Hilfe, Trojaner lässt sich nicht löschen

Hallo Jungs!

Ich brauche eure Hilfe!

Mein Virenscanner (AntiVir XP) meldet mir den Trojanrer
TR/WINShow.n.Drp1, und fragt mich ob er ihn löschen soll.

Ich bestätige, und AntiVir löscht den Virus und sucht weiter, findet den gleichen Virus in einer anderen Datei nochmals, den ich natürlich wieder lösche.

Das Problem: beim nächsten mal Hochstarten ist der Virus wieder da.

Wie werde ich das verdammte Ding dauerhaft los ?????

Bitte helft mir

Wyggum

 

Hallo,

hast du es schon mit dem "CWShredder" versucht... sieh LINK:

http://www.chip.de/downloads/c_downloads_11353799.html

Wenn der den Hijacker nicht schafft melde dich wieder.

Grüße
Wolfgang

 

c:\PROGRA~3\ClipInc\Server\ClipInc-Server.exe

Unklar. Ist dir bekannt, was das ist?

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.008i.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = h**p://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h**p://www.008i.com/search.html

Fixen.

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

Fixen/Löschen

O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install

Verdächtig. Fixen.

 

yo ich hab jetzt auch das selbe Problem. Hab mir den HijackThis runtergeladen und gescannt. Folgendes kam dabei raus:

Logfile of HijackThis v1.97.7
Scan saved at 00:40:41, on 08.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\oodag.exe
c:\PROGRA~3\ClipInc\Server\ClipInc-Server.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme - Internet\Crazy Browser\Crazy Browser.exe
C:\Programme - Internet\LeechGet 2004\LeechGet.exe
C:\Downloads\hijackthis1977\HijackThis.exe
C:\Programme- Utilities\Ad-aware 6\Ad-aware.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.008i.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme - Viewer\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme- Utilities\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~3\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme - viewer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme - Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme - Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme - Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme - Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme - Internet\LeechGet 2004\\Parser.html
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.6774074074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C2843D-F357-439A-AAC3-08E52B87A141}: NameServer = 192.168.1.1




kann mir da jetzt jemand helfen?

 

Hurra, mein System scheint jetzt wieder clean zu sein.

Ich möchte mich herzlich bei euch bedanken, denn ohne eurer
Hilfe hätte ich keine Chance gehabt.


Gruß
Wyggum

 

Hallo,

benutze diese LINKS (Chip):

http://www.chip.de/downloads/c_downloads_11353799.html

http://www.chip.de/downloads/c_downloads_11353576.html

Grüße
Wolfgang

 

Öhmm, auf der Seite startet das Downloadfenster nicht.

Trotzdem Danke für die Hilfe

Wyggum

 

Buahhhhh, funzt trozdem nicht.

 

Okay

werde mal versuchen ob ich das hinbekomme und post dann das Ergebniss.

Danke für den Tip

Wyggum


Edit: auf deinen Link kann zurzeit nicht zugreifen (ist der Trojaner
daran schud) ?

 

Winshow fängst du dir über den Internet Explorer ein (nein, nicht über andere Browser). Er registriert sich sehr nachhaltig im System.
Besorg dir HijackThis , mache einen Scan, speichere den Report als TXT-Datei und poste hier deren Inhalt, damit man dir sagen kann, welche Systemeinträge von Winshow stammen und geändert/repariert/entfernt werden müssen.
Auch andere Software wie Ad-Aware, Spybot oder CWShredder können das Teil ggf. entfernen. Nur löst das leider nicht dein Problem, denn mit dem IE fängst du dir bald den nächsten Hijacker.
Dauerhafte Abhilfe ist ein konsequenter Browserwechsel.

Nachtrag: Link nochmal geändert (führt zu bebilderter Anleitung mit Link zu einem DL-Mirror)

 

Hi,

versuch mal diesen Link:

http://www.zdnet.de/downloads/programs/5/3/en10227353-wc.html

Gruß, Michael

 

@ Wyggum:

Steele hat sich bloß vertippt. Klick nochmal auf den Link von Steele.

@ Steele: Habe mir erlaubt, deinen Link zu korrigieren...

Gruß
Nevok