Trojaner Troj/Multidr-BL

    Den abgesicherten Modus von Windows erreichst du, indem du wärend des Bootvorgangs deines Rechners (also noch bevor Windows startet), auf F8 drückst (mach ruhig ein paar mal, damit du den richtigen zeitpunkt nicht verpasst). Dann erhälst du eine liste von möglichen optionen. und eine davon ist es Windows im angesicherten Modus zu starten.

    Ähm. Wer hat das Bios auf F8 gelegt? Da bleibst du besser raus ; )

    Ok... versuch F8 was *später* zu drücken. wenn die Systeminformationen schon alle angezeigt wurden. Ist eine frage des richtigen Timings. : )

    Habe also jetzt den abgsicherten Modus gestarten, dann in Sythemsteuerung :arrow: Software und habe DesAdService runtergeschmissen, dann kam die Meldung: mshta exe hat einen Fehler verursacht, starten sie das Programm neu.
    . Dann habe ich noch folgendes dort gefunden:
    Uninstal 180 search Assistant
    Ad Status Service
    Ad Tools Service
    IE Menü Extension toolbar
    Web specials.
    Ich meine, das alles hätte ich seit dem ich gestern eine Überprüfung per Spybot gemacht habe. Bin mir aber nicht sicher.
    M

    lass die anti-adware-software im abgesicherten modus laufen. und entferne das zeug nochmal.

    im abgesicherten modus werden die adware-dinger nicht mehr gestartet. in der regel aber werden diese programme bereits zu beginn vom windowsstart gestartet und können dann nichtmehr beendet werden (und häufig gibt es ein programm, dass die adware einfach beim systemneustart neu installiert! dieses Programm MUSS gelöscht werden, sonst wird man den ganzen kram nie los!). darum der abgesicherte modus.

    saug dir mal dieses programm hier:
    http://www.hijackthis.de (http://www.hijackthis.de/downloads/hijackthis_199.zip)

    lass dir eine logdatei (.log) erstellen und fütter die seite damit. das was die seite ausspuckt (link) gibst du uns mal. evtl. können wir dir dann besser helfen. momentan wissen wir ja auch nicht genau, was du da auf deinem rechner hast.

    Zitat von bugcatcher

    lass die anti-adware-software im abgesicherten modus laufen. und entferne das zeug nochmal.

    Langsam bitte :oops:
    als erstes meine Ad Aware Se Personal im abgesicherten Modus :arrow: dann diese Software auch im abges. Modus entfernen und dann normal starten un hijackthis runterladen?

    adware im abgesicherten modus laufen lassen und alles entfernen lassen, was das programm findet.

    dannach einmal hijackthis laufen lassen und ein logfile erstellen lassen. dieses logfile einfach auf der seite hijackthis.de hochladen und analysieren lassen. die adresse zur folgeseite mit der auswertung einfach mal hier posten. dann sehen wir was so alles auf deinem rechner unterwegs ist, und was man dann evtl. unternehmen kann. zuerst müssen wir ja erstmal rausfinden WAS genau dein System belagert. Es kann sein, dass da mehr ist, als dein Virenprogramm bemerkt hat.

    (im abgesicherten modus hast du vermutlich kein internet, also besorg dir lieber vorher das hijackthis-programm.)

    also habe die daware im abgesichten modus jetzt laufen lassen und auf einmal machte es klick und der comp startete neu.
    Ist das so im abges. modus oder soll ichs noch mal machen.

    bitte nicht böse sein über meine nervigen Fragen :oops:

    So nochmal,
    habe das mit hijack gemacht, bekomme 25 böse Antworten. Kann ja wohl jetzt nicht die ganze Internetseite hier reinsetzen :?: Könnt ihr damit was anfangen?
    O4 - HKLM\\..\\Run: [msnmsgr32.exe] msnmsgr.exe - Unbekannt
    O4 - HKLM\\..\\Run: [Windows AdControl] C:\\Program Files\\Windows AdControl\\WinAdCtl.exe - Böse
    O4 - HKLM\\..\\Run: [IE Menu Extension toolbar] rundll32.exe \"C:\\PROGRA~1\\IEMENU~1\\tbextn.dll\" DllShowTB - Unbekannt
    O4 - HKLM\\..\\Run: [AdStatus Service] C:\\Program Files\\AdStatus Service\\AdStatServ.exe - Unbekannt
    O4 - HKLM\\..\\Run: [Windows AdStatus] C:\\Program Files\\Windows AdStatus\\WinStat.exe - Unbekannt
    O4 - HKLM\\..\\Run: [antiware] C:\\winnt\\system32\\elitelfh32.exe - Unbekannt
    O4 - HKLM\\..\\Run: [salm] c:\\temp\\salm.exe - Böse
    O4 - HKLM\\..\\Run: [AdTools Service] C:\\Program Files\\AdTools Service\\AdTools.exe - Unbekannt
    O4 - HKLM\\..\\Run: [Internet Optimizer] \"C:\\Program Files\\Internet Optimizer\\optimize.exe\" - Böse
    O4 - HKLM\\..\\Run: [SAHBundle] C:\\DOKUME~1\\KLAUS~1.BON\\LOKALE~1\\Temp\\SAHAGE~1.EXE run - Unbekannt
    O4 - HKLM\\..\\RunServices: [Media service] messenger.exe - Unbekannt
    O4 - HKLM\\..\\RunServices: [msnmsgr32.exe] msnmsgr.exe - Unbekannt
    O4 - HKCU\\..\\Run: [Start Uppings] svcchosts.exe - Böse
    O4 - HKCU\\..\\Run: [WebSpecials] rundll32 \"C:\\Program Files\\WebSpecials\\webspec.dll\",run - Böse
    O4 - HKCU\\..\\Run: [Aeat] C:\\Dokumente und Einstellungen\\klaus.BONGARTZ\\Anwendungsdaten\\osuh.exe - Unbekannt
    O4 - HKCU\\..\\Run: [Cilqoznn] C:\\WINNT\\system32\\?hkntfs.exe - Unbekannt
    O4 - HKCU\\..\\Run: [msnmsgr32.exe] msnmsgr.exe - Unbekannt
    O4 - HKCU\\..\\RunServices: [msnmsgr32.exe] msnmsgr.exe - Unbekannt
    O4 - Global Startup: Clicktionary 2.9.lnk = C:\\Programme\\Clicktionary\\Cleverlearn Clicktionary.exe - Unbekannt
    O16 - DPF: v3cab - http://searchmiracle.com/cab/4.cab - Böse
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlim…/bridge-c11.cab - Böse
    O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab - Böse
    O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab - Böse
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx - Böse
    O16 - DPF: {7EB15626-CB8E-4174-8A72-C055B12B4310} (CQD2Loader Object) - http://smartdownloader.com/installer.dll - Böse
    O16 - DPF: {9EAC0186-5F5A-4362-B120-15C312CE012D} - http://www.awmdabest.com/cabl/661/tb.cab - Eventuell Böse
    ','','toolbar=no,scrollbars=yes,width=500,height=500');return false;">Short analyzing

    und wie geht das?

    wenn ich meinen longfile in die seite zum Auswerten eingeben, steht dann ja unten das Ergebnis und da steht es ist bis zu 3 Tagen gespeichert. mehr kann ich da nicht erkennen, musste mich ja auch nicht einloggen oder so :?:

    hast du dein problem mittlerweile in den griff bekommen ?

    falls nicht, solltest du dich an "profis" wenden.
    ein forum wie dieses hier http://board.protecus.de kann dir in jedem fall weiterhelfen.

    oder dieses: http://www.rokop-security.de


    poste dort mal dein ganzes hijackthis-logfile und beschreibe, was sich so bisher getan hat.

    alles weitere erfährst du dann dort

    viel glück !

    Ich habe gestern, nur so zum Spaß, mein System mal mit HijackThis gecheckt und das Logfile dann auswerten lassen. Das einzige, was er als "böse" bezeichnet hat, war eine von mir selbst geschriebene und in allen Browsern als Startseite eingerichtete HTML-Seite. Sie enthält nichts weiter als ein paar Links zu lokal gespeicherten Projekten und Ressourcen. :lol:

    Außerdem hat er den bei mir als Windows-Service laufenden Apache, den ich ständig für PHP-Seiten benutze, als überflüssig bezeichnet.

    Man muß also letztendlich immer seinen eigenen Kopf benutzen und wissen was man tut.

    Hi,
    ich werde gleich noch mal im abges. Modus löschen was ich an Bösem löschen kann und denn diese Hi..dings noch mal laufen lassen.
    Fest steht, dass ich einige von den Bösen Dingern drauf hab, seit dem ich einen Check mit Spybot gemacht habe. Überlege ob ich den runterschmeisse und einen neuen downloade. Hat denn jemand von euch auch mal schlechte Erfahrungen damit gemacht?

    Also einen steht mal fest.....Spybot selbst installiert keine "bösen" Sachen auf dem Rechner. Ich nutze das Teil schon seit Jahren und da ist noch nie etwas gefunden worden.
    Aber wenn ich mir den Log so anschaue, dann würde es für mich nur eine logische und vernünftige Lösung geben......Format:C
    Denn so wie es aussieht, sind die Trojaner aktiv gewesen und dadurch ist das System kompromitiert.
    Also formatieren, System sicher einrichten, guten Virenscanner installieren, WindowsUpdate besuchen und dann sämtliche Zugangskennwörter ändern.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

    Zitat von LonesomWolf

    Also einen steht mal fest.....Spybot selbst installiert keine "bösen" Sachen auf dem Rechner. Ich nutze das Teil schon seit Jahren und da ist noch nie etwas gefunden worden.
    Aber wenn ich mir den Log so anschaue, dann würde es für mich nur eine logische und vernünftige Lösung geben......Format:C
    Denn so wie es aussieht, sind die Trojaner aktiv gewesen und dadurch ist das System kompromitiert.
    Also formatieren, System sicher einrichten, guten Virenscanner installieren, WindowsUpdate besuchen und dann sämtliche Zugangskennwörter ändern.

    Ich vermute es fast auch :evil: Da werde ich wohl mal meinen PC-Mensch zu rate ziehen müssen. Das habe ich nämlich noch nie gemacht.

    Schluchz....Martina

    Also, ich kann LonesomeWolf nur zustimmen. Dieses System ist derart kompromittiert, daß Du die Festplatte formatieren solltest und Windows neu einrichten. Vorher solltest Du keinesfalls mehr irgendwelche sicherheitsrelevanten Dinge, wie z.B. Onlinebanking, mit diesem Computer machen.