Ergebnis 1 bis 9 von 9

Thema: Dringend Hilfe!!

  1. #1
    Malte
    Gast

    Dringend Hilfe!!

    Ich brauche hilfe ich habe einen Trojaner Namens popcaploader_v5[1].cab
    Den hat mein Virenscanner Antvir gefunden.
    Er nennt den aber TR/HijackPopCabLoa
    Kann mir einer helfen ich weiß net wie er wegeht ich kann in net
    löschen mein antivir meldet mir nur:
    Datei: popcaploader_v5[1].cab
    Dieses Archiv enthält eine oder mehrereinfizierte Dateien!
    Infiezierte Dateien in Archiven werden nicht repariert oder gelöscht!

    Möchten Sie diese Meldung weiterhin für jedes Archiv mit infizierten Dateien erhalten?

    Ja Nein

    Also ich weiß net ob er euch hilf ich habe XP

    Wie bekomme ich den Weg??
    Was macht der Trojaner???

    MFG Malte

    Ps:Sorry ich kenn mich net so gut aus bin er 15 Jahre alt bidde
    redet in einer normalene Sprache damit ich das auch verstehn kann ^^
    Hoffe um eine schnelle antwort!!

  2. #2
    Ehrenmitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.583

    AW: Dringend Hilfe!!

    hallo gast !

    normal sollst du in deinem alter um diese zeit im bett sein.

    du hast dich hier im HijackThis-Unterforum Logfiles gemeldet, bitte poste ein HJT-Logfile
    ---------------------------------------
    Logfile bitte zwischen [code] und [/code)->klammer soll eckig sein posten, oder
    alternativ das eingefügte logfile markieren und drücken


    ---------------------------------------
    C:\-------\temp\Hijackthis.exe
    HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup
    lg
    http://members.linzag.net/680262/ff.jpgwww.Speedyweb.at.tfhttp://members.linzag.net/680262/tb.jpg
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche Windows forum und keinesfalls über privatnachrichten oder email !!

  3. #3
    Einsteiger
    Registriert seit
    10.07.2005
    Beiträge
    4

    AW: Dringend Hilfe!!

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 02:04:12, on 10.07.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Temp\Computer Software\TunUp\WinStylerThemeSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\SCardSvr.exe
    C:\Temp\Computer Software\AntiVire\AVGUARD.EXE
    C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
    C:\Temp\Computer Software\AntiVire\AVWUPSRV.EXE
    D:\Treiber\Bluetooth\BTNtService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\Dit.exe
    C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Temp\Computer Software\AntiVire\AVGNT.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Temp\Computer Software\TunUp\MemOptimizer.exe
    C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
    C:\Dokumente und Einstellungen\Malte\Eigene Dateien\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\icq 5\icq\ICQToolbar\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Temp\COMPUT~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\icq 5\icq\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Temp\Computer Software\AntiVire\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Temp\Computer Software\TunUp\MemOptimizer.exe" autostart
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\icq 5\icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq 5\icq\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq 5\icq\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
    O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1d...dxIE601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097566082250
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Temp\Computer Software\AntiVire\AVGUARD.EXE
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Temp\Computer Software\AntiVire\AVWUPSRV.EXE
    O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Treiber\Bluetooth\BTNtService.exe
    O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Temp\Computer Software\TunUp\WinStylerThemeSvc.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    So das ist er glaubig ^^
    ICh habe ein schrecken bekommen das ich den net
    löschen konnte deswegen kann ich net schlafen^^
    Geändert von Malte (10.07.2005 um 01:15 Uhr)

  4. #4
    Einsteiger
    Registriert seit
    10.07.2005
    Beiträge
    4

    AW: Dringend Hilfe!!

    Wie lange dauert so eine Analyse ich finde
    es ist doch schon spät ich muss morgen
    um 7:00 aufstehen!! ^^
    Also lohnt es sich noch wach zu bleiben oder
    kann ich schlafen gehn??

  5. #5
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Dringend Hilfe!!

    Hallo Malte

    ich seh nichts Besonderes auf deinem System.
    Mach den Rechner aus, geh schlafen und scanne deinen Rechner morgen (heute) mit Ewido. Am Sonntag mittag gegen 12 Uhr, vorher geht das nicht. Ewido hat solange geschlossen.

    Deaktiviere die Systemwiederherstellung

    Lade eine Trial-Version von Ewido runter.
    Update das Programm online.

    Trenne die Internetverbindung.

    Geh in den abgsicherten Modus von Windows

    Scanne deinen gesamten Rechner mit allen Festplatten mit Ewido.
    Lass das Programm alles entfernen, was es findet.
    Speichere das Logfile.

    Boote in den normalen Modus.

    Poste das Logfile von Ewido.

  6. #6
    Einsteiger
    Registriert seit
    10.07.2005
    Beiträge
    4

    AW: Dringend Hilfe!!

    ---------------------------------------------------------
    ewido security suite - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 12:15:50, 10.07.2005
    + Report-Checksumme: F2373160

    + Scanergebnis:

    C:\Spiele\ACT of WARE\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\crack\rld-aow.rar/ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\Original\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Dokumente und Einstellungen\Jakob\Cookies\jakob@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Jakob\Cookies\jakob@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Jakob\Cookies\jakob@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Jakob\Cookies\jakob@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Jakob\Cookies\jakob@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Jakob\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9Z73X94E\popcaploader_v5[1].cab/PopCapLoader.dll -> Not-A-Virus.RiskWare.Downloader.PopCap.a : Gesäubert mit Backup


    ::Report Ende



    Ich hoffe ich habe alles richtig gemacht,
    Was nun bin ich fertig oder was passiert jetzt??

    MFG Malte

  7. #7
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Dringend Hilfe!!

    Hallo Malte

    du bist leider nicht fertig:

    C:\Spiele\ACT of WARE\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\crack\rld-aow.rar/ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert
    C:\Spiele\cracks\Original\ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Ignoriert

    (das kommt davon.... )

    Lade bitte diese Datei hoch:

    C:\Spiele\ACT of WARE\ACTOFWAR.EXE

    -> Upload malicious software

    Melde dich und lass uns wissen, ob der Upload funktioniert hat.

    Ewido hat zwar 4 Backdoor-Programme gefunden, sie aber nicht gelöscht.
    Wir versuchen es erst mit dem mwavscan, wenn das auch nicht funzt, musst du dein System formatieren und neu aufsetzen.

    Führe einen mwavscan durch

    Bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss muss die Systemwiederherstellung deaktiviert, also ausgestellt sein.

    Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

    Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

    1) Lege einen Ordner c:\bases an (Einführung in Windows)
    2) Download der -> mwav.exe <- diesen Link verwenden!
    3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
    4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
    5) Wechsle in den abgesicherten Modus von Windows
    6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
    7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:


    8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
    9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein


    -> jede Zeile in der "tagged as" bzw. "infected" steht, markieren,
    und hier einfügen, weitersuchen usw.


    (Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

    Ganz unten steht die Zusammenfassung, diese auch hier posten :

    =>Total Number of Files Scanned:
    =>Total Number of Virus(es) Found:
    =>Total Number of Disinfected Files:
    =>Total Number of Files Renamed:
    =>Total Number of Deleted Files:
    =>Total Number of Errors:
    ***** Scanning complete. *****

    Poste das Ergebnis des Scan und ein neues HJT-Logfile.

  8. #8
    Einsteiger
    Registriert seit
    10.07.2005
    Beiträge
    4

    AW: Dringend Hilfe!!

    huhu Ruby ^^
    Das mit Act of War ist ein Spiel das ich net gerne entfernen möchte!^^
    was macht der den???
    Kann man den den net einfach drauflassen??
    Mein Ewido könnte den löschen aber ich habe auf nein gedrückt
    weil ich net wusste ob der dann das spiel löscht oder nicht!
    Sorry wegen den umständen!

    MFG Malte

  9. #9
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Dringend Hilfe!!

    @ Malte

    wenn du wissen willst, was er macht, musst du ihn hochladen.

    Backdoors erlauben meistens, dass andere Zugriff auf einen Rechner haben und mit diesem System machen können, was sie wollen, beispielsweise Microsoft anfallen u.a.m. Das kann dann ein bisschen teuer werden.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Antworten: 2
    Letzter Beitrag: 16.06.2005, 14:34
  2. Dringend eure Hilfe
    Von thomas1808 im Forum Archiv
    Antworten: 4
    Letzter Beitrag: 26.05.2005, 18:08
  3. Brauch dringend eure Hilfe
    Von Thal im Forum Archiv
    Antworten: 3
    Letzter Beitrag: 24.03.2005, 19:56
  4. Dringend Hilfe!
    Von Dunja im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 11.03.2005, 12:22
  5. Brauche dringend Eure Hilfe!
    Von pamela im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 31.01.2005, 15:24

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •