Trojanisches Pferd Heuristic/Trojan.PwdStealer zu Hilfe !!!

Knorkel81 · Beitrag von **Knorkel81** » 02.02.06 - 12:55

Hallo,

laut Antivir habe ich den Heuristic/Trojan.PwdStealer nur er geht nicht weg. Ich habe das Gefühl, dass er sogar meine Software infiziert.

Selbst einen vollständigen Virenscan "überlebt" mein Pc nicht, er hängt sich auf oder geht gleich aus.

Bild

http://kauapfel.de/images/trojaner.JPG
(Falls der Link nicht geht)

Ich war bei einem Forum und da kam immer was mit türkisch wenn ich das weggedrückt habe, kam ich auf irgendwelche .org Seiten?!?! Seitdem hab ich das Problem.

Was kann ich tun? Escan findet nix, Antivir stürzt ab.

Wenn ich eine IExplorer Seite öffne kommt unten beim Zeichen Internet ein rotes K in einem weißen Kästchen, das blinkt, das ist so schnell das schaffe ich nicht mal zu knipssen.

Ich weiß nimmer weiter, was kann ich tun?

Hilft eine Formatierung? Aber dann muss ich ja alle Platten platt machen, richtig? Ein gutes Virenprogramm oder sowas? Ich weiß es echt nicht und hoffe auf eure Hilfe.

Knorkel81 · Beitrag von **Knorkel81** » 02.02.06 - 12:57

hier noch meine hijackthis.log

das ist meine hijackthis.log

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\eScanWin.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Schocktherapy\Desktop\hijackthis\Hij ackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1138813723937
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Schocktherapy
O17 - HKLM\Software\..\Telephony: DomainName = Schocktherapy
O17 - HKLM\System\CCS\Services\Tcpip\..\{D733E605-72EE-483E-9D1D-7FF06A14E30A}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Schocktherapy
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Schocktherapy
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Schocktherapy
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = Schocktherapy
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Schlorke · Beitrag von **Schlorke** » 02.02.06 - 13:14

Blöde Frage: Schon mal versucht die betroffene Datei "A0037247.exe"manuel zu löschen?

Flekk · Beitrag von **Flekk** » 02.02.06 - 13:16

Schlorke hat geschrieben:Blöde Frage: Schon mal versucht die betroffene Datei "A0037247.exe"manuel zu löschen?

im abgesicherten modus und mit der option "automatische systemwiederherstellung" auf aus

pupswindel · Beitrag von **pupswindel** » 11.02.06 - 13:15

ein sehr hartnäckiger virus, am besten von einer sauberen pe-builder cd starten mit aktuellen virenscanner ! bei symantec gibt es eine anleitung wie man diesen virus vernichtet

20u · Beitrag von **20u** » 11.02.06 - 13:58

Schlorke hat geschrieben:Blöde Frage: Schon mal versucht die betroffene Datei "A0037247.exe"manuel zu löschen?

kannste nicht manuell löschen weil er in der bootpartition liegt.
aber ich empfehle auch mal nen anderen virenscanner! antivir is der letzte müll!
empfehlen würd ich: NOD32, Kaspersky, Fsecure...

ansonsten mal bei virenherstellern auf deren seite nach dem virus suchen und ein evtl entfernungstool runterladen!

achja und wenn du schon diese dumme windowsfirewall drauf hast warum ist die dann nicht aktiv? einen kleinen schutz bietet die schon - wenn auch nicht den besten