Hilfe! Trojaner übernehmen meinen PC!

Hallo,

mit DSL geht alles schneller... offenbar auch das einfangen von Viren, Würmern, Trojanern & CO

Ich habe mir etwas eingefangen, das weder von "AntiVir PE 6.27" noch von "AdAware SE 1.04" noch "Spybot S&D 1.3" vollständig beseitigt wird. Die genannten Programme finden ettliche Trojaner, nach einem Neustart und einem Klick ins Internet wird aber trotz "Startpage=about:blank", "Pop-Up Stopper 2.8" und "Zone Alarm 4.5" ein Pop-Up-Fenster geöffnet und der ganze Mist wieder runtergeladen.

Mit Start-Up habe ich schon haufenweise Einträge aus dem Startmenue gelöscht, die aber nach einem Internetbesuch immer wieder vereinzelt auftauchen:

ADDZU.EXE - C:\WINDOWS\ADDZU.EXE
D3GY.EXE - C:\WINDOWS\SYSTEM\D3GY.EXE
D3HM32.EXE - C:\WINDOWS\D3HM32.EXE
Internet Optimizer - C:\Internet Optimizer\optimize.exe
IST Service - C:\Programme\ISTsvc\istsvc.exe
JAVACL32.EXE - C:\WINDOWS\JAVACL32.EXE
msbb - c:\programme\180solutions\msbb.exe
NETIJ.EXE - C:\WINDOWS\SYSTEM\NETIJ.EXE
NETSX.EXE - C:\WINDOWS\NETSX.EXE
NTJU.EXE - C:\WINDOWS\SYSTEM\NTJU.EXE
rcizjict - C:\WINDOWS\SYSTEM\zufeor.exe
SDKKA32.EXE - C:\WINDOWS\SYSTEM\SDKKA32.EXE
SDKMJ.EXE - C:\WINDOWS\SYSTEM\SDKMJ.EXE
SYSML.EXE - C:\WINDOWS\SYSML.EXE
Ueou - C:\WINDOWS\Anwendungsdaten\rrop.exe
Ypr - C:\WINDOWS\SYSTEM\pfhni.exe


Mit Google habe ich schon nach den Programmen gesucht aber nicht alle gefunden und den Hauptverursacher, der den Müll immer wieder neulädt, leider auch nicht.

Ist euch vielleicht etwas bekannt und wie kann ich meinen PC ohne eine Neuinstallation vor dem Sch**ss schützen?

 

Wär jetz super wenn du uns mitteilen würdest welche.
Und Angaben zum OS wärn auch toll.


Sinds denn wirklich Trojaner? Die aufgelisteten Dateien lassen eher auf Adware und Spyware schließen.


Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis (nach der Auswertung ganz unten auf der Seite) kannst du hier reinsetzen, dann nehm ich mir das Log auch mal vor, die automatische Auswertung ist nämlich nicht perfekt.

 

Hey Doctor,

danke für die schnelle Antwort, das werde ich heute abend gleich mal in Angriff nehmen

Viele Grüsse
h_klein

 

Hallo Doctor,

das Proggi HijackThis kannte ich noch nicht und es hat mir etwas weitergeholfen:
- es waren diverse Internetseiten in die "Vertrauenswürdige Seiten" eingetragen, die ich gleich gelöscht habe
- ein Proggi namens "APPBL.EXE" war noch in meinem Windows-Verzeichnis, das wiederum bei der ersten Benutzung des Internets ein Proggi "MSGF32.EXE" geladen hat, das allerdings von ZoneAlarm geblockt wurde.

Nach nochmaligen Scan von AdAware wurde dann der "Cool Web Search" gefunden

Ich abeite unter WinME mit dem IE6 SP1 und DSL


Hier der aktuelle Log:

Logfile of HijackThis v1.98.2
Scan saved at 00:03:11, on 08.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\ROXIO\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP70\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: WinProvex Autostart.lnk = C:\Programme\WINPROV\AUTOCAL.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

 

Hallo h_klein

Diesen Eintrag bitte fixen:

R3 - Default URLSearchHook is missing

Diesen Einträge bitte mal überprüfen, ob sie dir irgendwas sagen:

O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit

O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm

O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm

O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm

O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm

O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm

O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

Falls nicht, dann ebenfalls fixen.

Gruß
Nevok

 

Du hast es jetzt nicht definitiv gesagt, aber ich nehme an es läuft jetzt alles wieder normal?

.

 

Hey danke!

O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
sind die Settings meiner NVIDA Grafikkarte

O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
sind nützliche Kontexterweiterungen für den Interenet Explorer namens Web Accessories

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
sind Kontexterweiterungen von dem GetRight-Downloadmanager

Ich habe noch einen Tipp bekommen: escan
den lasse ich gerade am befallenen Compi laufen und der hat bereits 2 DLL's entdeckt, die AntiVir nicht gefunden hat...

 

Escan hat noch 2 Dateien gefunden, die weder AntiVir noch SpyBot noch AdAware gefunden haben:

Wed Sep 08 09:44:18 2004 => File C:\WINDOWS\SYSTEM\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: File Deleted.
Wed Sep 08 09:41:43 2004 => File C:\WINDOWS\t3bT4K2.dll infected by "TrojanDownloader.Win32.Lemmy.q" Virus. Action Taken: File Deleted


Wahnsinn, da braucht man:

Virenscanner, Firewall, AdAware, SpyBot, CWShredder, HijackThis, Escan...
um halbwegs sicher im Internet surfen zu können, nur weil ein paar Leuten langweilig ist? Vielleicht bringt mal einer ein Tool raus, dass den Authoren der Schädlingsprogrammen die E**r abfaulen lässt!!!


Viele Grüße und danke für eure Hilfe!
h_klein

 

hallo h_klein
Man braucht auch nur etwas Grips um ohne deinen genannten kram im Internet zu surfen
Gruss sudelede

 

Was du aufzählst braucht man wenn das System erst befallen ist.



Um es gar nicht soweit kommen zu lassen braucht man:

- Den gesunden Menschenverstand (auch bekannt als Brain 2.0)
- http://www.ntsvcfg.de/
- Virenwächter.

Und sonst nix.

.

 

Virenwächter? - da gehen die Meinungen wohl auseinander.

Was nützt ein Virenwächter, der vielleicht etwas erkennt? Von neuester Malware mal ganz zu schweigen.

Der einzige Virenwächter der Sinn macht, ist der zwischen beiden Ohren.

mfg

 

Stimmt. Aber:

Der Virenwächter soll auch nicht vor Schädlingen aus dem Netz schützen, sondern vor den "alten" Gefahren, also der gebrannten CD vom Kumpel oder Dateiaustausch auf ner LAN.

Heutzutage denkt man bei Viren, Würmern und Trojanern immer ans Internet, aber die können nach wie vor auch auf jeder CD, Diskette, USB-Stick lauern.

Und da ist der Virenwächter als Schutz doch ganz sinnvoll, oder?


.

 

Was denn?? Schon wieder eine neue Version?? Ich dachte mit 1.5 wär ich aktuell!

bonk

 

Wie ich schon schrieb - da gehen die Meinungen eben auseinander.

Um Fremddatenträger auf Viren zu scannen, brauchts nicht unbedingt einen Wächter. Und für den Dateiaustausch auf ner LAN gilt dasselbe wie fürs Internet - richtig konfigurieren und keine Viren und Würmer installieren.

Ich will keinem seinen Wächter ausreden, nur man muß sich bewußt sein, daß das eben kein ausreichender Schutz ist. Thema Scheinsicherheit.

mfg

 

Dass ein Wächter alleine ausreicht hab ich ja nicht gesagt. Er ist ein Baustein im Sicherheitskonzept, mehr nicht. Aber eben ein Baustein, den ich nicht missen möchte.

Und ich will dir keinen einreden.

.

 

Das Problem ist, dass heute fast jeder Webseitenprogrammierer Java Scripting und ActiveX verwendet, wenn man die IE-Einstellungen nach den Sicherheitseinstellungen des Datenschutzzentrums vornimmt, dann wird keine Seite mehr g'scheit angezeigt.

Das öffnet den Schädlingen natürlich die Türen...

Aber durch en Befall habe ich in Bezug auf Schädlingsbekämpfung einiges gelernt und das ist ja auch was, oder???

 

Hallo Sudelede,
das mußt du mir erzählen wie man ohne Firewall heutzutage im Internet surfen kann ohne sich was einzufangen. Da gab es mal einen Bericht, dass es heute nur noch ca. 20 Minuten dauert, bis ein ungeschützter PC am Internet befallen ist...

Ja ich weiß: die Alternative heißt LINUX, aber dafür sollte man schon ein PC-Profi sein
und es ist nunmal eine Tatsache, dass auf den heutigen Discount-PC's immer ein WINDOWS vorinstalliert ist... da kann man sagen was man will, ob nun Bill Gates von Betriebssystemen 'ne Ahnung hat oder nicht... er hat auf jeden Fall die profitabelste Geschäftsstrategie

 

Ganz einfach:
Schotten dicht: http://www.ntsvcfg.de/#_intro
System up2date: http://www.ntsvcfg.de/#_osupd


Bezüglich Softwarefirwall: http://www.ntsvcfg.de/#_pfw


Ich z.B. surfe schon immer ohne (Software-)Firewall. Zugegeben, seit drei Jahren sitz ich hinterm Router, aber davor gings auch.

Nö, inzwischen < 1min. Hab mal im Rahmen einer Neuinstallation aus Spaß getestet, was mit nem blanken XP passiert wenn man kurz ins Internet geht.
Danach hieß es dann alles von vorn ( format c: ). Hat dem Besitzer des PCs hoffentlich die Augen geöffnet (zumindest hat er bis jetzt keine Probleme mehr gemeldet).

.

 

Gewonnen! ca. 15 Minuten vorgestern. Er meinte noch ich solle machen, dass alles durchgeht an den einen PC (weil seitdem er nen router hat...)

*g* habs umgestellt und bin weitergeradelt. Keine 15 Minuten später bekomm ich nen anruf: geht nix mehr. Hatte der Kerl doch tatsächlich Noch W2K ohne SP laufen. Sachen gibts.

Was mich aber darauf bringt: Kann man von einem normalen User erwarten, dass er von sich aus beim Benutzen eines Rechners immer richtig handelt??? Er hat ja schließlich nicht das Hintergrundwissen dazu. Stellt euch mal in die Backstube und backt Brötchen oder fangt mal an nen Pulli zu nähen. Es geht nicht Und deswegen könnte man euch auch nicht böse sein.
Und spätestens wenn euch die User mit treuen großen Augen anblicken ist alles verziehen...

 

@h_klein

was mir beim Posting von TheDOCTOR noch fehlt:

Alternativen Browser und Mail-Client benutzen. IE und OE in die Tonne.

mfg

EDIT: Mist! steht ja im Link...