Viren, Spyware, Datenschutz 11.244 Themen, 94.697 Beiträge

Verfolgung starten Optionen

Trojaner Beloru

cornobeaf / 5 Antworten / Flachansicht Nickles

Hi ! Anti Vir erkennt bei jedem Neustart den Trojaner Beloru (anscheinend
Belarussia oder win32.ladder ?) Wie kann ich ihn entfernen ?


Habe Hijackthis drüberlaufen lassen. Siehe nachstehendes LogFile.


Logfile of HijackThis v1.97.7
Scan saved at 00:06:21, on 15.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\SuperBar\sbhc.exe
C:\PROGRA~1\KAZAAS~1\msbb.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hubert\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.download.windowsupdate.com/msdownload/update/v3/static/RTF/de/4945.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Programme\SuperBar\SuperBar.Dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SuperBar - {3D418288-924A-4F21-9E2C-D39989111A1F} - C:\Programme\SuperBar\SuperBar.Dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SBHC] C:\Programme\SuperBar\sbhc.exe
O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\KAZAAS~1\msbb.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://download.online-dialer.com/MaConnect.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.6033912037
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5539F513-C79F-47AF-9974-919F6051CBE1}: NameServer = 172.27.2.10 172.27.1.1


 

bei Antwort benachrichtigen
-IRON- cornobeaf „Trojaner Beloru“
Optionen

C:\Programme\SuperBar\sbhc.exe
C:\PROGRA~1\KAZAAS~1\msbb.exe

Fragwürdig

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - h**p://download.online-dialer.com/MaConnect.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - h**p://freeload.cc/secure/ieloader.cab

Extrem fragwürdig

Du kannst vorübergehend mit Ad-Aware, Spybot S&D und CWSHredder aufräumen, wenn dir HijackThis nicht reicht, aber dauerhaft ist das keine Hilfe. Der IE lässt sich nun mal gerne manipulieren. Ein Browserwechsel wäre angebracht.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Habe es jetzt geschafft ! Das aktuelle Log File sieht schon sehr schön aus: ... cornobeaf
Hallo Iron ! Danke für den guten Tip. Habe den Shredder drüberlaufen ... cornobeaf
Logfile of HijackThis v1.97.7 Scan saved at 12:43:08, on 19.01.2004 ... DjJunghaie
Logfile of HijackThis v1.97.7 Scan saved at 12:43:08, on 19.01.2004 ... DjJunghaie