trojanerbefall dringend Hilfe bitte

24.04.2005, 16:03

Hi,
habe einige trojaner und Voren auf dem Rechner die ich mit antivir nicht entfernen kann, hier ist meine hijackthis logfile

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\Jessy\Desktop\Verknuepfungen\HijackT his.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\Run: [Windows Media Player] dohni.exe
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitepmd32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Windows Media Player] dohni.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Windows Media Player] dohni.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\JESSY\LOKALE~1\TEMP\_VWUPSRV.EXE

brauche dringend hilfe, danke

24.04.2005, 21:14

Hallöchen,

als erstes die systemwiederherstellung deaktivieren. Dann folgende Einträge mit HijckThis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://searchmiracle.com/sp.php - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://searchmiracle.com/sp.php - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://searchmiracle.com/sp.php - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://searchmiracle.com/sp.php - Böse
O2 - BHO: EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll - Böse
O2 - BHO: EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll - Böse
O3 - Toolbar: EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll - Böse
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe - Unbekannt
O4 - HKLM\..\Run: [Windows Media Player] dohni.exe - Unbekannt
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe - Unbekannt
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitepmd32.exe - Unbekannt
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe - Böse
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe - Böse
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe - Böse
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe - Unbekannt
O4 - HKLM\..\RunServices: [Windows Media Player] dohni.exe - Unbekannt
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe - Unbekannt
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe - Unbekannt
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe - Unbekannt
O4 - HKCU\..\Run: [Windows Media Player] dohni.exe - Unbekannt
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) - Unbekannt

Dann den Rechner im abgesicherten Modus starten und die gefixten Einträge manuell löschen. Das ist wichtig.
Dann ebenfalls im abgesicherten Modus die Datenträgerbereinigung durchführen. Damit werden die temporären dateien gelöscht...

Rechner normal starten und zur Sicherheit nochmals scannen...

25.04.2005, 10:54

hi, danke fuer die schnelle antwort !
im grunde weis ich, dass ich in diesen schritten meinen rechner saeubere, nur ist mir ein raetsel woher genau cih immer weis welche eintraege es zu fixen gilt ! noch eine weitere frage:
was genau meinst du mit dem manuellen loeschen der eintraege im abgesicherten modus ? bedeutet das, dass ich diese dateien nach ihrem logfile pfad auf meiner festplatte suchen soll, um sie dann manuell zu loeschen ?
nochmals vielen dank

25.04.2005, 14:39

Hallöchen,

genau das ist damit gemeint. Es reicht ja nicht nur die Einträge in der Registrierung zu löschen um das Starten der Dateien zu verhindern. Manchmal übersieht man auch mal einen Eintrag und da ist es schon besser das die bösartige Datei gelöscht wurde...

27.04.2005, 18:03

hi dirk
habe alles gemacht wie du es mir gesagt hast. jedoch bleiben einige fragen weiterhin offen denn manche eintraege konnte ich manuell im abgesicherten modus nicht loeschen da ich sie nicht finden konnte. dazu gehoern beispielsweise die datien dohni.exe , sscs.exe, taksmgr.exe etc.
ausserdem befindet sich der elitebob32.exe noch in meiner msconfig, diesen habe ich manuell aus dem autostart geschmissn.

ich weis nicht unter welchem pfad ich wie gesgat viele dieser .exe dateien finden kann, da sie hier in der logfile nciht direkt als pfad angegebn werden. "run services" zum beispiel beudeutet doch dass diese prozesse momentan laufen. dohni.exe z.b., konnte ich auch mit dem suchen befehl nicht lokalisieren. koenntest du mir bitte nochmal genau sagen welche der eintraege aus der logfile es manuell zu loeschen gibt, und wenn wo ich sie finden kann.
auf https://www.hijackthis.de/en habe ich erneut meine neue (hofentlich gesaeuberte) logfile scannen lassen und es ist lediglich der " O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)" als "unnecessarily" also unnuetz aufgetreten. diesen konnte ich ebenfalls nicht auf meiner festplatte lokalisieren und damit manuell loeschen.
sorry habe mich hoffenltich nicht unpraezise ausgedrueckt bin etwas in zeitdruck trotzdem nochmal vielen dank
mfg Niq

27.04.2005, 18:24

Hallöchen,

also wenn diese Dateien im erneuten Scan nicht mehr auftauchen, dann wurden sie wahrscheinlich vom Trojaner angelegt und sind entfernt wurden...

Run Services bedeutet das diese Datei als Dienst gestartet wurde bzw. wird. Wenn du den Eintrag aber mit HijackThis gefixt hast oder in manuell über msconfig deaktiviert hast, dann ist das so in Ordnung...

Läuft denn auf deinem Rechner wieder alles rund?

29.04.2005, 17:15

re dirk

wenn ichd ie neue logfile auf https://www.hijackthis/en neu ueberpruefe wird nichts gefaehrliches mehr gefunden, doch der antivir meldet weiterhin ca. 3 trojaern, melde mich wierder wenn cih naeheres weis danke und bis dahin ciao

trojanerbefall dringend Hilfe bitte

trojanerbefall dringend Hilfe bitte

Ähnliche Themen

Windows neu aufsetzen, BITTE DRINGEND HILFE!!

Keine Updates und desktop Problem bitte um hilfe dringend!

Pc fährt nich mehr hoch! BITTE DRINGEND UM HILFE!

hab ein großes problem mit cd-l! bitte dringend um HILFE!!!!

Benutzer, die dieses Thema gelesen haben: 0