Scheiß Trojaner...

Dieses Thema im Forum "Windows" wurde erstellt von Atkaz, 1. März 2008 .

Schlagworte:
  1. 1. März 2008
    Hallo Leute,

    hab ein Problem, es geht darum, dass ich nen Trojaner (privacy_danger) auf dem Pc habe kann ihn aber nicht entfernen und formatieren will ich nicht. Hab schon mit verschiedenen Programmen ( Spybot, NOD usw.) versucht Ihn zu entfernen (auch unter Abgesichertenmodus), leider ohne Erfolg.

    Immer wenn ich den PC starte, startet er auf dem Desctop ein Website als zintergrund mit nem Virussymbol.

    was gibt es da für möglichkeiten ihm wegzubekomm ?

    MfG

    atkaz
     
    + Multi-Zitat Zitieren
  3. 1. März 2008
    AW: Scheiß Trojaner...


    Kaspersky Security Scan | Kaspersky Lab DE

    das müsste helfen (also oben den ganzen pc durchscannen ^^)

    ansonsten hol dir ein antivirenkit und scann mit dem - ne trail reicht zumindest für den scan
     
    + Multi-Zitat Zitieren
  4. 1. März 2008
    AW: Scheiß Trojaner...

    poste mal hijackthis-log.

    ansonsten guck dir mal folgenden beitrag an und schau ob der eintrag in der regisrty auch so vorhanden ist:
    ~ regelmäßig privacy_danger seite auf desktop - Virus Hilfe
     
    + Multi-Zitat Zitieren
  5. 1. März 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Scheiß Trojaner...

    hey momentan läuft hier ein ähnlicher beitrag der dir eventuell sehr nützlich sein könnte

    hier mal ein quote von mir daraus den du folgen solltest

    Code:
    Lade dir hijackthis runter http://download.hijackthis.eu/hijackthis_199.zip
Scan deinen pc durch und POSTE DAS LOG HIER !!
Dannach lade dir "Spybot search & destroy" runter (ist freeware) update das programm
dann boote deinen pc im "abgesicherten modus" und scan deinen pc durhc lösche alle funde
du kannst dir auch noch "eScan" runterladen dazu brauchst du aber auch noch killbox (ebenfalls freeware) dann scanst du mit escan auch im abgesicherten modus durch und die funde d.h. die pfade zu den angegebenen infizierten dateien in die killbox einfügen und ein häkchen bei delete on stratup machen , dah du mit der free version von escan die gefundenen viren nicht löschen kannst.
davor wie gesagt hijackthis log posten.
    ---> Virus Hilfe - RR:Board (das ist der link dazu)

    wei gesagt mach erstmal das was dah steht dann müsste der trojaner kein problem sein ^^



    MFG delpiero
     
    + Multi-Zitat Zitieren
  6. 1. März 2008
    AW: Scheiß Trojaner...

    das kann auch ein trojaner der sich mit rootkit technolig versteckt sein es ist ein versuch wert aber die chancen stehen bei ca 15% probier es mal mit einem Rootkitscanner und auch mit anderen anti virenprogrammen AVK ist sehr gut
     
    + Multi-Zitat Zitieren
  7. 1. März 2008
    AW: Scheiß Trojaner...

    deswegen bootet er auch im safemode löscht die dateien bevor der bzw während des startups und mit eScan findet man so ziemlich alles. Es versteht sich natürlich von selbst , das man auch im abgesicherten modus während man mit eScan und Spybot search&destroy scan ebenfalls inen Virus scan mit deinem Virusscanner macht dieser sollte allerdings Up to Date sein.ansonsten und das ist ein echter geheimtipp mit dem du zu 110% jedes rootkit bzw trojaner entfernen kannst "unhackme" oder Regrun dah es glaube ich eine ähnliche technologie verwendet. diese programme sind kostenpflichtig allerdings kann man diese kostenlos testen und das sollte reichen um deinen pc virenfrei zu bekommen

    MFG delpiero
     
    + Multi-Zitat Zitieren
  8. 2. März 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Scheiß Trojaner...

    bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen.
    Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board

    oder du versuchst es selber zu lösen und die datei so zu löschen:

    du kannste versuchen die Datei mit HiJackThis zu löschen.
    Lade es dir hier runter ---> http://download.hijackthis.eu/hijackthis_199.zip
    Dann starte HJT ---> Open the Misc Tools section ---> Delete a File on Reboot …
    Suche die zu löschende Datei und klicke auf öffnen. Nun macht dein Rechner nen Neustart. Anschließend sollte die Datei weg sein.


    Gruß BenQ
     
    + Multi-Zitat Zitieren
  9. 2. März 2008
    AW: Scheiß Trojaner...

    Ashampoo AntiSpyWare 2 ist sehr gut...ich hatte auch welche drauf, die nicht zu löschen gingen...hab mir das dann gekauft...is leider nicht kostenlos...und da hat er die gelöscht und gleich mal noch 2 gefunden...also das is wirklich top...gerade wenn man icq oder msn hat...viele virenprogramme decken das nämlich nicht mit ab...und da hilft Ashampoo AntiSpyWare 2 auch
     
    + Multi-Zitat Zitieren
  10. 3. März 2008
    AW: Scheiß Trojaner...

