Hilfe, Trojaner lässt sich nicht löschen

Dieses Thema im Forum "Sicherheit" wurde erstellt von Wyggum, 17. Februar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Hallo Jungs!

    Ich brauche eure Hilfe!

    Mein Virenscanner (AntiVir XP) meldet mir den Trojanrer
    TR/WINShow.n.Drp1, und fragt mich ob er ihn löschen soll.

    Ich bestätige, und AntiVir löscht den Virus und sucht weiter, findet den gleichen Virus in einer anderen Datei nochmals, den ich natürlich wieder lösche.

    Das Problem: beim nächsten mal Hochstarten ist der Virus wieder da.

    Wie werde ich das verdammte Ding dauerhaft los ?????

    Bitte helft mir

    Wyggum
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. Gast

    Gast Guest

    c:\PROGRA~3\ClipInc\Server\ClipInc-Server.exe

    Unklar. Ist dir bekannt, was das ist?

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.008i.com/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.008i.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.008i.com/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = h**p://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h**p://www.008i.com/search.html

    Fixen.

    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

    Fixen/Löschen

    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install

    Verdächtig. Fixen.
     
  4. ADAMSKI

    ADAMSKI Byte

    Registriert seit:
    5. November 2003
    Beiträge:
    49
    yo ich hab jetzt auch das selbe Problem. Hab mir den HijackThis runtergeladen und gescannt. Folgendes kam dabei raus:

    Logfile of HijackThis v1.97.7
    Scan saved at 00:40:41, on 08.03.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\oodag.exe
    c:\PROGRA~3\ClipInc\Server\ClipInc-Server.exe
    C:\Programme\Microsoft IntelliPoint\point32.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme - Internet\Crazy Browser\Crazy Browser.exe
    C:\Programme - Internet\LeechGet 2004\LeechGet.exe
    C:\Downloads\hijackthis1977\HijackThis.exe
    C:\Programme- Utilities\Ad-aware 6\Ad-aware.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.008i.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme - Viewer\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme- Utilities\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~3\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\programme - viewer\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme - Internet\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme - Internet\LeechGet 2004\\Wizard.html
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme - Internet\FlashGet\jc_link.htm
    O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme - Internet\LeechGet 2004\\AddUrl.html
    O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme - Internet\LeechGet 2004\\Parser.html
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.6774074074
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C2843D-F357-439A-AAC3-08E52B87A141}: NameServer = 192.168.1.1




    kann mir da jetzt jemand helfen?
     
  5. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Hurra, mein System scheint jetzt wieder clean zu sein.

    Ich möchte mich herzlich bei euch bedanken, denn ohne eurer
    Hilfe hätte ich keine Chance gehabt.


    Gruß
    Wyggum
     
  6. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  7. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Öhmm, auf der Seite startet das Downloadfenster nicht.

    Trotzdem Danke für die Hilfe

    Wyggum
     
  8. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Buahhhhh, funzt trozdem nicht. :heul: :heul: :heul:
     
  9. Wyggum

    Wyggum Byte

    Registriert seit:
    21. Dezember 2002
    Beiträge:
    61
    Okay

    werde mal versuchen ob ich das hinbekomme und post dann das Ergebniss.

    Danke für den Tip

    Wyggum


    Edit: auf deinen Link kann zurzeit nicht zugreifen (ist der Trojaner
    daran schud) ?
     
  10. Gast

    Gast Guest

    Winshow fängst du dir über den Internet Explorer ein (nein, nicht über andere Browser). Er registriert sich sehr nachhaltig im System.
    Besorg dir HijackThis , mache einen Scan, speichere den Report als TXT-Datei und poste hier deren Inhalt, damit man dir sagen kann, welche Systemeinträge von Winshow stammen und geändert/repariert/entfernt werden müssen.
    Auch andere Software wie Ad-Aware, Spybot oder CWShredder können das Teil ggf. entfernen. Nur löst das leider nicht dein Problem, denn mit dem IE fängst du dir bald den nächsten Hijacker.
    Dauerhafte Abhilfe ist ein konsequenter Browserwechsel.

    Nachtrag: Link nochmal geändert (führt zu bebilderter Anleitung mit Link zu einem DL-Mirror)
     
  11. goemichel

    goemichel Guest

  12. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ Wyggum:

    Steele hat sich bloß vertippt. Klick nochmal auf den Link von Steele.

    @ Steele: Habe mir erlaubt, deinen Link zu korrigieren... :D

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen