Supportnet / Forum / WindowsXP
Trojaner!!!
Frage
Hallo!
ich habe da ein Problem. Beim Computer von meinem onkel hat sich ein trojaner eingeschlichen. Das Antivir meldet:
kritische Datei in c:\Windows\hh.htt gefunden. ich kann diese datei nicht löschen oder in die quarantäne verschieben etc.....
mit dem tool hijackthis v.1.97.7 findet er auch diese datei aber das programm kann diese datei nicht fixen. das ist das log von hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 18:54:45, on 24.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\SysUpd.exe
D:\Programme\AntiVir\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\AntiVir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38010.3462384259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
im internet habe ich das programm cwshredder gefunden...das sollte auch theoretisch den trojaner löschen....er findet den trojaner CWS.svchost32, CWS.tapicfg, CWS.smartsearch und CWS.YEXE. wenn ich das programm laufen lassen erscheint schon eine meldung das er es gelöscht hat aber beim nächsten neustart ist alles wieder da....
kann mir jemand weiterhelfen? Danke!!
Antwort 1 von Lutz1965
Hallo Michael
versuch es mal mit dieser free-Version:
http://www.emsisoft.de/de/software/download/
oder mit Spybot....
Gruss
Lutz
versuch es mal mit dieser free-Version:
http://www.emsisoft.de/de/software/download/
oder mit Spybot....
Gruss
Lutz
Antwort 2 von t-c
Hallo,
hätte auch mal eine Frage dazu...
müssen oder sollten diese Tools im Abgesicherten Modus ausgeführt werden, oder spielt es keine Rolle???
Gruß Thorsten
hätte auch mal eine Frage dazu...
müssen oder sollten diese Tools im Abgesicherten Modus ausgeführt werden, oder spielt es keine Rolle???
Gruß Thorsten
Antwort 3 von Lutz1965
Hallo
also ich führe sie immer in normal Modus aus...
Gruss
Lutz
also ich führe sie immer in normal Modus aus...
Gruss
Lutz
Antwort 4 von Michael Hug
hallo! danke für die prompte antwort...
das a hoch 2 programm hat nichts gefunden aber das spybot progi hat drei einträge gefunden ich kann diese drei eingträge auch fixen, aber beim nächsten scannen sind alle wieder da....die generieren sich irgendwie selber....
hat sonst noch jemand eine lösung?
@Thorsten
besser wäre es solche progi im abgesicherten modus auszuführen, weil evtl. die suchprogramme, die gestarteten infizierten dienste oder exe oder was auch immer nicht löschen kann....
das a hoch 2 programm hat nichts gefunden aber das spybot progi hat drei einträge gefunden ich kann diese drei eingträge auch fixen, aber beim nächsten scannen sind alle wieder da....die generieren sich irgendwie selber....
hat sonst noch jemand eine lösung?
@Thorsten
besser wäre es solche progi im abgesicherten modus auszuführen, weil evtl. die suchprogramme, die gestarteten infizierten dienste oder exe oder was auch immer nicht löschen kann....