    Danke Leute,

    werd mal auspobieren,

    Logfile of HijackThis v1.99.1
    Scan saved at 22:49:53, on 03.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\drivers\spools.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\spools.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Spyware Terminator\sp_rsser.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\PROGRA~1\ICQ6\ICQ.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.968\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing)
    O3 - Toolbar: ekvgsnw - {BBE2B433-33B2-4953-BC77-0669D2E9B748} - C:\WINDOWS\ekvgsnw.dll (file missing)
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8017] command /c del "C:\WINDOWS\bxlrvps.dll_old"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA750] command /c del "C:\Programme\Everest Poker\gvcrt.dll"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC7334] cmd /c del "C:\Programme\Everest Poker\data\shared\shared\bitmaps\chips.art"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA4277] command /c del "C:\Programme\Everest Poker\data\shared\shared\sounds\button.ogg"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC8051] cmd /c del "C:\Programme\Everest Poker\data\shared\shared\sounds\button.ogg"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    O4 - HKCU\..\RunOnce: [SpybotDeletingB8107] command /c del "C:\Programme\Everest Poker\casino.exe"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB6229] command /c del "C:\Programme\Everest Poker\gvcrt.dll"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD7934] cmd /c del "C:\Programme\Everest Poker\gvcrt.dll"
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7DA3673D-3EB7-4D72-8369-36E03233DED0}: NameServer = 195.50.140.114 195.50.140.252
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O21 - SSODL: alofkmn - {A2E35E8A-09CF-49A4-A3EA-28026357F34B} - C:\WINDOWS\alofkmn.dll
    O21 - SSODL: bxlrvps - {57C66F0B-0394-4E26-A028-A71441E08B7C} - C:\WINDOWS\bxlrvps.dll (file missing)
    O21 - SSODL: CDWin - {4defb3ca-3f1d-40aa-bfa6-cb10199aab5c} - C:\WINDOWS\Installer\{4defb3ca-3f1d-40aa-bfa6-cb10199aab5c}\CDWin.dll
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
     
    + Multi-Zitat Zitieren
  11. 4. März 2008
    AW: Scheiß Trojaner...

    Laut HiJackThis.de Auswertung solltest du dich um folgende Einträge kümmern:

    {bild-down: http://pixcrawler.isp4p.net/.de/hijacklog.jpg}

    *Klick das Bildchen*

    Vorallem kommt sehr oft diese 'spools.exe' vor, die sollte eigentlich 'spoolsv.exe' heißen, ich wette da versteckt sich dieser Trojaner oder ein Teil davon dahinter.
     
    + Multi-Zitat Zitieren
  12. 4. März 2008
    AW: Scheiß Trojaner...

    Der Norton Internet Security Service Prozess gehört zur Software Norton Internet Security Service oder spools.exe der Firma StarMicro.
    Mehr hier:
    spools.exe Windows Prozess - Was ist das?

    ALso nicht einfach nur Log bei hijackthis.de einfügen und dann alles unbekannte löschen. das könnte Atkaz auch ohne deine Hilfe
    Also spools.exe muss nicht zwanghaft gelöscht werden!
    Lad die exe mal hier hoch:
    Jottis Malwarescanner


    VirusTotal - Free Online Virus, Malware and URL Scanner
    da kannst du testen ob die infiziert sind! wenn ja solltest du sie löschen^^

    So ich geh mal davon aus dass du den Internet Explorer nutzt.
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
    Auf jedenfall löschen. Würd dir empfehlen als ALternative Mozilla Firefox zu nutzen (hast du mehr Möglichkeiten und sicherer). Wenn du aber weiterhin IE nutzen willst änder am besten Startseiteerstmal auf about blank.

    Außerdem hast du eine "Crawler-Toolbar" in deinem IE. Ist die bewußt drin? Wenn nicht würd ich sie auf jednefall rausnehmen.
    Die Einträge solltest du löschen:
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O3 - Toolbar: ekvgsnw - {BBE2B433-33B2-4953-BC77-0669D2E9B748} - C:\WINDOWS\ekvgsnw.dll (file missing)
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
    Außerdem den Ordner C:\Programme\Crawler\ und C:\Programme\Spyware Terminator\ misamt Inhalt (wenn das nicht geht, halt im abgesicherten Modus).

    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    ist auch sehr auffällig. Nutzt du Veoh? Ich würd die entfernen!

    O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    Kannst du auch löschen.

    Folgendes auf jedenfall löschen:
    O21 - SSODL: bxlrvps - {57C66F0B-0394-4E26-A028-A71441E08B7C} - C:\WINDOWS\bxlrvps.dll (file missing)
    O21 - SSODL: alofkmn - {A2E35E8A-09CF-49A4-A3EA-28026357F34B} - C:\WINDOWS\alofkmn.dll
    O21 - SSODL: CDWin - {4defb3ca-3f1d-40aa-bfa6-cb10199aab5c} - C:\WINDOWS\Installer\{4defb3ca-3f1d-40aa-bfa6-cb10199aab5c}\CDWin.dll

    Danach nochmal im abgesicherten Modus Viren Programm + Spybot drüberlaufen lassen.
    Dann wieder Log posten.

    mfg
     
    + Multi-Zitat Zitieren
  13. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten