1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Virus oder Trojaner?

Discussion in 'Browser' started by guschie, Jun 26, 2004.

Thread Status:
Not open for further replies.
  1. guschie

    guschie Byte

    Hallo
    Seit heute als ich gerade meinen Pc hochgefahren hab ist da mitten auf dem desktop ein balken eines minimierten Fensters mit der aufschrift:
    G:\(mein festplattenverzeichniss)windows\odbc.hta
    ich bin mir fast sicher das es ein Trojaner ist. Wie kann ich ihn wegbekommen antivir reagiert nicht. Kann er raus dateien senden, weil ich hab zonelabs?
    Gibts ein Removaltool?
    Dankeschön und gruß
     
    guschie, Jun 26, 2004
    #1
  2. Cidre

    Cidre Halbes Megabyte

    Cidre, Jun 26, 2004
    #2
  3. guschie

    guschie Byte

    das problem ist diese datei gitb es nicht....
    das wollte ich noch dazu sagen^^
     
    guschie, Jun 26, 2004
    #3
  4. guschie

    guschie Byte

    Logfile of HijackThis v1.97.7
    Scan saved at 14:26:12, on 26.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programme\Sygate\SPF\smc.exe
    G:\WINDOWS\Explorer.EXE
    G:\WINDOWS\system32\spoolsv.exe
    G:\Programme\AVPersonal\AVGNT.EXE
    G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    G:\WINDOWS\System32\mshta.exe
    G:\Programme\AVPersonal\AVGUARD.EXE
    G:\Programme\AVPersonal\AVWUPSRV.EXE
    G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    G:\WINDOWS\System32\nvsvc32.exe
    G:\WINDOWS\system32\ZoneLabs\vsmon.exe
    g:\programme\warcraft iii\war3.exe
    G:\Programme\Internet Explorer\iexplore.exe
    G:\Dokumente und Einstellungen\Felix W.FELIX\Eigene Dateien\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\system32\StopzillaBH0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [*******ElbyCDFL] "G:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
    O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKCU\..\Run: [Neue Anwendung] G:\Programme\ICQ\Icq.exe
    O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Download with NetPumper - G:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Web Search - G:\WINDOWS\ex.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{877B50D5-92A9-4001-A5A7-9C31DC465644}: NameServer = 192.168.0.100

     
    guschie, Jun 26, 2004
    #4
  5. Cidre

    Cidre Halbes Megabyte

    Lade dir SpHjfix.exe[/URL] und hier[/URL] die mwav.exe runter und entpacke diese, danach die kavupd.exe (Online-Update) ausführen.
    Infos zum entpacken: http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=005602


    Diese Dateien fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set

    Anmelden im abgesicherten Modus:
    Systemwiederherstellung deaktivieren - Temporäre Internet Files löschen - mit mwav.exe und SpHjfix.exe scannen - Neustart - neues Log-File posten
     
    Cidre, Jun 26, 2004
    #5
  6. guschie

    guschie Byte

    Logfile of HijackThis v1.97.7
    Scan saved at 16:21:50, on 26.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programme\Sygate\SPF\smc.exe
    G:\WINDOWS\Explorer.EXE
    G:\WINDOWS\system32\spoolsv.exe
    G:\Programme\AVPersonal\AVGNT.EXE
    G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    G:\WINDOWS\System32\mshta.exe
    G:\Programme\AVPersonal\AVGUARD.EXE
    G:\Programme\AVPersonal\AVWUPSRV.EXE
    G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    G:\WINDOWS\System32\nvsvc32.exe
    G:\WINDOWS\system32\ZoneLabs\vsmon.exe
    G:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
    G:\Programme\TuneUp Utilities 2004\RegistryCleaner.exe
    G:\hijackthis1977\HijackThis.exe
    G:\Programme\Internet Explorer\iexplore.exe
    G:\Programme\TuneUp Utilities 2004\DiskCleaner.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-v.net/home.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ls0.net/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ls0.net/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ls0.net/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
    O1 - Hosts: 3466709097 auto.search.msn.com
    O1 - Hosts: 3466709097 sitefinder.verisign.com
    O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
    O1 - Hosts: 3466709097 http://www.your.com
    O1 - Hosts: 3466709097 your.com
    O1 - Hosts: 3466690378 ad.doubleclick.net
    O1 - Hosts: 3466690378 view.atdmt.com
    O1 - Hosts: 3466690378 click.atdmt.com
    O1 - Hosts: 3466690378 leader.linkexchange.com
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\system32\StopzillaBH0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [*******ElbyCDFL] "G:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
    O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKCU\..\Run: [Neue Anwendung] G:\Programme\ICQ\Icq.exe
    O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Download with NetPumper - G:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Web Search - G:\WINDOWS\ex.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{877B50D5-92A9-4001-A5A7-9C31DC465644}: NameServer = 192.168.0.100

     
    guschie, Jun 26, 2004
    #6
  7. guschie

    guschie Byte

    Herzlichen Dank für die Mühe ich habs jetzt aber im Griff mit CWShredder
    cu
     
    guschie, Jun 26, 2004
    #7
Thread Status:
Not open for further replies.

Share This Page