trojaner?! plz help

Dieses Thema trojaner?! plz help im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von WilliBier, 12. Feb. 2005.

Thema: trojaner?! plz help Hallo, Habe seit gestern einen virus auf dem rechnuer und keine ahnung, wie ich ihn herunter bekommen kann. Die...

  1. Hallo,

    Habe seit gestern einen virus auf dem rechnuer und keine ahnung, wie ich ihn herunter bekommen kann.
    Die startseite des i-explorers ist auf folgendes geändert:
    res://C:\WINNT\system32\shdocpe.dll/security.htm#subID=BSW;677

    diese shdope.dll existiert jedoch nicht.

    Adaware und search and destroy haben nichts entdeckt, genau wie antivirus.

    vielleicht kann mir jemand helfen....
    hier der log:

    Logfile of HijackThis v1.99.0
    Scan saved at 09:55:07, on 12.02.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\svchost.exe
    C:\Programme\QuickTime\qttask.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\WINNT\system32\Fmctrl.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\programme\powerstrip\pstrip.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\VIAudioi\SBADeck\ADeck.exe
    C:\WINNT\system32\ntnut32.exe
    E:\Programme\Aim\aim.exe
    E:\Programme\ICQ\Icq.exe
    C:\Dokumente und Einstellungen\Tim Seele\Desktop\HijackThis.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TIMSEE~1\LOKALE~1\Temp\sp.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINNT\system32\shdocpe.dll/security.htm#subID=BSW;677
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TIMSEE~1\LOKALE~1\Temp\sp.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
    O4 - HKLM\..\Run: [FastStart] C:\WINNT\system32\ntnut32.exe home
    O4 - HKCU\..\Run: [Steam] C:\Sierra\Counter-Strike1.6\Steam.exe -silent
    O4 - HKCU\..\Run: [AIM] E:\Programme\Aim\aim.exe -cnetwait.odl
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Spyware Vanisher] E:\spywarevanisher-free\FreeScanner.exe -FastScan
    O4 - Startup: ICQ.lnk = E:\Programme\ICQ\Icq.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~2\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~2\ICQ\ICQ.exe
    O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
    O9 - Extra->Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Programme\Aim\aim.exe
    O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{93BB6413-E2AF-4877-894D-11E07185EEDF}: NameServer = 192.168.1.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A816A232-C4E5-414B-A4AF-15B7F95ABC0C}: NameServer = 192.168.1.1
    O18 - Filter: text/html - {07A1A686-2BE8-4561-9143-F52F52BFCBD9} - C:\WINNT\system32\cfpd.dll
    O18 - Filter: text/plain - {07A1A686-2BE8-4561-9143-F52F52BFCBD9} - C:\WINNT\system32\cfpd.dll
    O20 - AppInit_DLLs: cpan.dll
    O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

    danke im vorraus,

    Willi
     
  2. hp
    hp
  3. also...
    ich habe vorerst adaware und search and destroy durchlaufenlassen, jeoch ohne erfolg.

    die auswertung des logs hat folgendes ergeben:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINNT\system32\shdocpe.dll/security.htm#subID=BSW;677
    <----------------- bösartig


    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm
    <---------------- bösartig.


    Das fixen allein hat jedoch nichts gebracht.
    Da ich mich generell noch sogut wie gar nicht näher mit dem thema Virus beschäftigt habe, bin ich mir nicht sicher, ob ich in der richtigen reihenfolge vorgegangen bin.

    Ich habe die startseite zurück auf about:blank gestellt, den IE geschlossen und dann die einträge gefixt.
    Beim erneuten öffnen des IE war nun allerdings die startseite nach wie vor vorhanden -.-

    das kleine tool SpHjfix meint, dass mein rechner nicht infiziert sei.


    Fällt euch ein anderer weg ein, auf dem ich diesen mist loswerde?
     
  4. hp
    hp
    dann versuch mal den sysclean (syscleanpackage downloaden) von trendmicro http://www.trendmicro.com/download/dcs.asp und das neueste virenpattern-file http://www.trendmicro.com/download/pattern.asp da du in das verzeichnis in dem die sysclean.com steht entpackst. dann in den abgesicherten modus wechseln, als administrator anmelden und laufen lassen. such auch mal nach den dateien security.htm und asst.htm falls du sie findest natürlich löschen ...

    greetz

    hugo
     
  5. ich hatte auch so eine dämliche startseite, die ich nicht wegbekam.
    hab dann ntnut32.exe unter windows/system32 als quelle ausgemacht und gelöscht, hatte dann keine probleme mehr.
     
  6. Nimm Firefox oder Opera als Browser und vergiss den Internet Explorer. Sonst hast du immer wieder solche Probleme.
     
  7. Und schon ist der Schädling weg.

    Sehr interessante Theorie ::)
     
  8. @ bla bla
    erst lesen, dann schreiben.
    Habe mit keinem Wort geschrieben, das der Schädling damit weg ist! Aber mit dem Internet Explorer kann er sich sowas immer wieder einfangen
     
  9. Dazu sollte ich mal lieber nichts sagen, sonst verbrenn ich mir mein Maul ;)
    Man könnte es auch Klugsch..... nennen was Du da machst.

    Ansonsten schließe ich mich Freudis Aussage an.
    Nur das ActivX-Risiko wird vermindert ;)
    Was ja auch schon mal was wert ist. ;)
     
Die Seite wird geladen...

trojaner?! plz help - Ähnliche Themen

Forum Datum
Bundeskriminalamt Trojaner Viren, Trojaner, Spyware etc. 21. Nov. 2014
Windows 7 Trojaner?? Windows 7 Forum 22. Okt. 2014
Trojaner/vius ? Windows 8 Forum 15. Aug. 2013
Recovery CD bei Trojaner erstellen? Windows 7 Forum 7. Aug. 2011
Antispyware Virus Trojaner Bitte Hilfe... Firewalls & Virenscanner 5. Mai 2010