenn mir jemand helfen könnte. und falls ihr mehr infos braucht fragt mich (aber beschreibt mir bitte auch kurz wie ich euch diese infos übermitteln kann)

tausend dank im voraus.

brembak

nachtrag:

hab über hijack die logs ausfindig machen können:

Logfile of HijackThis v1.99.1
Scan<A title="Best Saved" style="COLOR: #65b45c; TEXT-DECORATION: underline" href="http://69.42.87.210/cgi-bin/ezlclk.fcgi?id=10069" target=_blank> saved </A>at 01:17:01, on 08.06.2005
Platform: Windows<A title="Best xp" style="COLOR: #65b45c; TEXT-DECORATION: underline" href="http://69.42.87.210/cgi-bin/ezlclk.fcgi?id=10192" target=_blank> XP </A> (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\ijrusvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\R~ Br~\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsi2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [najuli] c:\windows\system32\lbyalv.exe
O4 - HKLM\..\Run: [vicxdll] C:\WINDOWS\vicxdll.exe
O4 - HKLM\..\Run: [ztecenc] C:\WINDOWS\ztecenc.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Ctra] C:\Dokumente und Einstellungen\R~ Br~\Anwendungsdaten\maao.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google<A title="Best search" style="COLOR: #65b45c; TEXT-DECORATION: underline" href="http://69.42.87.210/cgi-bin/ezlclk.fcgi?id=9043" target=_blank> Search </A>- res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 81.222.131.59
O15 - Trusted IP range: 81.222.131.59 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097416916398
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - h**p://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8995B4D-82F5-40C7-8345-24C592BFD9B3}: NameServer = 192.168.1.13,192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF4FAFBA-198B-40F7-8499-B54E2088467C}: NameServer = 192.169.1.13,192.168.1.254
O18 - Filter: text/html - {33D4A320-F24D-48D9-B940-DAB1A49E27DA} - C:\Dokumente und Einstellungen\R~ Br~\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.28.dat
O23 - Service: AntiVir<A title="Best service" style="COLOR: #65b45c; TEXT-DECORATION: underline" href="http://69.42.87.210/cgi-bin/ezlclk.fcgi?id=10507" target=_blank> Service </A>(AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINDOWS\ijrusvc.exe

Nachtrag 2:

habe noch einen escan durchgeführt und insgesamt 69 objekte gefunden wovon 14 als Virus! identifiziert wurden. ist wohl ziemlich heftig oder. kann ich meinen rechner noch säubern ohne ihn zu formatieren? und wieso findet antivir diese viren und adserv diese spamware nicht? ist antivir nicht ausreichend um sich gegen viren zu schützen?

Wenn es irgendwie geht, dann würde ich gerne versuchen die 69 objekte aus meinem system zu löschen. ist das möglich?

danke für eure hilfe.

Wed Jun 08 08:19:28 2005 => ***** Scanning complete. *****

Wed Jun 08 08:19:28 2005 => Total Objects Scanned: 103670
Wed Jun 08 08:19:28 2005 => Total Virus(es) Found: 69
Wed Jun 08 08:19:28 2005 => Total Disinfected Files: 0
Wed Jun 08 08:19:28 2005 => Total Files Renamed: 0
Wed Jun 08 08:19:28 2005 => Total Deleted Objects: 0
Wed Jun 08 08:19:28 2005 => Total Errors: 27
Wed Jun 08 08:19:28 2005 => Time Elapsed: 05:01:11
Wed Jun 08 08:19:28 2005 => Virus Database Date: 2005/06/08
Wed Jun 08 08:19:28 2005 => Virus Database Count: 133939

Wed Jun 08 08:19:28 2005 => Scan Completed.

Wed Jun 08 08:58:23 2005 => Virus Database Date: 2005/06/08
Wed Jun 08 08:58:23 2005 => Virus Database Count: 133939
Wed Jun 08 08:58:29 2005 => AV Library Unloaded (3)...

File C:\WINDOWS\System32\nsi2.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\vicxdll.exe infected by "Trojan-Downloader.Win32.VB.hj" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\ztecenc.EXE infected by "Trojan-Downloader.Win32.VB.hj" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\regsync.exe tagged as "not-a-virus:AdWare.SafeSurfing.i". Action Taken: No Action Taken.
File C:\WINDOWS\ijrusvc.exe infected by "Trojan-Dropper.Win32.Agent.mu" Virus! Action Taken: No Action Taken.
Object "MyBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "updater Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "SearchEXE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "l.exe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IBIS Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IBIS Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IBIS Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\loader2.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3A6F7F8D-45E5-11D4-AC3E-ADBCE8B30410}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A8561647-E93C-11d3-AC3B-CE6078F7B616}" refers to invalid object "C:\WINDOWS\System32\VSPRINT7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B8185080-AEF8-11D3-9A1E-444553540000}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
File C:\WINDOWS\tool2.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\visfxun.exe infected by "Trojan-Downloader.Win32.VB.kd" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\yycbfd.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
File C:\WINDOWS\System32\mocupd.exe tagged as "not-a-virus:AdWare.WurldMedia.b". Action Taken: No Action Taken.
File C:\WINDOWS\System32\mos.exe tagged as "not-a-virus:AdWare.WurldMedia.c". Action Taken: No Action Taken.
File C:\WINDOWS\System32\newdial.exe infected by "Trojan-Dropper.Win32.Agent.my" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\nsh5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\System32\nsk5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\System32\nso5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\System32\nsy2.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\Temp\1.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\Temp\asfjkk32.tmp tagged as "not-a-virus:AdWare.SafeSurfing.i". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\Temp\FRM\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\TEMPOR~1\Content.IE5\09CHYJ4X\thin_installerv3[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\TEMPOR~1\Content.IE5\EH080VQ0\thin_poker_installer[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\TEMPOR~1\Content.IE5\G7372W1D\thin-94_installerV3_poker[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\TEMPOR~1\Content.IE5\K5K5MZGP\Nail[1].exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
File C:\DOKUME~1\R~BR~1\LOKALE~1\TEMPOR~1\Content.IE5\ZF5VF1GS\thin_installer[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\dkload.exe infected by "Trojan-Downloader.Win32.Small.aod" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Br\Lokale Einstellungen\Temp\BDECache\bde1F.tmp tagged as "not-a-virus:AdWare.Brilliandigital.a". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\IEService\v28.exe infected by "Trojan-Dropper.Win32.Inflator.b" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\Pribi\v29.exe infected by "Trojan-Dropper.Win32.Inflator.b" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.28.dat infected by "Trojan.Win32.Dialer.fy" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\1.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\asfjkk32.tmp tagged as "not-a-virus:AdWare.SafeSurfing.i". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\FRM\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09CHYJ4X\thin_installerv3[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EH080VQ0\thin_poker_installer[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7372W1D\thin-94_installerV3_poker[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5K5MZGP\Nail[1].exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZF5VF1GS\thin_installer[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
File C:\Programme\Morpheus\Morph20.exe tagged as "not-a-virus:AdWare.WurldMedia.a". Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ycomp5_0_2_7.dll tagged as "not-a-virus:AdWare.ToolBar.Yahoo". Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mocupd.exe tagged as "not-a-virus:AdWare.WurldMedia.b". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mos.exe tagged as "not-a-virus:AdWare.WurldMedia.c". Action Taken: No Action Taken.
File C:\WINDOWS\system32\newdial.exe infected by "Trojan-Dropper.Win32.Agent.my" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\nsh5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\system32\nsk5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\system32\nso5.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\system32\nsy2.dll tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\Temp\bw.exe infected by "Trojan-Downloader.Win32.Small.ru" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Temp\common.dll tagged as "not-a-virus:AdWare.WebSearch.s". Action Taken: No Action Taken.
File C:\WINDOWS\Temp\nsdtmp09.dll tagged as "not-a-virus:AdWare.MetaDirect.a". Action Taken: No Action Taken.
File C:\WINDOWS\Temp\se.exe tagged as "not-a-virus:AdWare.WindowEnhancer". Action Taken: No Action Taken.
File C:\WINDOWS\Temp\TBPS.exe tagged as "not-a-virus:AdWare.WebSearch.h". Action Taken: No Action Taken.
File C:\WINDOWS\Temp\toolbar.dll tagged as "not-a-virus:AdWare.WebSearch.q". Action Taken: No Action Taken.
File C:\WINDOWS\tool2.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.g". Action Taken: No Action Taken.
File C:\WINDOWS\visfxun.exe infected by "Trojan-Downloader.Win32.VB.kd" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\yycbfd.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Dieser Beitrag wurde am 08.06.2005 um 09:22 Uhr von brembak editiert.
Seitenanfang Seitenende
08.06.2005, 22:46
Member
Avatar Gool

Beiträge: 4730
#2 Erstmal:

Du solltest Service-Packs installieren - es gibt sie nicht grundlos.
Du solltest, wenn Du schon den IE verwendest, den auch aktuell halten.

Temporäre Internetdateien löschen.

Systemwiederherstellung abstellen.

Evtl. musst Du einige der folgenden Schritte im abgesicherten Modus machen:

Bei HijackThis alle Einträge beginnend mit O15 fixen.
Außerdem:
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [najuli] c:\windows\system32\lbyalv.exe
O4 - HKLM\..\Run: [vicxdll] C:\WINDOWS\vicxdll.exe
O4 - HKLM\..\Run: [ztecenc] C:\WINDOWS\ztecenc.EXE
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Ctra] C:\Dokumente und Einstellungen\R~ Br~\Anwendungsdaten\maao.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nsi2.dll
C:\WINDOWS\ijrusvc.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Virenscanner mit aktuellen Definitionen drüberlaufen lassen. Es könnte sein, dass Antivir durch die Malware getunnelt wird, also keinen Erfolg zeigt. Daher ist es ratsam, Antivir zunächst zu deinstallieren und einen alternativen Virenscanner (auf einigen Heft-CDs sind kostenlose einen Monat lauffähige Versionen guter Virenscanner dabei, CHIP bietet beispielsweise den Scanner von Kaspersky an) zu verwenden.

Die Virus-Logdatei aus Deinem Thread solltest Du am besten ausdrucken. Dann kannst Du auch manuell in der Registry und im Explorer nach den entsprechenden Einträgen und Dateien suchen und diese löschen (nicht in den Papierkorb verschieben, sondern beim Löschen die Shift-Taste - das ist die Taste, mit der man Großschreibung macht - gedrückt halten).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
09.06.2005, 17:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}]

[-HKEY_CURRENT_USER\Software\Bolger]

[-HKEY_CURRENT_USER\Software\aurora]

[-HKEY_CURRENT_USER\Software\ceres]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{302A3240-4805-4a34-97D7-1645A0B08410}]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon]

[-HKEY_CLASSES_ROOT\mfiltis]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
Computer in den abgesicherten Modus neustarten
http://www.tu-berlin.de/www/software/virus/savemode.shtml
(F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

-----------------------------------------------------------------------------------------------

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\dkload.exe
C:\WINDOWS\System32\paytime.exe
c:\windows\system32\lbyalv.exe
C:\WINDOWS\System32\nsi2.dll
C:\WINDOWS\vicxdll
C:\WINDOWS\System32\vbrundll.dll
C:\WINDOWS\ztecenc.EXE
C:\WINDOWS\System32\regsync.exe
C:\WINDOWS\ijrusvc.exe
C:\Dokumente und Einstellungen\R~ Br~\Anwendungsdaten\maao.exe
C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\Pribi\v29.exe
C:\WINDOWS\Downloaded Program Files\loader2.ocx
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx
C:\WINDOWS\hosts
C:\WINDOWS\Nail.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\visfxun.exe
C:\WINDOWS\yycbfd.exe
C:\WINDOWS\System32\mocupd.exe
C:\WINDOWS\System32\mos.exe
C:\WINDOWS\System32\newdial.exe
C:\WINDOWS\System32\nsh5.dll
C:\WINDOWS\System32\nsk5.dll
C:\WINDOWS\System32\nso5.dll
C:\WINDOWS\System32\nsy2.dll
C:\WINDOWS\Temp\bw.exe
C:\WINDOWS\Temp\common.dll
C:\WINDOWS\Temp\nsdtmp09.dll
C:\WINDOWS\Temp\se.exe
C:\WINDOWS\Temp\TBPS.exe
C:\WINDOWS\Temp\toolbar.dll
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\FRM\aurareco.exe
C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\IEService\v28.exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.28.dat
C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\Pribi\v29.exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7372W1D\thin-94_installerV3_poker[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5K5MZGP\Nail[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EH080VQ0\thin_poker_installer[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09CHYJ4X\thin_installerv3[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\1.exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\asfjkk32.tmp

PC neustarten

C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\<--alle Dateien loeschen

C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\1.exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temp\asfjkk32.tmp


C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7372W1D\thin-94_installerV3_poker[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5K5MZGP\Nail[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09CHYJ4X\thin_installerv3[1].exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EH080VQ0\thin_poker_installer[1].exe

C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\Pribi\v29.exe
C:\Dokumente und Einstellungen\R~ Br\Anwendungsdaten\IEService\v28.exe
C:\Dokumente und Einstellungen\R~ Br\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.28.dat


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

laden+ scannen-->poste mir das Log vom Scan
http://bilder.informationsarchiv.net/Nikitas_Tools/ewido-setup.exe

dann mache einen Onlinescan mit panda + berichte ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: