Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Trojaner!!!





Frage

Hallo! ich habe da ein Problem. Beim Computer von meinem onkel hat sich ein trojaner eingeschlichen. Das Antivir meldet: kritische Datei in c:\Windows\hh.htt gefunden. ich kann diese datei nicht löschen oder in die quarantäne verschieben etc..... mit dem tool hijackthis v.1.97.7 findet er auch diese datei aber das programm kann diese datei nicht fixen. das ist das log von hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 18:54:45, on 24.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\SysUpd.exe D:\Programme\AntiVir\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zapro.exe D:\Programme\AntiVir\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe D:\Programme\AntiVir\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38010.3462384259 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) im internet habe ich das programm cwshredder gefunden...das sollte auch theoretisch den trojaner löschen....er findet den trojaner CWS.svchost32, CWS.tapicfg, CWS.smartsearch und CWS.YEXE. wenn ich das programm laufen lassen erscheint schon eine meldung das er es gelöscht hat aber beim nächsten neustart ist alles wieder da.... kann mir jemand weiterhelfen? Danke!!

Antwort 1 von Lutz1965

Hallo Michael

versuch es mal mit dieser free-Version:

http://www.emsisoft.de/de/software/download/

oder mit Spybot....

Gruss

Lutz

Antwort 2 von t-c

Hallo,

hätte auch mal eine Frage dazu...
müssen oder sollten diese Tools im Abgesicherten Modus ausgeführt werden, oder spielt es keine Rolle???

Gruß Thorsten

Antwort 3 von Lutz1965

Hallo

also ich führe sie immer in normal Modus aus...

Gruss

Lutz

Antwort 4 von Michael Hug

hallo! danke für die prompte antwort...
das a hoch 2 programm hat nichts gefunden aber das spybot progi hat drei einträge gefunden ich kann diese drei eingträge auch fixen, aber beim nächsten scannen sind alle wieder da....die generieren sich irgendwie selber....
hat sonst noch jemand eine lösung?

@Thorsten

besser wäre es solche progi im abgesicherten modus auszuführen, weil evtl. die suchprogramme, die gestarteten infizierten dienste oder exe oder was auch immer nicht löschen kann....

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: