Ich habe ein sehr großes Problem und zwar wenn ich den Pc anmache werde ich mit so ca. 6-10 Trojanermeldungen begrüßt, das merkwürdige daran ist das Anti Vir diese Trojaner in C: Dokumente und Einstelleungen... anzeigt, aber wenn ich mit Anti Vir den Viren Suchlauf manuell starte dann findet er natürlich gar nichts.

Zudem wenn ich im Internet bin, dann werde plötzlich irgendwelche Seite geöffnet die ich gar nicht kenne z.B. Drivecleaner wird mir jedes angezeigt das ich das installieren soll oder irgend so eine Seite zeigt mir da an das mein Pc 5000 Systemfehler oder so hat, diese komischen Spamseiten langweilen mich so sehr.

Wenn mein Vater auf seine Bankseite geht, kommt so lauter Werbung und so ein Zeug, das darf eigentlich nicht sein und ich bin echt am verzweifeln.

Ich hoffe ihr habt irgendeine Lösung für mein Problem, ich wäre euch sehr dankbar.

Ansonsten hilft nur eine Systemneuaufsetzung.

Edit: Immer wenn ich die Trojaner lösche dann taucht die Meldung kurze Zeit später wieder auf, ich kann die Dinger einfach nicht löschen.





mfg DarkDali

Hast du nur AntiVir?Wenn ja besorg dir mal Ad-Aware (http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5).
Installiers und Update es und mach nen Suchdurchlauf.
Danach halt nochmal PC neustarten.Sollten die Viren immer noch da sein,wäre die einzigste Möglichkeit die ich kenne die Systemwiederherstellung zu deaktivieren.
Arbeitsplatz->Extras->Systemwiederherstellung Deaktivieren.Und nochmal AntiVir/Ad-Aware suchen lassen.Nicht vergessen die Systemwiederherstellung wieder zu aktivieren!Hat bei mir bisher immer geholfen.

Erstmal: Wird die Seite, die du nicht kennst, geöffnet, wenn du deinen Browser öffnest, oder während du surfst? Im ersten Fall ließe sich zumindest das mit HijackThis (http://www.chip.de/downloads/c1_downloads_13011934.html) beheben; du erstellst eine Logdatei und löschst dann den Eintrag, in dem die Adresse steht.
Wegen den Trojanern: Botte im abgesicherten Modus mit Netzwerktreibern (beim Starten F8 drücken) und lass einen Online-Virenscanner (http://www.bitdefender.com/scan8/ie.html) drüberlaufen und am besten noch Spybot (http://www.safer-networking.org/de/download/index.html). Wenn du deinen PC danach normal startest, sollten die Probleme weg sein; falls nicht, poste am besten die HijackThis-Logdatei. Daraus kann ich oder jemand anders schließen, welche Prozesse (von Malware) auf deinem PC laufen.

EDIT: @Bible Black: Die Systemwiederherstellung zu deaktivieren ist zwar auch eine gute Idee, hilft aber auch nicht immer wenn die Viren "normal" noch laufen/installiert sind und nicht auf der Signaturliste von Antivir stehen. Und was Adaware angeht: Das erkennt LÄNGST nicht alles. :p

Also erstmal danke für die Tipps.

1. Ja, ich habe Ad-Aware, aber das Ding hat nichts gefund, ich lasse es einfach nochmal laufen.

2. Komischerweise öffnen sich die Seiten auch wenn der Browser nicht an ist, ansonsten immer beim surfen.


Edit: Ist es normal das wenn mein pop up blocker aktiviert ist, unten in der Browser leiste nicht angezeigt wird?

mfg DarkDali

EDIT: @Bible Black:Und was Adaware angeht: Das erkennt LÄNGST nicht alles. :p
Joa hast recht war nur zur Schnellhilfe. :A
Spybot S&D is natürlich auch ne gute Idee sowie Onlinescanner.HiJackThis is nicht wirklich mein Ding.Hab gehört man kann sich damit ordentlich was im System zerschießen.

HiJackThis is nicht wirklich mein Ding.Hab gehört man kann sich damit ordentlich was im System zerschießen.

Wer sich zu dumm anstellt, dann ja.
HiJackThis bietet ne Backup Funktion an, die alles wieder auf den Ursprung setzt.
Aber bei HiJackThis muss man die Einträge lesen aber das haben wohl schon viele verlernt und drücken Wahllos auf die Buttons, bevorzugt wird auf den "ja" oder "OK" Button gedrückt, ohne zu wissen, was überhaupt los sei ...

Erstell doch mal mit http://www.hijackthis.de/
nen Logfile über die laufenden Prozesse und poste den mal bitte. Ich denk mal nicht das diese Adware so schlau ist und nen RootKit benutzt.
Ansonsten öffne mal die "msconfig.exe" und schau unter "Systemstart" nach ob du dort irgendetwas merkwürdiges erkennst...
Schau einfach mal nach dem Pfad der Anwendung...
Und falls du dir nicht sicher bist was davon Adware sein könnte und was nicht, mach einfach einen Screenshot und poste ihn hier.
Wenn du dir sicher bist welche Anwendung die Adware ist, stell die Systemwiederherstellung aus, geh in den Abgesicherten Modus (beim booten F8 drücken) und lösch das Ding. Wenn du im Systemstart etwas von der Adware findest schau noch in der Registry nach (per regedit.exe) und lösche die Einträge der Adware.

PS: Eventuell könnte es auch sein das du Teil eines BotNetze's bist. (http://de.wikipedia.org/wiki/Botnetz)
Über solche BotNetze könnte andere Schadsoftware wie halt Adware eingeschleust werden. Ich weiss nicht auf was für Seiten du dich rumtreibst und was du für .exe Dateien anklickst, ist mir aber auch eigentlich egal, aber man sollte immer drauf achten das man unseriöse Seiten und Anwendungen meidet, da diese, auch wenn es auf den ersten Blick nicht so scheint (.exe wird zB nicht vom Virenscanner gefunden...) oft Schadsoftware enthalten können.
Schau einfach mal hier Link (http://botnetz.com/forum/index.php?topic=6.msg11) um zu eventuell zu erkennen ob du Teil eines BotNetzes bist.
Desweiteren legt bekannte BotNetz Schadsoftware einige Einträge in der Registry an.
z.B:


char regkey1[]="Software\\Microsoft\\Windows\\CurrentVersion\\Run";
char regkey2[]="Software\\Microsoft\\Windows\\CurrentVersion\\RunServices";
char regkey3[]="Software\\Microsoft\\OLE";
char regkey4[]="SYSTEM\\CurrentControlSet\\Control\\Lsa";

Diese sind halt auch im Systemstart auffindbar, aber auch als Service in der Registry.
Schau einfach mal nach ;)

mfg, duke

Danke für den Tipp Duke, ich hab es probiert.

Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:57:56, on 02.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DTgrafic\BusNotes\b2notes.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Utile\Reminder\remind.exe
C:\Programme\DCPFLICS\DCPFLICS.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
D:\Utile\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\zmodeler2\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro-dart.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DATA BECKER Reminder] D:\DATA BECKER\Die große Geburtstags-Druckerei\Vergiss mich nicht\BDR.EXE Check
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\emevmfxc.dll",realset
O4 - HKLM\..\Run: [j2231933] rundll32 C:\WINDOWS\system32\j2231933.dll sook
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BusNotes] C:\Programme\DTgrafic\BusNotes\b2notes.exe
O4 - Startup: Reminder.lnk = D:\Utile\Reminder\remind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Utile\AIM95\aim.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\pokerparty\Pokerparty\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\pokerparty\Pokerparty\PartyPoker.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Utile\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Utile\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093026384773
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: DCPFLICS - Unknown owner - C:\Programme\DCPFLICS\DCPFLICS.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Utile\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: V2i Protector - PowerQuest Corporation - D:\Utile\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Ich hoffe du erkennst das Problem.

mfg DarkDali

Hmmm....
Also ich hab soweit nicht viel erkennen können. Google bzw. http://file.net sagte bei fast allen .exe das sie ungefährlich sind und halt zu normalen Programmen gehören.

Was mir aufgefallen ist ist die C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
Dort meinte file.net das diese zu 35% schädlich ist und von element5.com stammen soll. Naja, auf der Seite hab ich nichts weiter wirklich entdecken können. Aber versuch mal das Ding eventuell zu löschen.

