Hi Leutz da bin ich wieder hab ein Prob ganz vergessen. Wenn ich den Rechner hochfahre und dann zum erstenmal ins Inet gehe und ne HP aufrufe kommt ne AntiVir Warnung und zwar 2 stück das einmal im IE5 COnent Ordner nen Trojaner ist irgend ne.bin datei und die hier: C:\WINDOWS\SYSTEM32\EDMHM.DLL

Ist das Trojanische Pferd TR/Dldr.Startpage

Ich lasse die Viren dann behben und dann ist kurze Zeit ruhe, jedoch nach jedem neustart und wiedermalgiem aufrufen einer HP kommt es wieder. Hab schon einiges versucht aber ich bekomme den nicht weg.
Wisst ihr woran das liegen kann?

Hallöchen,

am besten mal die Autostarteinträge kontrollieren ob dort ein verdächtiger Eintrag vorhanden ist:

http://www.dirks-computerecke.de/winxp_autostart.htm

Dann natürlich einfach mal die temporären Internetdateien löschen. Das kannst du im Internet Explorer unter Extras - Internetoptionen machen.

Natürlich aktuelles Antivirenprogramm und Firewall installieren...

Hallo @Ertel

Du weisst doch schon, wie das hier funktioniert.....immer das Log vom HijackThis mitposten

Mache folgendes:

oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: EDMHM.DLL <PC neustarten

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K


#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*

mfg
Nikita

Hi, da bin ich wieder. Hab alles gemacht aber nichts hilft.
hab nen komplett Scan mit Antivir gefunden hat auch was gefunden und alles behoben nach nochmaligem scan nichts mehr gefunden.

Jedoch kommt die Warnung wegen dem Trojaner immer noch aber es sind immer 2 Dateien die immer wieder im namen variieren isnd also nicht immer die gleichen sie werden als irgend nen Startpage teil detectet und des es ahlt Trojaner sind. ANtivir löscht diese dann auch aber nach späterer Zeit taucht es beim surfen wieder auf aber halt wieder andere dateien aber von den Ordnern immer die gleichen. einmal im System32 ordner und halt im IE5 Ordner.

Hier mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 23:57:42, on 10.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\Icq.exe
D:\programme\Steam\Steam.exe
C:\Dokumente und Einstellungen\Matrix\Desktop\Virus Total\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\A6U16K\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45B410C-6532-47DF-9D82-6A1B8257C440}: NameServer = 217.237.149.161 217.237.151.225


Hab Adware durchlaufen lassen, hat aber nichts gefunden habe alle Temps und so gelöscht und bereinigung gemacht, Ebenfalls nicht geholfen.

Auch Progs wie AboutBuster brachten nichts.

Pls help weil das nervt und ich halt nicht genau weiss was das nun ist, keine lsut das da wär mich beobachtet beim surfen.

Habe auchTerEx drauf und TCP View aber da ist alles in ordnung.

Hallo @Ertel

Nimm das mal aus dem Autostart.
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

Dann:
Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/hijacker/escan.shtml
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Nikita

Hallöchen,

@nikita: StyleXP ist ein Programm um komfortabel Designs von Windows XP zu verwalten. Ich hab es auch im Einsatz, es ist o.k.

Hallo @Computerdirk

Ich weiss, aber es gibt einen ausfuehrlichen Thread in einem anderen Forum (frag mich jetzt nicht, wo er abgeblieben ist.... wo dieses Tool, geladen von irgendeiner PC -Zeitschrift, der Ausloeser fuer diverse Probleme war.
Ich habe ja nicht angeregt, das Tool zu loeschen, sondern es erst einmal aus dem Autostart zu nehmen.

Gruss
Nikita

Ok werd ich machen, kann aber wegen meiner "ISDN" leitung bissle dauern ^^

Hiho, also hab des Prog DLt und alles gemacht. Und es scheint funktioniert zu haben.

Es lag wohl daran das AV Guard den virus in den infectet ordner gepackt hat aber nicht gelöscht und so der Virus oder Trojaner immer noch sein dienst getan hat. Insgesamt wurden noch 10 sachen gefunden die die andern progs nicht fanden, diese sind nu alle weg.

Big THX an Nikita, schön das es solche Checker wie euch gibt