Trojaner...bitte um hilfe

von **DeeKay** am 13.07.2006, 16:46

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

von **Yourhighness** am 13.07.2006, 17:37

@gipsy111

da ist auch ein legit Eintrag dabei. Bitte erst die Logs posten lassen und dann sehen was alles gefixt werden muss...

von **gipsy111** am 13.07.2006, 17:42

Ich habe gedacht, weil er datfindbat und echo nicht öffnen kann, wird es sich ändern, wenn er im HijackThis die Einträge fixen würde, die ich herausgesucht habe!

Das ist auch nicht meine Art, aber diesmal muss es so sein!!

von **DeeKay** am 13.07.2006, 17:52

Ich kann regedit bei ausführen auch nicht öffnen weil er sagt dass ein anderes prog auf diese datei zugreift ...genauso wie bei datfindbat....was könnt eich tun damit ich ausführen kann?

von **gipsy111** am 13.07.2006, 17:55

Hast du auch die ganze einträge gefixt (ich hab's noch ein bisschen geändert)!!

von **Nikita** am 13.07.2006, 18:06

gipsy111 hat geschrieben:**
Cleanup
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html
__________________________________________________________

**
Look2Me-Destroyer V1.0.5 abarbeiten - poste den report
http://virus-protect.org/l2mfix.html

**
Vundofix abarbeiten
http://virus-protect.org/artikel/tools/vundofixx.html

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R3 - URLSearchHook: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {133D13B2-CFBB-4CFC-8729-3EB13CFB4BCD} - C:\WINDOWS\system32\wpdtrbce.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O2 - BHO: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll

O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe

O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [Bier] "C:\DOKUME~1\DIMITR~1\ANWEND~1\YSTEM3~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Mykxapp] C:\WINDOWS\?ppPatch\??ool32.exe

O4 - Global Startup: msconfig.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\scanregw.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\ghmf32.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dhnlobby.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\epcapi.dll

PC neustarten

____

Killbox:
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "All File"--> anhaken

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............
C:\Programme\TClock
C:\Programme\ToolBar888
c:\programme\common files\simtest
c:\programme\common files\svchostsys

PC neustarten

Pocket KillBox

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\dfndre_5.exe
C:\WINDOWS\system32\kzlr.dll
C:\WINDOWS\system32\wpdtrbce.dll
C:\WINDOWS\system32\scanregw.dll
C:\WINDOWS\system32\dhnlobby.dll
C:\WINDOWS\system32\ghmf32.dll
C:\WINDOWS\system32\epcapi.dll
C:\WINDOWS\system32\p2pnetworking.exe

PC neustarten

__________________________________________________________

**
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

---------------------------------------------------------------------------------------------

Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = Schluessel loeschen)
DisableRegistryTools = Schluessel loeschen)

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

**
Datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

von **DeeKay** am 15.07.2006, 01:09

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

von **Nikita** am 15.07.2006, 14:27

1.
arbeite die bfu ab..und mache auch den Scan mit Sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Snowball Wars" >>files.txt
dir "C:\Dokumente und Einstellungen\Dee\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\Dee" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Totem Shared" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\uufi" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt

------------

ist fuer mich (Sammlung, bis ich alle Daten habe)

C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll

C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk

C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt

C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\services.dll
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe

c:\dokumente und einstellungen\Dee\dr.exe
c:\dokumente und einstellungen\Dee\mc-110-12-0000137.exe
c:\dokumente und einstellungen\Dee\n.bat
c:\dokumente und einstellungen\Dee\setup.exe

C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe

C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\Snowball Wars

C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe

http://virus-protect.org/artikel/spywar ... ntry2.html

von **DeeKay** am 15.07.2006, 18:34

13.07.2006 14:45 <DIR> .
13.07.2006 14:45 <DIR> ..
21.08.2004 11:57 122.880 ICSharpCode.SharpZipLib.dll
20.04.2006 23:09 572 svchostsys.exe.config
20.04.2006 23:44 620 svchostupdate.exe.config
20.04.2006 23:47 3 Version.txt
4 Datei(en) 124.075 Bytes
2 Verzeichnis(se), 138.405.646.336 Bytes frei

von **Nikita** am 17.07.2006, 12:57

**
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
-----------------------------------------------------------------------------------------------

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Files to delete:

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b116.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b122.exe
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\Mendoza1.exe
C:\kybrde_5.exe
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\services.dll
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe
C:\Programme\Snowball Wars\License.txt
C:\Programme\Snowball Wars\uninstaller.exe
c:\dokumente und einstellungen\Dee\dr.exe
c:\dokumente und einstellungen\Dee\mc-110-12-0000137.exe
c:\dokumente und einstellungen\Dee\n.bat
c:\dokumente und einstellungen\Dee\setup.exe
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s2q8.dat
C:\Programme\ipwins\sdo.1.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\shs.1.dat
C:\Programme\ipwins\sjg.1.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe
C:\Programme\trial_setup.exe
C:\Programme\trial_setup.ini
C:\Programme\trial_setup.msi
C:\Programme\Common Files\misc001\Mendoza.exe
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\temp.txt
C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**
fixe mit dem HijackThis:

O3 - Toolbar: (no name) -

{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe

PC neustarten

------------------------------------------------------------------------------------------------

loesche manuell (im abgesicherten Modus)

C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}
C:\Programme\ToolBar888
C:\Programme\Snowball Wars
C:\Programme\ipwins
C:\Programme\InetGet2
C:\Programme\Common Files\misc001
C:\Programme\Common Files\simtest
C:\Programme\Common Files\svchostsys

C:\Dokumente und Einstellungen\Dee\Lokale Einstellungen\Temp\sv6fc.tmp

C:\Dokumente und Einstellungen\Dee

loesche .limewire , denn dadurch sind die Viren auf deinen PC gelangt !

22.06.2006 17:59 <DIR> .limewire

----------------------------------------------------------------------

das ist der Purityscan, hier im Browser sieht man ein Fragezeichen, aber in Wirklichkeite sind es kryptsche Zeichen, du musst also nach Datum suchen, um es loeschen zu koennen !

C:\Dokumente und Einstellungen\Dee\Anwendungsdaten\?ystem32

13.07.2006 19:11 <DIR> ?ystem32

es scheint, dass ewido es nicht geloescht hat..............
C:\Dokumente und Einstellungen\Dee\Anwendungsdaten\ѕystem32\msconfig.exe -> Trojan.PurityAd

--------------------------------------------------------------------------------------------
**
scanne mit dr.web und poste den scanreport
http://virus-protect.org/cureit.html

von **DeeKay** am 17.07.2006, 22:50

Dauer:: 00:40:14
-----------------------------------------------------------------------------

von **Nikita** am 20.07.2006, 13:31

+

loesche:

C:\Mendoza1.exe

(ich verstehe nicht, wieso das im dr.web schon wiedr auftaucht...es stand schon zweimal im Avenger....)

---------------------------------------

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wiederaktivieren)

------------------------------------------

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

von **DeeKay** am 20.07.2006, 14:57

Not disinfected C:\Dokumente und Einstellungen\Dee\Cookies\dee@weborama[2].txt

von **Nikita** am 20.07.2006, 16:30

loesche:

C:\WINDOWS\system32\dr.exe
c:\windows\drsmartload2.dat

dann sollte wieder alles o.k. sein

von **DeeKay** am 20.07.2006, 17:44

Dann bedanke ich mich mal recht herzlich für die mühe =) !!!

Aber eine frage hab ich noch....wenn ich meinen internet explorer öffne kommt immernoch "auto:blank" anstatt meine startseite.

Trojaner...bitte um hilfe

Trojaner...bitte um hilfe

Ähnliche Themen

Wer ist online?