Hilfe....Trojaner, Viren, Malware????

Brauche DRINGEND eure Hilfe,ich weiß wirklich nicht mehr weiter :

seit einigen tagen ist mein PC langsam....Antivir hat auch mehrere Troj. gemeldet...die lt. AV auch entfernt wurden.

Es stimmt aber immer noch einiges nicht, und ich weiß mir einfach nicht mehr zu helfen.

Mittem am arbeiten, öffnet sich ein Fenster, ob ich WINFIXER2005 installieren will. , der PC ist immer noch langsam, Trojaner werden auch noch gemeldet.

Ich habe sooo viele Maleware-, Viren-, Trojaner- Programme durchlaufen lassen...ohne Erfolg. Immer wieder kommt dieses Fenster mit WinFixer2005 und diese Trojanermeldungen.

Und jetzt kommt noch etwas ganz tolles:
Im abgesicherten Modus ließ ich Spybot laufen. Nach Beendigung des Scans kam die Meldung:
"Fehler während der Überprüfung! Xuron55,(datei C:\Windows\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird)"


Könnt ihr mir Helfen????


Schon mal ein VIELEN DANK !! !! !!

mfG
port

 

Hallo,
poste das Logfile bitte wie hier beschrieben.


Grüße Jasager

 

Sorry, vor lauter Verzweiflung habe ich das einfach überlesen.

hier der logfile:

http://www.hijackthis.de/logfiles/19e3e914e118785267912699ec89a2c1.html

Danke
Grüße Porti

 

Hallo,
dann lösche noch dein altes, über den ändern Button.
Weißt du noch welche Trojaner von Antivir entfertnt worden sind, und wo diese waren (Pfad)?
Welche Tools hast du schon drüberlaufen lassen?
Welche Trojaner werden noch gemeldet, und wo sind sie?
Scanne dein System mal mit Escan (Anleitung sorgfältig lesen) und poste das Log wie in der Anleitung beschrieben (find.bat).


Grüße Jasager

 

Hi,
die Trojaner waren folgende:TR/Dldr.Dyfuca.BH.1,TR/Dldr.Dyfuca.ds,TR/Dldr.istbar.it. Den Pfad weiß ich leider nicht mehr. Zur Zeit werden keine mehr gemeldet, aber dieses komische Fenster, mit der Anfrage ob ich WinFixer2005 installieren will, die kommt immer noch.
Escan, habe ich gestern gemacht.....sorry, da ich hier neu bin, und nicht wieder den Fehler machen will, wie vorhin, kannst du mir vielleicht sagen, wo bzw. wie ich den Escan-Logfile posten soll?
Danke
Gruß Porti

 

Moin,

wenn Du es nicht in den Beitrag einfügen willst, mache eine txt-Datei draus und hänge sie an Deinen Thread an. Knopf "Anhänge verwalten".

Thor

 

Hallo,
also es gibt zwei Möglichkeiten:
entweder:

oder

@Thor
Das ist bei dem Escan Log eher nicht anzuraten, da es leicht mehrere MB groß sein kann. (es werden alle gescannten Dateien aufgeführt).


Grüße Jasager

 

ok.....hier nun der Logfile von Escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 15:59:21 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
Thu Nov 03 16:34:31 2005 => File C:\WINDOWS\system32\datbinst.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:37:50 2005 => File C:\!KillBox\A0024492.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:37:50 2005 => File C:\!KillBox\dfskbdca.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:38:04 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\pritscon.dll.q_804B000_q infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:46:08 2005 => File C:\Programme\Msxstsvc\ace.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:46:08 2005 => File C:\Programme\Msxstsvc\cmpmeter.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:46:09 2005 => File C:\Programme\Msxstsvc\hccbdlv1.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 16:46:09 2005 => File C:\Programme\Msxstsvc\WinGenerics.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 17:42:35 2005 => File C:\WINDOWS\system32\datbinst.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Thu Nov 03 18:16:15 2005 => Scanning Folder: D:\VirenSW\AV\INFECTED\*.*
Thu Nov 03 18:16:15 2005 => Scanning File D:\VirenSW\AV\INFECTED\optimize.VIR
Thu Nov 03 18:16:15 2005 => File D:\VirenSW\AV\INFECTED\optimize.VIR infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.
Thu Nov 03 18:29:10 2005 => File E:\Download\Verschiedenes\Hacking Tools - Complete Set - Scan, Crack, Password, All U Need! Banned Illegal Cia Fbi Army.zip infected by "HackTool.Win32.EnumPlus.a" Virus! Action Taken: No Action Taken.
Thu Nov 03 18:38:55 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 17:51:51 2005 => Scanning File D:\AcrobatReader\Customer Support\Test Files\Tagged.pdf
Thu Nov 03 17:51:52 2005 => Scanning File D:\AcrobatReader\Customer Support\Test Files\Untagged.pdf
Thu Nov 03 17:56:50 2005 => Scanning File D:\adobe\Customer Support\Test Files\Tagged.pdf
Thu Nov 03 17:56:50 2005 => Scanning File D:\adobe\Customer Support\Test Files\Untagged.pdf
Thu Nov 03 18:24:14 2005 => File E:\Download\SW for Download\netpumper-1.24-setup.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 15:59:09 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Thu Nov 03 15:59:18 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Thu Nov 03 15:59:18 2005 => Offending Key found: HKLM\Software\limewire !!!
Thu Nov 03 15:59:18 2005 => Offending Key found: HKLM\Software\sacc !!!
Thu Nov 03 15:59:19 2005 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\limewire !!!
Thu Nov 03 15:59:19 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\limewire !!!
Thu Nov 03 15:59:20 2005 => Offending Folder found: C:\Programme\surfaccuracy
Thu Nov 03 15:59:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\programme\limewire
Thu Nov 03 15:59:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\limewire
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\09onkz8n\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\85wd6fgt\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\8dy78pun\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\g1uzgx2f\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\g1uzgx2f\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\k9o9qfsl\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\yxone9e1\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\09onkz8n\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\85wd6fgt\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\8dy78pun\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\g1uzgx2f\common[1].js
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\g1uzgx2f\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\k9o9qfsl\index[1].html
Thu Nov 03 15:59:21 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\yxone9e1\index[1].html
Thu Nov 03 15:59:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kazaa
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 18:38:55 2005 => Total Virus(es) Found: 36
Thu Nov 03 18:38:55 2005 => Total Errors: 245
Thu Nov 03 18:38:55 2005 => Time Elapsed: 02:40:25
Thu Nov 03 18:38:55 2005 => Total Objects Scanned: 126144
Thu Nov 03 15:57:49 2005 => Virus Database Date: 2005/11/02
Thu Nov 03 18:38:55 2005 => Virus Database Date: 2005/11/02
Thu Nov 03 19:23:14 2005 => Virus Database Date: 2005/11/02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Grüße Porti

 

Hallo,
Lösche mal die Backups/Quarantäneordner von diesen Programmen:
AntiVir, killbox und AntiSpyInfo
Dann die temporären Internetdateien löschen
Scheint ja was ganz neues zu sein, ist heute erst in die Datenbank aufgenommen worden, leider ohne Beschreibung.

Lösche mal folgende Dateien mit killbox (delete File on reboot bzw. deltree) löschen:
C:\Programme\Msxstsvc (ganzer Ordner)
C:\WINDOWS\system32\datbinst.exe
E:\Download\SW for Download\netpumper-1.24-setup.exe (hattest du das installiert? Wenn ja deinstallieren)


Dann über Systemsteurung>>Software folgende Programme, falls noch vorhanden deinstallieren:
kazaa (wenn unbedingt benötigt, durch kazaa light ersetzen)
surfaccuracy (sacc)
Besorge dir mal danach Ewido und scanne damit dein System, auch dort den report posten (bereinigt von Cookiesmeldungen).


Grüße Jasager

 

Hallo,

ich habe nun denn File von Ewido:


--------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:15:34, 04.11.2005
+ Report-Checksumme: A8FA2F2

+ Scanergebnis:

D:\VirenSW\AV\INFECTED\optimize.VIR -> TrojanDownloader.Dyfuca.ei : Gesäubert mit Backup


::Report Ende


Das Program surfaccuracy und kazaa, konnte ich leider nicht finden. Ebenso keine Backups/Quarantäneordner von AntiVir, killbox und AntiSpyInfo.

Ist jetzt mein PC von dem ganzen Mißt bereinigt????

Grüße
Porti

 

Hallo,
lösche mal noch diesen Ordner:
C:\Programme\surfaccuracy
Hast du denn noch das Problem mit dem Winfixer Popup?
Wie man die jeweiligen Quarantäneordner leert ist meist in der Hilfe beschrieben, ist aber nicht so wichtig.


Grüße Jasager

 

Hallo,
sorry, konnte früher leider nicht antworten.
Ich finde dieses Programm "surfaccuracy" leider nicht , habe sogar im Explorer Suchen lassen, ohne Erfolg.

Das Problem mit Winfixer ist bisher nicht mehr aufgetretten.

Nur der PC, ist immer noch langsam. Ich lasse gerade nochmal Spybot laufen, um zu sehen, ob die win.ini jetzt durchsucht werden kann.

Werde mich dann melden.

Ach ja, unter Windows Task-Manager sehe ich, das die AVGURARD.exe(AnitiVir-Programm) über 50% der CPU-Leistung benutzt. Steigt sogar manchmal auf 75% Hoch.
Ist das Normal?????

Was ich seit diesem Virenbefall auch bemerkt habe:
Wenn ich eine Email erhalte, und dort ist ein Link vorhanden, denn kann ich anklicken so oft ich will, keine Reaktion.
Ich hoffe das sind die letzten Probleme dich ich habe...

Bis dann, und VIELEN DANK, Du hast mir bisher sehr GEHOLFEN ! !
Viele Grüße Porti

 

Hallo,
die Auslastung kommt mir nicht normal vor, was für ein System hast du? Deaktiviere mal den Antivir Guard, ist dann das System wieder normal schnell?


Grüße Jasager

 

habe es deaktiviert, aber im moment läuft ja Spyboot, und jetzt ist es so, das diese EXE 100% der CPU-Auslastung hat...gott ich werde wirklich verrückt

mein System ist XP-Home Edition

Spybot ist nun beendet....und die doofe Fehlermeldung ist auch wieder da: sie lautet:
:"Fehler während der Überprüfung! Xuron55,(datei C:\Windows\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird)

Ach ja, und die CPU-Auslastung ist im moment auf bis 5%...also normal....

Grüße Porti

 

Hallo,
hast du die 1.3 Version von Spybot?
Würde der Meldung keine größere Bedeutung zukommen lassen.


Grüße Jasager

 

ja, habe ich

Grüße Porti

 

Hallo,
dann besorge dir die neue 1.4 Version, damit sollte dieses Problem gelöst sein.
Wie siehts mit der Systemauslastung bei geschloßenem AV-Guard aus?


Grüße Jasager

 

Hast Du Spybot auch nochmal im abgesicherten Modus laufen lassen? Evtl. hilft eine Neuinstallation der Version 1.4. Und ich würde nicht auf jeden Link in einer Email klicken, sonst hast Du gleich wieder neuen Ärger.

Edit: Grmpf! Zu spät. Da war Jasager schneller...

 

Nach der Deaktivirung der AV-Guard.exe, hat einfach die Spybot.exe das System auf fast 100% ausgelastet...nach Beendigung, des scans, hat sich das alles normalisiert..
Auch wenn ich jetzt die AV-Guard.exe wieder aktiviere, ist alles normal.
CPU-Auslastung schwankend zwischen 2 und 8 %...

Zum Link in der Email....ich meine, es kommen ja manchmal Mails, wo man denn Link anklicken muss, um seine Registrierung zu aktivieren.

Da habe ich auch Probleme.

Werde jetzt mal Spyboot updaten

Grüße Porti

 

Hallo,
also es könnte sein das AntiVir aus welchem Grund auch immer eine Macke hat.
Erste Möglichkeit, AniVir mal deinstallieren und wieder installieren.

Zweite Möglichkeit, in der neuen C't gibt es eine Einjahreslizenz für Nod32, ein sehr guter und sehr Resourcenschonender Virenscanner.
(dann natürlich auch AntiVir deinstallieren).

Zu Emails, du solltest nur auf keinen Fall irgendwelche Anhänge öffnen. Schau dir auch mal hier den Punkt sieben und die Links dazu an.


Grüße Jasager