Die Log Auswertung auf der Seite spuckt ausserdem auch noch dieses hier aus:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...1.0.0. 15.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
Should be fixed. This entry is possibly nasty. Bei beiden Einträgen

O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
Should be fixed. This entry is possibly nasty.
Analyzerdetails Unknown

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanne...rInstallDE.cab
Check if you know this site and fix it if you do not. Unknown ActiveX-Objects, or ActiveX-Objects from unknown sites should always be fixed. If the name of the ActiveX-Object or the URL contains the words 'dialer', 'casino', 'free plugin' etc, it should be fixed!

Such mal nach den Einträgen (also http://de.errorsafe.com/pages/scanne...rInstallDE.cab usw.) inner Registry und lösch sie.

Desweiteren kenne ich diese DLLs nicht wirklich:
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\emevmfxc.dll",reals et
O4 - HKLM\..\Run: [j2231933] rundll32 C:\WINDOWS\system32\j2231933.dll sook

Und bei D:\Utile\Reminder\remind.exe meinte file.net das diese .exe zur T-Online Software gehören soll...

Naja, versuch das erstmal und wenns nachm Neustart wieder kommt dann hmm. Du meintest zum Windows Start kommen Trojaner Meldungen? Welche .exe Dateien sind da infiziert und was fürn Trojaner ist das?

mfg, duke

Desweiteren kenne ich diese DLLs nicht wirklich:
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\emevmfxc.dll",reals et
O4 - HKLM\..\Run: [j2231933] rundll32 C:\WINDOWS\system32\j2231933.dll sook

Zu den Dateinamen findet Google nichts -> sie könnten zufallsgeneriert sein, was meines Wissens nach nur Malware praktiziert.
Eine Google-Suche nach "reals et" hijackthis ergab einige HijackThis-Treffer mit anderen (genauso zufällig aussehenden) DLLs. Ich rate dazu, das Ding zu killen und falls es später Probleme gibt, den Eintrag wiederherzustellen
Ein google nach sook hijackthis ergab das gleiche Bild für die andere DLL, nur eben mit anderen Zahlen. Siehe oben.

Erstmal danke für eure Hilfe. Ich habe gestern die schädlichen Dateien gefixt und habe gerade eben die Registry Einträge von Errorsafe gelöscht.


Naja, versuch das erstmal und wenns nachm Neustart wieder kommt dann hmm. Du meintest zum Windows Start kommen Trojaner Meldungen? Welche .exe Dateien sind da infiziert und was fürn Trojaner ist das?

Die Trojaner sind irgendwelche komischen dll Dateien die sich in C: Dokume~\Lokale~1... befinden, wenn ich diesen Ort suchen dann lande ich bei C: Dokumente und Einstellungen\User\Lokale...

Wird das Pop up Blocker Zeichen eigentlicht nicht unten in der Leiste angezeigt? Bei mir steht das Ding komischer weise seit diesen Viren nicht mehr unten obwohl er aktiviert ist.

Ad-Aware hat auch nicht gerade viel gefund außer vier Dataminer Warnungen.

Wenn ich Anti-Vir in C suchen lassen dann findet er komischerweise nichts.

Duke:
Edit:
char regkey1[]="Software\\Microsoft\\Windows\\CurrentVersion\\Run";
char regkey2[]="Software\\Microsoft\\Windows\\CurrentVersion\\RunServices";
char regkey3[]="Software\\Microsoft\\OLE";
char regkey4[]="SYSTEM\\CurrentControlSet\\Control\\Lsa";

Ich habe diese Einträge in der Registry gefunden. Was soll ich jetzt mit diesen Einträgen machen?

Hier noch ein Bild zu den Einträgen im Systemstart:
http://img522.imageshack.us/img522/9404/rundll32exedh0.jpg (http://imageshack.us)

Auf dem Bild sieht man auch die oben erwähnten unbekannten Dateien.


mfg DarkDali

Such mal in beschriebenen Registry Orten nach den DLL Datei Einträgen und lösch sie. Dann sollten die DLLs auch nicht mehr mit starten, eventuell sind die DLLs die Adware.