Virus oder Trojaner?

Dieses Thema im Forum "Browser" wurde erstellt von guschie, 26. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. guschie

    guschie Byte

    Registriert seit:
    20. April 2003
    Beiträge:
    61
    Hallo
    Seit heute als ich gerade meinen Pc hochgefahren hab ist da mitten auf dem desktop ein balken eines minimierten Fensters mit der aufschrift:
    G:\(mein festplattenverzeichniss)windows\odbc.hta
    ich bin mir fast sicher das es ein Trojaner ist. Wie kann ich ihn wegbekommen antivir reagiert nicht. Kann er raus dateien senden, weil ich hab zonelabs?
    Gibts ein Removaltool?
    Dankeschön und gruß
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  3. guschie

    guschie Byte

    Registriert seit:
    20. April 2003
    Beiträge:
    61
    das problem ist diese datei gitb es nicht....
    das wollte ich noch dazu sagen^^
     
  4. guschie

    guschie Byte

    Registriert seit:
    20. April 2003
    Beiträge:
    61
    Logfile of HijackThis v1.97.7
    Scan saved at 14:26:12, on 26.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programme\Sygate\SPF\smc.exe
    G:\WINDOWS\Explorer.EXE
    G:\WINDOWS\system32\spoolsv.exe
    G:\Programme\AVPersonal\AVGNT.EXE
    G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    G:\WINDOWS\System32\mshta.exe
    G:\Programme\AVPersonal\AVGUARD.EXE
    G:\Programme\AVPersonal\AVWUPSRV.EXE
    G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    G:\WINDOWS\System32\nvsvc32.exe
    G:\WINDOWS\system32\ZoneLabs\vsmon.exe
    g:\programme\warcraft iii\war3.exe
    G:\Programme\Internet Explorer\iexplore.exe
    G:\Dokumente und Einstellungen\Felix W.FELIX\Eigene Dateien\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\system32\StopzillaBH0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [*******ElbyCDFL] "G:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
    O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKCU\..\Run: [Neue Anwendung] G:\Programme\ICQ\Icq.exe
    O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Download with NetPumper - G:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Web Search - G:\WINDOWS\ex.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{877B50D5-92A9-4001-A5A7-9C31DC465644}: NameServer = 192.168.0.100

     
  5. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Lade dir SpHjfix.exe[/URL] und hier[/URL] die mwav.exe runter und entpacke diese, danach die kavupd.exe (Online-Update) ausführen.
    Infos zum entpacken: http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=005602


    Diese Dateien fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set

    Anmelden im abgesicherten Modus:
    Systemwiederherstellung deaktivieren - Temporäre Internet Files löschen - mit mwav.exe und SpHjfix.exe scannen - Neustart - neues Log-File posten
     
  6. guschie

    guschie Byte

    Registriert seit:
    20. April 2003
    Beiträge:
    61
    Logfile of HijackThis v1.97.7
    Scan saved at 16:21:50, on 26.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programme\Sygate\SPF\smc.exe
    G:\WINDOWS\Explorer.EXE
    G:\WINDOWS\system32\spoolsv.exe
    G:\Programme\AVPersonal\AVGNT.EXE
    G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    G:\WINDOWS\System32\mshta.exe
    G:\Programme\AVPersonal\AVGUARD.EXE
    G:\Programme\AVPersonal\AVWUPSRV.EXE
    G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    G:\WINDOWS\System32\nvsvc32.exe
    G:\WINDOWS\system32\ZoneLabs\vsmon.exe
    G:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
    G:\Programme\TuneUp Utilities 2004\RegistryCleaner.exe
    G:\hijackthis1977\HijackThis.exe
    G:\Programme\Internet Explorer\iexplore.exe
    G:\Programme\TuneUp Utilities 2004\DiskCleaner.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ls0.net/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\system32\StopzillaBH0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [*******ElbyCDFL] "G:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
    O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKCU\..\Run: [Neue Anwendung] G:\Programme\ICQ\Icq.exe
    O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Download with NetPumper - G:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Web Search - G:\WINDOWS\ex.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{877B50D5-92A9-4001-A5A7-9C31DC465644}: NameServer = 192.168.0.100

     
  7. guschie

    guschie Byte

    Registriert seit:
    20. April 2003
    Beiträge:
    61
    Herzlichen Dank für die Mühe ich habs jetzt aber im Griff mit CWShredder
    cu
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen