E2Give kommt immer wieder

Dieses Thema im Forum "Sicherheit" wurde erstellt von micha1982, 26. Mai 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
    Hallo!

    Seit kurzem krieg ich von AntiVir Meldungen über Trojaner. Hab einen AdAware Scan gemacht, der mir gesagt hat, dass ich E2Give in meiner Registry hab. AdAware löscht das dann auch jedesmal anstandslos, bloß wenn ich dann direkt im Anschluss wieder einen Scan mache, sind die Dateien wieder da (manchmal mehr, manchmal weniger, aber immer ein paar).
    Mein HijackThis Log sieht folgendermaßen aus:

    http://www.hijackthis.de/logfiles/6fd2cd7326382a014d38751d746e28fc.html

    Danke schon mal für Eure Hilfe!

    Gruß,
    Michael
     
  2. Saftschubse

    Saftschubse Byte

    Registriert seit:
    4. Mai 2005
    Beiträge:
    92
  3. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wo? In welcher Datei, in welchem Pfad?
     
  4. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
    Hi, also der Pfad lautet:

    C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\temp.fr75B6\IeBHOs.dll
    ist das Trojanische Pferd TR/VB.gn.C

    (wobei sowohl der Pfad als auch der Name des Trojaners sich ändern, z.B. auch TR/Dldr.QQHelp.AP)
    Meine Temp Dateien habe ich gestern schon mittels CleanUp! gelöscht.
    Dieses E2Give wird anscheinend von einem anderen Programm immer wieder installiert (da ich es ja sowohl mit AdAware als auch mit SpyBot S&D lösche, es aber trotzdem wieder kommt).
    Spybot findet auch noch etwas namens cmdService, was er allerdings nicht löschen kann (auch nach Neustart nicht).
     
  5. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Folgende Dateien bitte online überprüfen lassen:
    http://virusscan.jotti.org/de/
     
  6. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
    Ok, gleich bei EQBranch.exe wurde folgendes gefunden:

    Status:
    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme:
    -

    AntiVir
    Adware-Spyware/PurityScan.ED.2 adware gefunden
    ArcaVir
    Keine Viren gefunden
    Avast

    Keine Viren gefunden
    AVG Antivirus
    Keine Viren gefunden
    BitDefender
    Trojan.Cmapp.D gefunden
    ClamAV
    Keine Viren gefunden
    Dr.Web
    Adware.Newads gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    Fortinet
    Adware/PurityScan gefunden
    Kaspersky Anti-Virus
    not-a-virus:AdWare.Win32.PurityScan.ed gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    W32/PurityScan.UY gefunden
    UNA
    Keine Viren gefunden
    VirusBuster
    Adware.PurityScan.CU gefunden
    VBA32
    AdWare.Win32.PurityScan.ed gefunden

    Heißt das jetzt, dass ich die Datei einfach löschen soll? (sorry, blöde Frage ich weiß, hab aber nicht soviel Ahnung...)
     
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ja, und zwar den RUN: Eintrag der Datei aus dem HijackThis-Log. Aber erst mittels Taskmanager den Prozess EQBranch beenden. Nicht vergessen zum Schluss noch die Datei selbst zu löschen.
     
  8. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
    So, nachdem ich jetzt alle oben genannten Dateien überprüft habe, sieht mein Hijackthis-File folgendermaßen aus:

    http://www.hijackthis.de/logfiles/2f606dd111cf0c5bb3dd7843b1569b49.html

    Beim Unlocker Assisstant wurde von dem Online Scan nichts gefunden, das direct32.dll konnte ich weder hochladen (ich drück auf hochladen, es passiert aber nix), noch von hijackthis fixen lassen (sagt es gäbe ein Problem, ich solle mich an den Webmaster wenden...) -> ist doch die Datei C:\Windows\system32\direct32.dll, oder?

    Nach wie vor finden Adaware und Spybot E2Give und noch ein paar Cookies. Das E2Give sind Registrierungsdatenbankschlüssel, die jedes mal ohne Anstand behoben werden beim nächsten Scan aber sofort wieder auftauchen... Der Ordner E2G unter C:\Programme taucht ab und zu noch auf, hat aber keinen Inhalt mehr und lässt sich auch sofort ohne Probleme löschen.

    Korrektur: jetzt ist im Ordner E2G jedesmal auch das IeBHOs.dll wieder drin, lässt sich löschen, taucht aber nach Sekunden wieder auf.
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    versuche es mit dem look2me Remover (drittes von oben) und poste danach einen neuen Link zu deinem Logfile.


    Grüße Jasager
     
  10. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    oh dann habe ich mich getäuscht, gehört wohl doch zu Purityscan. Lösche einfach die Datei C:\Windows\system32\direct32.dll mit killbox on reboot. Danach fixt(Haken davor und auf fix checked) du den Eintrag:

    O20 - AppInit_DLLs: direct32.dll

    mit HijackThis.


    Grüße Jasager
     
  12. micha1982

    micha1982 Byte

    Registriert seit:
    16. Januar 2006
    Beiträge:
    17
    Sorry, war jetzt ne Weile nicht mehr an diesem Computer...

    Also das mit Killbox hat leider auch nicht funktioniert. Das hat dieses direct32.dll zwar angeblich gelöscht, aber die Datei war danach immer noch da und hijackthis konnte es trotzdem nicht fixen (kam ne Fehlermeldung). Hab das direct32.dll jetzt manuell gelöscht (mit Hilfe von Unlocker, weil da unzählige Prozesse drauf zugegriffen haben) und jetzt scheint alles wieder zu funktionieren. Den e2give krieg ich zumindest nicht mehr...
    Hoffe mal dieses direct32.dll war nix wichtiges?!

    Vielen Dank mal für die Hilfe!

    Gruß,
    Michael
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen