Supportnet Computer
Planet of Tech

Supportnet / Forum / Windows98

Kann meinen Trojaner nicht löschen...





Frage

Hallo! Habe mir wohl durch eine Mail (ja, ich weiß: Keine fremden Mails öffnen...) einen Virus/Trojaner oder sowas eingefangen. Ich wollte defragmentieren und bekam die Meldung, dass der Ordner C:\WINDOWS\SYSTEM\WITHSHOST.Exe den Virus TR/Dldr.Small.ZJ.2 enthält. Wenn ich ihn löschen will, tut sich nix. AntiVir hat ihn gar nicht erst gefunden. Irgendwie habe ich auch das Gefühl, der PC ist langsamer geworten. Langsam graut´s mir vor der nächsten Telefonrechnung... Spaß beiseite: Was kann ich tun? Danke im voraus. Gruß Tanja

Antwort 1 von elena

hast du es schon mit

Spybot - Search & Destroy


AdAware

versucht?

Bei derartigen Problemen bitte immer mit
Deaktivierter Systemwiederherstellung und Start im abgesicherten M... scannen.
Und immer bei alle Programmen vorher nach Updates suchen.

Antwort 2 von pete6915

Noch besser bei Trojanern ist das "Stinger" Programm, oder gleich mit dem "HijackThis" Programm.

Pete

Antwort 3 von pete6915

Schau mal noch einmal, ob die Datei wirklich SHOST.EXE heisst, wie Du geschrieben hast.

Kenne ich nämlich noch nicht.

MFG Pete

Antwort 4 von ?

lol, wie er es "meinen trojaner" nennt. hört sich ja fast väterlich an...

Antwort 5 von pete6915

o.k. , alles klar , SHOST.EXE = Wurm W32 Serie....
also, entweder "Stinger" oder "HijackThis"

Pete

Antwort 6 von ?

uuups, dasselbe für frauen natürlich, also:
lol, wie sie es "meinen trojaner" nennt. hört sich ja fast mütterlich an...

Antwort 7 von elena

HijackThis kannste hier runterladen und auch auf dieser seite auswerten lassen

Antwort 8 von tanjamw

Hallo!
Also ad-aware hatte 49 Funde...
Spybot nix. Stinger 1 Trojaner (ja, der W 32/Bagle.dll.dr.trojan) und 1 Dialer.
Ob ich die jetzt endgültig los bin?
Gruß
Tanja

Antwort 9 von tanjamw

Zitat:
HijackThis ist ein Programm für Erfahrene Benutzer

Da soll ich mich rantrauen?

Gruß
Tanja

Antwort 10 von elena

ja sollst du.
solange du nichts fixt passiert ja nichts.
nachschauen ist ja erst mal kein problem.
also dann ...

Antwort 11 von pete6915

Dies kannst Du am besten sehen, wenn Du den "HijackThis" Test Online machst, wenn Du dies möchtest, um zu sehen, ob Du noch mehr Probleme hast, dann schaue hier....ich will das nicht alles noch einmal schreiben...

Gehe nach der Anleitung, und wenn Du noch eine Frage dazu hast, dann sage Bescheid :

Antwort # 7 , Punkt 2 :

https://supportnet.de/discussion/listmessages.asp?AutoID=206611&...

MFG Pete

Antwort 12 von elena

hier noch ne kleine kurze anleitung

http://hjt.klaffke.de/

mehr ist es schon erst mal nicht.

Antwort 13 von tanjamw

Bei HijackThis kommt eine ziemlich lange Liste. Ich kenne mich aber zu wenig mit dem Compu aus, als dass ich mich da rantraue..

Antwort 14 von tanjamw

Da kann ich nix mit anfangen...

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ewebsearch.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-center.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search-center.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.martinundkuester.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://66.250.57.28/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-center.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: (no name) - _{6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PtUDFApp] C:\WINDOWS\SYSTEM\PtUDFApp.exe /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\Capictrl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WINZIP\WZQKPICK.EXE
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .pif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -



Böhmische Dörfer...

Weiblich... Blond...

Antwort 15 von elena

kopiere es doch mal bei http://www.hijackthis.de rein, aber komplett und lasse es automatisch auswerten.
sieht schlimm aus.

hier deine auswertung
http://www.hijackthis.de/logfiles/6f6dfce133e80e03860efeb1db2b0c51....

Antwort 16 von pete6915

wow...wo surft die Tanja bloss immer im Internet...lol

Pete

Antwort 17 von tanjamw

...oder mein Mann???...

Antwort 18 von pete6915

Antwort 19 von tanjamw

Hallo Pete!
Kannst Du aus diesem Fachchinesisch etwa erkennen, wo man sich da rumgetrieben hat?
Ich sollte mich langsam doch mal darum kümmern, was über Computer und das Drumherum zu lernen...
Gruß
Tanja

Antwort 20 von pete6915

Tanja :

Also, eines mal vorweg, Du musst diese Fehlermeldungen ( rot + gelb ) der Online "HijackThis" Log-File möglichst schnell reparieren.

Dazu musst Du erst einmal täglich, bevor Du den PC abschaltest schnell so eine Log-File wieder erstellen und dann Online aufrufen, um zu sehen, ob alles in der Log-File noch "grün" aussieht.
Die Anleitung hast Du ja dafür, wie man es macht.

Dies solltest Du dann jeden Tag einmal machen, um sicherzustellen, das Du diese Trojaner/Hijacker/Spyware auch wirklich losgeworden bist.

Dann musst Du Dein ganzes Sicherheitssystem des PC besser verwalten (AV + Firewall), und die Dienste in der Verwaltung ( Systemsteuerung) besser anpassen.

Denn bei Dir ist alles geöffnet wie ein Scheunentor. Da kann jeder rein und raus.

Deine Frage, ob ich sehen kann, wo Du Dich da "rumgetrieben" hast will ich so nicht beantworten.

Ich sage Dir aber folgendes, jedesmal, wenn Du Deinen PC klickst wirst Du beobachtet von der vielen "Spyware", die auf Deinem System ist.

Deine "I.E. Startpage" hast Du auch nicht mehr unter Kontrolle.

Ich gehe mal davon aus, dass Du noch mit ISDN arbeitest. Deine Domains / History in der Registry sollten ganz sicher mal entrümpelt werden.

Fazit :

Der PC muss komplett gereinigt werden, bevor man damit beginnt, muss aber überlegt werden, wie man den PC gegen diese vielen Angriffe sicherer macht.

Da gibt es viele Möglichkeiten.

Erst einmal müssen alle Windows-Dienste in der Verwaltung abgeschaltet werden, die Du zum Surfen im Internet nicht benötigst, damit die entsprechenden Ports geschlossen werden. Dafür gibt es Tools/Programme, die dies automatisch für Dich machen. Dies ist die allerwichtigste Arbeit, die zuerst gemacht werden muss.
Dann musst Du überlegen, ob Du auf den FireFox Browser umsteigen möchtest, den I.E. also nicht mehr benutzt. Dies erhöht auch Deine Sicherheit beim Surfen.

Falls Du noch mit ISDN surfst, dann muss auch hier ein Tool/Programm geschaltet werden, dass Du keine Dialer auf den PC bekommst.

Da Du in der History/Domains in Deiner Registry alles voller "Spyware" hast muss auch diese erst beseitigt werden.

Falls Du dies alles möchtest, um Deinen PC sicherer zu machen, dann melde Dich wieder.

Falls nicht, dann habe ich hier für Dich unsere Neuentwicklung des Computers mit Airbag, damit Du Dir nicht das Näschen immer stösst......

http://www.glasbergen.com/images/18.gif

Gruss Pete

Antwort 21 von tanjamw

Hallo Pete!
Sicher surfen würde ich schon gerne. Habe noch ISDN (leben hier auf dem Land...).
Zu meiner Schande muss ich gestehen, dass ich mit PC echt wenig auskenne. Du hast es hier also mit einem Laien zu tun.
Wenn Du mir also weiterhelfen möchtest, musst Du Dich so audrücken, dass es auch Blondinen verstehen...
Wäre Dir für Deine Hilfe aber sehr dankbar!
Gruß
Tanja

Antwort 22 von pete6915

Ja , o.k. , dann habe ich erst einmal ein paar Fragen re Deinen Rechner :

Ist es PC oder Laptop ?
Welche Marke ?
Windows XP mit SP1 oder/und SP2 oder nicht ?
I.E. , o.k.
ISDN mit Eumex , o.k. / hast Du Flatrate ?

Welche Firewall / Marke und Jahrgang ?
Welcher Antivirusscanner ( AV ) / Marke und Jahrgang ?
Alle updates immer gemacht für Firewall und AV ?

Welche Tools/Utilities hast Du auf dem Rechner von diesen hier :
AdAware / Spybot / CWShredder (CWS)/ HijackThis/ XP-Antispy / Spyware Blaster / Stinger

Arbeitest Du mit "Instant Messenger" (I.M.) von Yahoo ?

Hast Du einen "Registry-Cleaner" auf Deinem Rechner ?

Das HijackThis Programm müsstest Du ja schon auf Deinem Rechner haben, und die Log-File erstellen kannst Du ja auch, denn das hast Du ja gestern gemacht.
Mache nochmals einen Log-Scan Online, und dann speichere die Log-File ab auf Deinem Desktop im Moment. Das geht am schnellsten immer. Also keinen "Sreenshot" senden, wie Du es gestern getan hast, sondern die Log-File auf den Desktop speichern.

Falls Du dann nicht weiterwissen solltest, wie Du den Print-Out bekommst mit den "grünen" und "roten" und "gelben" Anweisungen, das macht nichts, denn das können wir dann später zusammen machen.

Dies beantworte mal erst einmal. Und in der Zwischenzeit machst Du mal folgendes :
Im I.E. , aber nicht Online, "Extras" und dann "Internetoptionen" klicken : dann "Cookies" leeren , "Dateien löschen" ( und Häkchen setzen für Offline Inhalte ) und den Verlauf leeren / löschen.
Das mache mal jeden Tag bevor Du mit Deinem PC von Online auf Offline gehst.
Bis wir mit der Systemreinigung fertig sind.

Beantworte mir erst einmal jetzt die Fragen, damit wir weitermachen können. Besonders die Frage SP1 / SP2 nicht vergessen.

Gruss Pete

Antwort 23 von pete6915

Ich sehe gerade, dass Du mit Windows-98 arbeitest...puuuuh, das hatte ich nicht gesehen vorher. o.k.
Beantworte dann trotzdem die anderen Fragen.

Gruss Pete

Antwort 24 von pete6915

Also, ich mache schon mal weiter, damit wir dann erst einmal einen Print-Out von der Log-File bekommen, und sehen können wie der "ist" Zustand Deines PC zur Zeit ist.
Du musst bei diesem Vorgang jetzt Online sein, dann
klickst Du diese URL :

http://www.hijackthis.de/

Du siehst jetzt unter dem "Fensterchen" ...."oder wählen Sie ein Logfile von Ihrem Rechner aus"...
Du klickst also jetzt auf "durchsuchen" , dann öffnet sich ein neues "Fenster" und oben gehst Du auf "Desktop", denn dort ist ja Deine Log-File, dann klickst Du die Log-File und die sollte dann in dem schmalen Fensterchen sein, Du musst also nur noch auf "auswerten" klicken.
Dann scroll ein bisschen runter, und da siehst Du dann den Print-Out von Deiner Log-File farbig mit "grün" + "rot" + "gelb"

Die sende dann mal zurück zu mir.

Dann klickst Du wieder auf Dein HijackThis Programm und machst den "Scan"...., dann siehst Du daneben "Fix checked"

Jetzt musst Du erst einmal den Print-Out (farbig) mit dem Scan hier vergleichen, dass Du nicht aus Versehen die falsche Datei reparierst.
Hast Du eine "rote" Datei von dem Print-Out gefunden in dem HijackThis Scan, und auch verglichen, dass die beiden identisch sind, dann mache ein "Häkchen" vor die entsprechende Datei im Scan. Dann ist es soweit. Du klickst jetzt "Fix checked"... und so machst Du es mit allen "roten" Dateien von dem Print-Out. Mit den "gelben" etwas vorsichtiger sein, die schaun wir uns erst gemeinsam an. Deswegen sollst Du mir ja den Print-Out (farbig) senden.

o.k.

Gruss Pete

Antwort 25 von pete6915

Diese Reparaturarbeiten des PC müssen dann später nochmals im Safe Mode durchgeführt werden, d.h. , die Prozedur mit HijackThis muss im abgesicherten Modus
und mit deaktivierter Systemwiederherstellung gemacht werden.

Hier die Anleitung für Windows-98

http://www.bsi.de/av/texte/wiederher_95982000.htm

Gruss Pete

Antwort 26 von tanjamw

Hallo Pete!
Los geht´s:
- PC
- Marke Waibel
- Windows 98
- ISDN, keine Flatrate
- keine Firewall (Asche auf mein Haupt)
- Antivir Version 6, regelmäßige Updates
- AdAware, Spybot und HijackThis

- arbeite nicht mit Instant Messanger von Yahoo
- keinen Registry-Cleaner

So, dann gehe ich mal an HijackThis...


Antwort 27 von pete6915

ja , o.k. , mache mal die Log-File + den Print-Out ( rot+grün+gelb)...

Gruss Pete

Antwort 28 von tanjamw

Muss Dir die Auswertung mailen, hierüber geht´s irgendwie nicht.
Gruß
Tanja

Antwort 29 von pete6915

o.k. , habe ich erhalten und mir angeschaut. Du hast gute Vorarbeit geleistet, weil alle "roten" schon von Dir korrigiert wurden.

Es geht im wesentlichen nur noch um 3 Dateien :

PTUDFAPP.EXE ist eine Application ( vielleicht Sony/TDK ? ); hast Du so etwas ?
Diese noch nicht weglöschen, erst später im Safe Mode mit deaktivierter Systemwiederherstellung, wie von mir beschrieben ( URL gesendet ), für Windows-98.

AGENTSVR.EXE sieht mir wie ein Trojaner aus. Aber auch noch nicht weglöschen.

I.E. Start Page ist gehijackt von MartinundKuester.de, die sollte da wieder rausgenommen werden, geht normalerweise mit AdAware und/oder Spybot, beide hast Du ja, aber auch im Safe Mode plus deaktivierter Systemwiederherstellung. Das ist wichtig. Der PC muss im "Ruhezustand" sein, wenn diese Reinigungsarbeiten gemacht werden.

Die Programme AdAware + SpyBot müssen einen "update" haben, also erst mit Online hier einen Update machen.

Folgender Vorschlag jetzt :
1.
Erst einmal Online gehen, AdAware + Spybot updaten.
2.
Dann eine Firewall "downloaden"
http://www.sygate.de/
Ganz unten rechts steht "download" kostenlos, mache Dir im "Explorer" einen Ordner, da lade das Programm erst einmal hin. Noch nicht installieren.
3.
Dann Off-Line gehen
4.
Dann alle I.E. Ordner leeren, wie ich gestern beschrieben habe, also die "Temps" / Cookies / Dateien...beim I.E. über Extras...Internetoptionen..
5.
Dann Firewall installieren und einrichten, aber noch nicht On-Line gehen.
6.
Dann Systemsteuerung deaktivieren
7.
Dann in Safe Mode gehen
8.
Dann Adaware einmal durchlaufen lassen, mal sehen, ob er etwas findet.
9.
Dann Spybot durchlaufen lassen, mal sehen, ob er etwas findet.
10.
Dann HijackThis Programm aufrufen und nur den "Scan" machen, da Du ja alles Andere schon hast und auch durchgearbeitet hattest.
So, jetzt nach dem "Scan" mal schaun, ob die 3 besagten Dateien immer noch zu sehen sind, die vorher in Deinem Print-Out gelb waren. Kann ja sein, dass AdAware oder Spybot in der Zwischenzeit eine oder zwei davon gereinigt hat.
11.
Es muss auf jeden Fall AGENTSVR.exe gelöscht werden, und auch der Hijack von der I.E. Start-Page, MartinundKuester.
Bei der Datei PTUDFAPP.Exe bin ich mir nicht sicher, könnte für eine Application auf Deinem PC sein.

O.K. , wenn alles fertig ist, dann wieder zurück in den Normal Mode, also raus aus Fafe Mode, nach der Anleitung, und ausserdem die Systemwiederherstellung wieder aktivieren, nochmals Re-Boot machen (Re-Start), dann mit der neu installierten Firewall und dem AV ( updated !) dann On-Line gehen.

Das wäre es dann im Moment. Falls noch Fragen auftauchen, dann fragen.

Dann noch einen anderen Tag die Reinigung in der Registrierung, mit einem Programm, zeige ich Dir.

Mache man dies alles erst einmal.

Gruss Pete

Antwort 30 von pete6915

Punkt # 6 muss heissen :

Systemwiederherstellung deaktivieren...ha..

Antwort 31 von koor

mal so nebenbei mal ne frage,

sollte man nicht bei allen diesen "Säuberungen" offline sein, den IE schließen und dann im abgesicherten modus bei deaktivierte systemwiederherstellung durchführen?

und vor jeder ausführung dieser programme sollte doch immer nach updates gesucht werden, egal welches programm es ist!

naja wollte nur mal was zum besten geben ;-)

Antwort 32 von tanjamw

Pete erst mal vielen Dank für Deine Hilfe!

Ob ich das jetzt über´s Wochenende schaffe, weiß ich noch nicht.
Also Danke und bis später...


Gruß
Tanja



Antwort 33 von tanjamw

Da bin ich wieder...
Ziemlich verspätet, aber immerhin.
Zur Zeit läuft alles wieder. Den Firewall habe ich mir runtergeladen. Alle updates gemacht.
Aber: (blöde Frage): Wie komme ich in den abgesicherten modus bei deaktivierter systemwiederherstellung ??
Ich sag´ ja: Ich hab´ keine Ahnung...

Gruß
Tanja

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: