Hallo,

ich habe mir heute beim surfen einen Trojaner eingefangen. Mein Virenkiller hat auch gleich Alarm geschlagen. Entfernent konnte er "Hermes" aber nicht. Ich habe dann "Win32_API.CAB" manuell gelöscht. Mein Virenkiller hat dann auch keinen Virus mehr gefunden. War das jetzt alles oder muss ich noch etwas machen? Ich kenne mich da leider überhaupt nicht aus. Bisher bin ich von Viren glücklicherweise verschont geblieben. Aber irgendwann erwischt es wohl jeden einmal.

Ach ja noch was. Beim hochfahren bringt mein PC jetzt immer eine Fehlermeldung, dass er die Trojanerdatei, die ich gelöscht habe nicht findet. Wie bekomme ich die denn weg???

1000 Dank schon im voraus für eure Hilfe!

Liebe Grüße
Steffi

Hi Steffi25,
die Zeiten, wo Otto-Normal-Surfer weitestgehendst von Viren, Würmern und Co verschont geblieben sind, sind wohl scheinbar definitiv passé...
Du bist aber definitiv im richtigen Forum gelandet, um Herr (Frau) über dein Problem zu werden...schau dir in dieser Sektion mal einige Artikel an, dann wirst du sehen, daß es so was wie einen roten Faden gibt: hijackthis runterladen und ausführen (dazu diesen Artikel anschauen http://www.informationsarchiv.net/foren ... -6002.html )
logfile hier posten ( mit Kopieren und Einfügen ), dann den Ratschlägen der Experten ( am besten Nikita ) folgen...

@marsupilami: du kannst doch das arme Mädel nicht auf so eine grausliche Seite schicken, allein die Farbgebung macht sie Seite absolut unbrauchbar...ist das deine Seite?
deinen tune up Tip finde ich auch grenzwertig, zumindest in diesem Fall, denn ihr Problem bekommt sie damit ganz sicher nicht in den Griff...ich kann nur hoffen, daß du in bester Absicht gehandelt hast, und es einfach nicht besser weißt...

ciao, mutz

Hast du noch einen Prozess Namens: i-worm.hermes.exe, dann stoppe ihn. Dann suche und lösche das File : i-worm.hermes.exe

Pestpatrol hätte die Infektion beheben und auch verhindern können.

@Steffi, bitte ignoriere den Streit in deinem Thread. Wenn nötig werde ich ihn beenden.

Hallo,
vielen Dank für eure Antworten. Ich weiss eure Hilfe wirklich zu schätzen! (Einen Prozess Namens i-worm.hermes.exe habe ich nicht.)

Hier das Protokoll von hijackthis:

Running processes:
D:\WIN\System32\smss.exe
D:\WIN\system32\winlogon.exe
D:\WIN\system32\services.exe
D:\WIN\system32\lsass.exe
D:\WIN\system32\spoolss.exe
D:\Programme\VirusScan\avsynmgr.exe
D:\WIN\system32\PAgent\naimas32.exe
D:\WIN\System32\ndagnt.exe
D:\Ora\bin\agntsrvc.exe
D:\Programme\VirusScan\VsStat.exe
D:\WIN\Explorer.EXE
D:\Programme\VirusScan\Vshwin32.exe
D:\WIN\system32\RpcSs.exe
D:\WIN\system32\CMD.exe
d:\programme\unispool\uspserv.exe
D:\Ora\bin\dbsnmp.exe
D:\Programme\dmi\win32\bin\win32sl.exe
D:\WIN\System32\NMSSvc.exe
D:\Programme\VirusScan\Avconsol.exe
d:\WIN\system32\pstores.exe
D:\WIN\system32\MSTask.exe
D:\WIN\System32\SysTray.Exe
D:\WIN\System32\atiptaxx.exe
D:\Programme\dmi\win32\bin\hptrayicon.exe
D:\WIN\System32\loadwc.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\WIN\system32\ePOAgent\naimag32.exe
D:\Programme\dmi\win32\bin\HPCompC.exe
D:\Programme\Microsoft Office\Office\START.EXE
D:\Programme\dmi\win32\bin\HPLaunch.exe
D:\Programme\dmi\win32\bin\cliip32.exe
D:\Programme\dmi\win32\bin\dmiwdog.exe
D:\Programme\dmi\win32\bin\HPAlert.exe
D:\Programme\Eigene Dateien\Shield\mcshield.exe
D:\Programme\Microsoft Office\Office\MSOFFICE.EXE
D:\WIN\System32\ddhelp.exe
D:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fireball.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fireball.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fireball.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = XXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = XXX<local>
F2 - REG:system.ini: UserInit=XXX,agnt.exe
O1 - Hosts: XXX chathost2.spin.de
O2 - BHO: AcroIEHlprObj Class - {XXX} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {XXX} - D:\WIN\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HP Tray Icon] "D:\Programme\dmi\win32\bin\hptrayicon.exe"
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] D:\WIN\system32\ePOAgent\naimag32.exe
O4 - HKLM\..\Run: [mdac_runonce] D:\WIN\System32\runonce.exe
O4 - HKLM\..\Run: [W32_ADAPI] D:\WIN\adapi.exe
O4 - Startup: KZM.xls
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = D:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft Outlook.lnk = D:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\START.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Validate XML - D:\WIN\web\msxmlval.htm
O8 - Extra context menu item: View XSL Output - D:\WIN\web\msxmlvw.htm
O9 - Extra button: (no name) - {XXX} - D:\WIN\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {XXX} - D:\WIN\System32\msjava.dll
O9 - Extra button: Related - {XXX} - D:\WIN\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {XXX} - D:\WIN\web\related.htm
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.fireball.de

Liebe Grüße
Steffi

Hallo @Steffi25
Erklaere bitte, was es mit den XXX-Eintraegen auf sich hat....ist das ein spezieller Proxy???

.........................................................................................................................
scanne mit dem HijackThis, dann hake an, <fix< und neustarten

Bei diesen Eintraegen bin ich mir nicht sicher:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm (?)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXX (?)
O4 - Startup: KZM.xls (was ist das ?)--««wenn es das ist:NICHT FIXEN(!) KZM 6120 Motherboard (Sound und Grafik on board) oder was anderes wichtiges im "Excel"

unbedingt fixen.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O13 - WWW. Prefix: http://

neustarten

1.WINRAR starten
dann
im unteren Feld die Datei "w32_API.cab" (WinZip-Datei) markieren
und löschen
#Beim anklicken der Datei "w32_API.cab" erscheinen im nächsten fenster
die dateien adapi.exe und start.inf
#Durch das löschen der kompletten WinZip-Datei "w32_API.cab" werden
diese Dateien gelöscht.
#Die Datei muss mit WINRAR geöffnet werden, da sie im Explorer nicht angezeigt
wird.
#Anschliessend im Explorer nach einer Datei "adapi.exe" suchen, markieren und
löschen.

Zum Schluss den Papierkorb löschen.

Dann Neustart des Rechner.
.......................................................................................................................
2.Suche und loesche folgendes:

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

-Seti@home 3.x to 4.0 upd.exe-
-Seti@home_twk.exe-
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
*lol*.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

3.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<Abgesicherter Modus (UNBEDINGT !!!!)
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal

mfg
Nikita

http://www.viruslibrary.com/virusinfo/I ... rmes.a.htm

Hallo Nikita,

vielen Dank für deine Antwort! Also bei den XXX-Einträgen war ich mir nicht sicher, ob es sich vielleicht um irgendwelche persönliche Infos handelt, deswegen hatte ich das unkenntlich gemacht ... Ich kann die Daten aber gerne nochmal vollständig posten.

Also KZM.xls ist eine Datei die ich mal erstellt und in den Autostart verschoben habe. Muss ich die dann fixen oder ist damit alles ok?

Was meinst du denn dann, was ich mit den Einträgen machen soll:
- R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm (?)
- R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXX (?)
- O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
- O13 - WWW. Prefix: http://
Lieber fixen oder doch nicht?

Also von der Dateiliste habe ich über suchen / finden keine Datei mit einem dieser Namen gefunden. Gibt es da ein Verzeichnis wo die Datei abgelegt sein müsste? Kann es sein, dass der Trojaner die Datei bei mir noch gar nicht angelegt hat?

Liebe Grüße
Steffi

Hallo @Steffi25

Falls du richtig gelesen hast, so hatte ich gepostet:
UNBEDINGT FIXEN:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
- O13 - WWW. Prefix: http://

<DisableRegedit=1 der Virus hat deine Registry lahmgelegt (!)
Wenn du jetzt in den Start<Ausfuehren<regedit gehen willst, um den Eintrag auf "0" zu setzen, wirst du wahrscheinlich nicht reinkommen, um es zu tun.

Scanne UNBEDINGT mit Escan !

.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<Abgesicherter Modus (UNBEDINGT !!!!)
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal


mfg
Nikita