#1 1. März 2008 Hallo Leute, hab ein Problem, es geht darum, dass ich nen Trojaner (privacy_danger) auf dem Pc habe kann ihn aber nicht entfernen und formatieren will ich nicht. Hab schon mit verschiedenen Programmen ( Spybot, NOD usw.) versucht Ihn zu entfernen (auch unter Abgesichertenmodus), leider ohne Erfolg. Immer wenn ich den PC starte, startet er auf dem Desctop ein Website als zintergrund mit nem Virussymbol. was gibt es da für möglichkeiten ihm wegzubekomm ? MfG atkaz + Multi-Zitat Zitieren
#2 1. März 2008 AW: Scheiß Trojaner... Kaspersky Security Scan | Kaspersky Lab DE das müsste helfen (also oben den ganzen pc durchscannen ^^) ansonsten hol dir ein antivirenkit und scann mit dem - ne trail reicht zumindest für den scan + Multi-Zitat Zitieren
#3 1. März 2008 AW: Scheiß Trojaner... poste mal hijackthis-log. ansonsten guck dir mal folgenden beitrag an und schau ob der eintrag in der regisrty auch so vorhanden ist: ~ regelmäßig privacy_danger seite auf desktop - Virus Hilfe + Multi-Zitat Zitieren
#4 1. März 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Scheiß Trojaner... hey momentan läuft hier ein ähnlicher beitrag der dir eventuell sehr nützlich sein könnte hier mal ein quote von mir daraus den du folgen solltest Code: Lade dir hijackthis runter http://download.hijackthis.eu/hijackthis_199.zip Scan deinen pc durch und POSTE DAS LOG HIER !! Dannach lade dir "Spybot search & destroy" runter (ist freeware) update das programm dann boote deinen pc im "abgesicherten modus" und scan deinen pc durhc lösche alle funde du kannst dir auch noch "eScan" runterladen dazu brauchst du aber auch noch killbox (ebenfalls freeware) dann scanst du mit escan auch im abgesicherten modus durch und die funde d.h. die pfade zu den angegebenen infizierten dateien in die killbox einfügen und ein häkchen bei delete on stratup machen , dah du mit der free version von escan die gefundenen viren nicht löschen kannst. davor wie gesagt hijackthis log posten. ---> Virus Hilfe - RR:Board (das ist der link dazu) wei gesagt mach erstmal das was dah steht dann müsste der trojaner kein problem sein ^^ MFG delpiero + Multi-Zitat Zitieren
#5 1. März 2008 AW: Scheiß Trojaner... das kann auch ein trojaner der sich mit rootkit technolig versteckt sein es ist ein versuch wert aber die chancen stehen bei ca 15% probier es mal mit einem Rootkitscanner und auch mit anderen anti virenprogrammen AVK ist sehr gut + Multi-Zitat Zitieren
#6 1. März 2008 AW: Scheiß Trojaner... deswegen bootet er auch im safemode löscht die dateien bevor der bzw während des startups und mit eScan findet man so ziemlich alles. Es versteht sich natürlich von selbst , das man auch im abgesicherten modus während man mit eScan und Spybot search&destroy scan ebenfalls inen Virus scan mit deinem Virusscanner macht dieser sollte allerdings Up to Date sein.ansonsten und das ist ein echter geheimtipp mit dem du zu 110% jedes rootkit bzw trojaner entfernen kannst "unhackme" oder Regrun dah es glaube ich eine ähnliche technologie verwendet. diese programme sind kostenpflichtig allerdings kann man diese kostenlos testen und das sollte reichen um deinen pc virenfrei zu bekommen MFG delpiero + Multi-Zitat Zitieren
#7 2. März 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Scheiß Trojaner... bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen. Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board oder du versuchst es selber zu lösen und die datei so zu löschen: du kannste versuchen die Datei mit HiJackThis zu löschen. Lade es dir hier runter ---> http://download.hijackthis.eu/hijackthis_199.zip Dann starte HJT ---> Open the Misc Tools section ---> Delete a File on Reboot … Suche die zu löschende Datei und klicke auf öffnen. Nun macht dein Rechner nen Neustart. Anschließend sollte die Datei weg sein. Gruß BenQ + Multi-Zitat Zitieren
#8 2. März 2008 AW: Scheiß Trojaner... Ashampoo AntiSpyWare 2 ist sehr gut...ich hatte auch welche drauf, die nicht zu löschen gingen...hab mir das dann gekauft...is leider nicht kostenlos...und da hat er die gelöscht und gleich mal noch 2 gefunden...also das is wirklich top...gerade wenn man icq oder msn hat...viele virenprogramme decken das nämlich nicht mit ab...und da hilft Ashampoo AntiSpyWare 2 auch + Multi-Zitat Zitieren
#9 3. März 2008 AW: Scheiß Trojaner... Danke Leute, werd mal auspobieren, Logfile of HijackThis v1.99.1 Scan saved at 22:49:53, on 03.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\spools.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\drivers\spools.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\ICQ6\ICQ.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.968\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing) O3 - Toolbar: ekvgsnw - {BBE2B433-33B2-4953-BC77-0669D2E9B748} - C:\WINDOWS\ekvgsnw.dll (file missing) O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunOnce: [SpybotDeletingA8017] command /c del "C:\WINDOWS\bxlrvps.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingA750] command /c del "C:\Programme\Everest Poker\gvcrt.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC7334] cmd /c del "C:\Programme\Everest Poker\data\shared\shared\bitmaps\chips.art" O4 - HKLM\..\RunOnce: [SpybotDeletingA4277] command /c del "C:\Programme\Everest Poker\data\shared\shared\sounds\button.ogg" O4 - HKLM\..\RunOnce: [SpybotDeletingC8051] cmd /c del "C:\Programme\Everest Poker\data\shared\shared\sounds\button.ogg" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\RunOnce: [SpybotDeletingB8107] command /c del "C:\Programme\Everest Poker\casino.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB6229] command /c del "C:\Programme\Everest Poker\gvcrt.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD7934] cmd /c del "C:\Programme\Everest Poker\gvcrt.dll" O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7DA3673D-3EB7-4D72-8369-36E03233DED0}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O21 - SSODL: alofkmn - {A2E35E8A-09CF-49A4-A3EA-28026357F34B} - C:\WINDOWS\alofkmn.dll O21 - SSODL: bxlrvps - {57C66F0B-0394-4E26-A028-A71441E08B7C} - C:\WINDOWS\bxlrvps.dll (file missing) O21 - SSODL: CDWin - {4defb3ca-3f1d-40aa-bfa6-cb10199aab5c} - C:\WINDOWS\Installer\{4defb3ca-3f1d-40aa-bfa6-cb10199aab5c}\CDWin.dll O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe + Multi-Zitat Zitieren
#10 4. März 2008 AW: Scheiß Trojaner... Laut HiJackThis.de Auswertung solltest du dich um folgende Einträge kümmern: {bild-down: http://pixcrawler.isp4p.net/.de/hijacklog.jpg} *Klick das Bildchen* Vorallem kommt sehr oft diese 'spools.exe' vor, die sollte eigentlich 'spoolsv.exe' heißen, ich wette da versteckt sich dieser Trojaner oder ein Teil davon dahinter. + Multi-Zitat Zitieren
#11 4. März 2008 AW: Scheiß Trojaner... Der Norton Internet Security Service Prozess gehört zur Software Norton Internet Security Service oder spools.exe der Firma StarMicro. Mehr hier: spools.exe Windows Prozess - Was ist das? ALso nicht einfach nur Log bei hijackthis.de einfügen und dann alles unbekannte löschen. das könnte Atkaz auch ohne deine Hilfe Also spools.exe muss nicht zwanghaft gelöscht werden! Lad die exe mal hier hoch: Jottis Malwarescanner VirusTotal - Free Online Virus, Malware and URL Scanner da kannst du testen ob die infiziert sind! wenn ja solltest du sie löschen^^ So ich geh mal davon aus dass du den Internet Explorer nutzt. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2 Auf jedenfall löschen. Würd dir empfehlen als ALternative Mozilla Firefox zu nutzen (hast du mehr Möglichkeiten und sicherer). Wenn du aber weiterhin IE nutzen willst änder am besten Startseiteerstmal auf about blank. Außerdem hast du eine "Crawler-Toolbar" in deinem IE. Ist die bewußt drin? Wenn nicht würd ich sie auf jednefall rausnehmen. Die Einträge solltest du löschen: O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O3 - Toolbar: ekvgsnw - {BBE2B433-33B2-4953-BC77-0669D2E9B748} - C:\WINDOWS\ekvgsnw.dll (file missing) O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O8 - Extra context menu item: Crawler Search - tbr:iemenu O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe Außerdem den Ordner C:\Programme\Crawler\ und C:\Programme\Spyware Terminator\ misamt Inhalt (wenn das nicht geht, halt im abgesicherten Modus). O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll ist auch sehr auffällig. Nutzt du Veoh? Ich würd die entfernen! O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide Kannst du auch löschen. Folgendes auf jedenfall löschen: O21 - SSODL: bxlrvps - {57C66F0B-0394-4E26-A028-A71441E08B7C} - C:\WINDOWS\bxlrvps.dll (file missing) O21 - SSODL: alofkmn - {A2E35E8A-09CF-49A4-A3EA-28026357F34B} - C:\WINDOWS\alofkmn.dll O21 - SSODL: CDWin - {4defb3ca-3f1d-40aa-bfa6-cb10199aab5c} - C:\WINDOWS\Installer\{4defb3ca-3f1d-40aa-bfa6-cb10199aab5c}\CDWin.dll Danach nochmal im abgesicherten Modus Viren Programm + Spybot drüberlaufen lassen. Dann wieder Log posten. mfg + Multi-Zitat Zitieren