|
Virus eingefangen?
Hallo zusammen,
seit etwa 2 Tagen kommt bei mir die Meldung C:..Windos/System/_T.exe enthält Code des Virus "TR/DlDr.small.jz4" Der Antivir erkennt ihn immer wieder und fragt, was mit der Datei zu tun ist. Obwohl ich Löschen wähle, kommt die Meldung etwa alle 5-10 Minuten. noch dazu hat sich eine seite "gigasearch.biz" als Startseite eingenistet. Die werde ich auch momentan nicht los. Kann mir jemand behilflich sein:confused: |
..scheint ein Trojaner zu sein!
Ich habe sowas nur mit hijack analysieren können und die entsprechenden Einträge in der Registy gelöscht! Anders war dem Virus nicht beizukommen; diesselben Symptome wie bei Dir! |
@utakurt, per hand gelöscht?
|
Hallo!
Es gibt eine Site im Netz, wo man den etwas kryptischen output von hijackthis analysieren kann, schau mal im Forum nach. MfG Herbertus |
|
Re: Virus eingefangen?
Zitat:
|
probiers einmal mit Ad-Aware 6.0
ist zwar kein Virusprogramm schmwiesst da laber solche Dateien auch weg. Hab so was nähmlich auch schon mal gehabt. |
zum hijackThis-log auswerten: http://www.hijackthis.de/index.php
und sonst no cwshredder drüberlaufen lassen http://www.intermute.com/spysubtract..._download.html |
Liebe Freunde,
Ihr könnt Euch vorstellen, warum ich mich erst jetzt wieder melde. Leider schreibe ich jetzt vom Arbeits PC, sprich, mein Computer ist immer noch nicht Viren/Trojaner frei. Ich das Programm welches von Fredl vorgeschlagen wurde, heruntergeladen. Das Programm hat herumgewerklt, als ich aber danach online war, kam wieder die Meldung mit dem Trojaner. Bitte helfts einem DAU:heul: Soll ich event. die Festplatte formatieren und alles neu installieren? |
Bevor du formatierst, könntest du ja die Logdatei von Hijackthis posten. Solange der Trojaner in deinem PC sitzt, wirst keine Ruhe haben. Der Output von Hijackthis ist sicherlich etwas kryptisch, aber sehr hilfreich, wenn man sich auskennt, und in den allermeisten Fällen kriegst du das System sauber. Also scanne dein System mit Hijack (Download von http://www.spywareinfo.com/~merijn/downloads.html und poste die Ausgabe des Programms, vielleicht sieht man etwas.
lg bully |
also gut, werde mich aber erst nach 19:00 mit der Sache befassen können und euch berichten was dabei herauskam.
Danke vorerst für eure Stellungnahme |
Probier mal folgendes.. (mit google gefunden...)
Trifft wahrscheinlich nicht alles zu (weil anderes hijackthis log) aber ich denke du wirst einiges davon auf dem system finden. -------------------- Now, boot your computer into Safe Mode. Enter the control panel by clicking on the Start menu, then clicking on Run. Now type control in the Open field and press the OK button. Double-click on the Add/Remove Programs icon. Look for and uninstall the following entries if found in the Add/Remove Programs window. Do not reboot if prompted untill all of the below programs are uninstalled. Active alert ISTsvc Internet Optimizer Search Extender Shopping Wizard Sidefind Slotchbar The Bullseye Network Uninstall 180searchassistant Webrebates Win AdTools It may prompt about whether or not you are sure you want to remove this program. Always read it carefully and choose the option that states you want to remove all components of this program. Navigate to the c:\hijackthis directory and double-click on HijackThis When the program starts, double-click on the HijackThis icon and then click on the Scan button. Put a checkmark next to the following entries if they exist: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gigasearch.biz/?209 R3 - URLSearchHook: GStartBHO Class - {EADD3112-0CF8-444b-AC0F-EBA38E004554} - C:\WINDOWS\Downloaded Program Files\giga32.dll O1 - Hosts: 69.50.188.82 askjeeves.com O1 - Hosts: 69.50.188.82 www.askjeeves.com O1 - Hosts: 69.50.188.82 www.directhit.com O1 - Hosts: 69.50.188.82 directhit.com O1 - Hosts: 69.50.188.82 www.excite.com O1 - Hosts: 69.50.188.82 excite.com O1 - Hosts: 69.50.188.82 www.alltheweb.com O1 - Hosts: 69.50.188.82 go.com O1 - Hosts: 69.50.188.82 www.go.com O1 - Hosts: 69.50.188.82 goto.com O1 - Hosts: 69.50.188.82 www.goto.com O1 - Hosts: 69.50.188.82 lycos.com O1 - Hosts: 69.50.188.82 dmoz.org O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: GStartBHO Class - {EADD3112-0CF8-444b-AC0F-EBA38E004554} - C:\WINDOWS\Downloaded Program Files\giga32.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [tgf] C:\WINDOWS\tgf.exe O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://download.35mb.com/images/dlapplet.cab O16 - DPF: {D03A1C33-1913-4533-A8C1-F2C8D13045DE} - http://www.cjb.net/search.cab Because XP will not always show you hidden files and folders by default. Reset your search settings first. Go to Start>Search and at the top select Tools>Folder Options Select the View tab Display the contents of system folders Show hidden files and folders Uncheck: Hide protected operating system files Click on Apply. Next go to the side of the Search box and select All files and folders. Go down to More advanced options. Be sure the first three boxes are selected: Search System folders Search Hidden Files and folders Search SubFolders Find and delete these files/folders: C:\WINDOWS\system32\mshtm.exe C:\Program Files\Windows AdTools.......................folder C:\Program Files\BullsEye Network ........................folder C:\Program Files\Web_Rebates .....................folder C:\WINDOWS\tgf.exe Now, before you reboot normally: Open Window Explorer. Browse to the C:\documents and settings\\User Name (repeat for all users)\local settings\temp folder and delete all files and folders in it. Then browse to the C:\Windows\Temp folder and delete all files in it. Then in internet explorer click tools>internet Options>General. Click on Delete Files make sure you get all offline content as well. Empty Recycle Bin and reboot your computer normally. Run both of these online virus scans: http://housecall.antivirus.com/ http://www.pandasoftware.com/activescan/ Reboot. |
**** Run Keys ****
**** Browser Helper Objects **** BHO: [] C:\WINDOWS\QUESTMOD.DLL **** IE Toolbars **** **** IE Extensions **** **** Hosts File Entries **** **** IE Settings **** Local Page: C:\WINDOWS\SYSTEM\blank.htm **** IE Context Menu (Right click) **** **** Layered Service Providers **** LSP: MS.w95.spi.tcp LSP: MS.w95.spi.udp LSP: MS.w95.spi.rsvptcp LSP: MS.w95.spi.rsvpudp **** Blocked Control Panel Items **** BLOCKED: [] **** Downloaded Program Files **** Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso4.cab] DirectAnimation Java Classes [file://C:\WINDOWS\SYSTEM\dajava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab] **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm Das habe ich zuletzt auf dem Bildschirm bekommen. |
und das kam vor ein paar minuten mit dem Antivir Personal Edition
C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! questmod.dll [FUND!] Ist das Trojanische Pferd TR/Dialer.BI WURDE GELÖSCHT! C:\WINDOWS\TEMP JET6E4F.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery TIBS.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Programme\AVPersonal\INFECTED 125314.VIR [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300797 (Dialer) WURDE GELÖSCHT! C:\Programme\WebSiteViewer 125314.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.JZ.4 WURDE GELÖSCHT! C:\Eigene Dateien\Meine Videos\Hurricandemo Hurrican.dat ArchiveType: RAR HINWEIS! Das gesamte Archiv ist passwortgeschützt Ende des Suchlaufs: Montag, 13. Dezember 2004 20:28 Benötigte Zeit: 14:32 min 2018 Verzeichnisse wurden durchsucht 53950 Dateien wurden geprüft 2 Warnungen wurden ausgegeben 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Viren bzw. unerwünschte Programme wurden gefunden |
Also, der dürftige Ausschnitt der Log-Datei von HijackThis sagt zwar wenig, du bist aber zweifellos das Opfer des dialer_bi Trojaners, Entfernung laut folgender Anleitung:
http://www.pestpatrol.com/PestInfo/t..._dialer_bi.asp Ich vermute aber noch mehr Mist auf deiner Platte, kannst nicht den gesamten LOG von Hijack posten ? lg bully |
der antivir hat doch aber nur diese 3 Trojaner aufgespürt?
|
Wenn du hijack ausführst, gleich nach dem Scan, drückst auf Save Log (links unten) und kannst dann den Output als Textdatei speichern. Den Inhalt dieser Textdatei würde ich gerne sehen. Was Antivir anzeigt oder auch nicht anzeigt, wage ich so nicht zu beurteilen, vor allem kriegst du die Geschichte nicht sauber, wie du ja schon bemerkt hast.
lg bully |
@bully
blöde Frage, würde das hier nicht zu viel Platz wegnehmen. Ich glaube das wären einige Seiten |
Okay, das bestätigt meinen Verdacht, dass noch viel mehr Mist auf deiner Platte ist. Also schlag ich dir vor, schick mir eine pm, wo du die Textdatei einfügst, muss ich mich halt durch die paar Seiten quälen, und ich schicke dir ein paar Tipps zurück.
lg bully |
Zitat:
|
@orange: Du hast pn!
lg bully |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 09:28 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag