Hey Leute!

Ich hab auf meinem PC n Programm, das heißt ATP und ich kann das in der Systemsteuerung ---> Software nicht entfernen. Und alle ca. 20s kommt von AntiVir ne Meldung, dass ich nen Trojaner auf dem Rechner hab (die Datei heißt ATPartners.dll, hängt also mit dem Programm zusammen). Wie gesagt, ich kann das Programm net löschen und ich schätze mal, das Programm haut mir immer wieder nen Trojaner drauf, den ich aber per AntiVir immer sofort wieder lösche. Was kann ich da machen?

Danke :)

die dll falls erforderlich im abgesicherten modus löschen und alle tools alá ad-aware und irgendwas mit shredder (namen vergessen) drüberlaufen lassen..?

Original geschrieben von [Bi]n ein Hoeness
die dll falls erforderlich im abgesicherten modus löschen und alle tools alá ad-aware und irgendwas mit shredder (namen vergessen) drüberlaufen lassen..?


Das Programm, das du meinst, heißt cwshredder, oder?

mmm...

Ich denke, das es noch ein 2. Programm gibt, was dieses ATP- Teil wieder aufruft, nur ist die Frage, wie heisst es? Wenn du mit Hijackthis ein Log- File erstellst und postes, können wir mal schauen, was für komische Programme du am laufen hast ... die 3 Programme, um Spyware zu entfernen, sind Ad-Aware, Spybot und CWShredder, Link zu allen Proggies in meiner Sig, wobei jedes Programm auch noch ein Onlineupdate braucht (Spybot 1.2 sollte ich langsam von der Seite runternehmen) ...

CWShredder findet nix, aber das Problem ist ja das Programm ATP, das geht nicht weg. Im Taskmanagaer sehe ich auch keine Anwendung am Laufen. Sehr seltsam ist das...

So, hier:

Logfile of HijackThis v1.97.7
Scan saved at 22:47:05, on 22.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\sysupd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netropa\Touch Manager\MEDIACTR.EXE
C:\WINDOWS\System32\wnsapisv.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Brigitta\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Pro\popuppro.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eecm] C:\Dokumente und Einstellungen\Brigitta\Anwendungsdaten\acec.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1896dd078ccf4639e706/netzip/RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE67666E-97BA-476F-A37A-A0C9A1B6A751}: NameServer = 194.25.2.129

Hab das Ding auch aufm Rechner gehabt. Norton hat bei mir aber angezeigt das es Adware und kein Trojaner ist. Norton konnte das Teil bei mir auch nicht löschen und musste es manuell machen.

Kannst mal im Taskmanager abschiessen:
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\sysupd.exe <--- Problemfall (http://www.winpatrol.com/db/freesample/sysupd.html), mail mir :)
C:\WINDOWS\System32\wnsapisv.exe <-- komisches Teil (http://www.answersthatwork.com/Tasklist_pages/tasklist_w.htm), scheint ein Dropper zu sein

Diese Einträge kannst du bei HijackThis sehr wahrscheinlich entfernen, HiJackThis legt immer ein Backup an, das sind Dateien ohne Datei-Endung im gleichen Verzeichnis, wo HiJackthis gestartet wurde:
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL <--- selber installiert?
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing) <-- hast du wohl gelöscht, endlich
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) <-- den Eintrag kannst du auch löschen, war mal Spyware
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL <-- Auch ein Hijacker, sicher das du den haben willst ?
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL <--- der Aufruf
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) <--- toter Eintrag, löschen
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe <--- Der Aufruf zum Starten des Dialers
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART <--- kommt von Kazaa, brauch es aber angeblich nicht
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe <--- AHa, brauchst also Spyware um Schmuddelseiten zu finden, jedem das seine ...
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe <--- du stehst auf Spyware, oder? wird von einem anderen Programm (http://www.winpatrol.com/db/freesample/wupdater.html) installiert
O4 - HKCU\..\Run: [Eecm] C:\Dokumente und Einstellungen\Brigitta\Anwendungsdaten\acec.exe <--- Ich hoffe, du weisst, was es ist, Google findet nix dazu :(, mail mir :)
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe <-- Gehört zu diesem komischen Teil weiter oben
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab <--- da hast du dir irgendwas installiert, was du nicht wolltest
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab <--- Ah, den kenn ich schon :(
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - <-- steht nix, kannst wohl löschen

Hiermit kann ich auch nix anfangen, denke aber, sie sind sauber (sprich, die hast du selber installiert):
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Pro\popuppro.dll

Mail an: lokadamus@gmx.de Betreff: 3dc- Viren

Ist sicher ein Trojaner.Hab letzte Woche bei meinen Schwiegereltern AntiVir XP installiert,welches 2 Trojaner gefunden hat,auch bei Ihnen war die Datei ATPartners.dll infiziert.Das Programm hat die Datei gelöscht und ich hab danach keine Probleme im laufenden Betrieb (Win98SE) bemerkt, ausser das das Kartenspiel Freecell nicht mehr lief.

O4 - HKCU\..\Run: [Eecm] C:\Dokumente und Einstellungen\Brigitta\Anwendungsdaten\acec.exe <--- Ich hoffe, du weisst, was es ist, Google findet nix dazu , mail mir


Schau mal unter Yahoo nach der findet so einiges....

mmm...

Nee, Yahoo findet zu "acec.exe" ebenfalls nichts, nur zu acec exe und danach such ich nicht ...

rm-zocker
Must freecell mal neu installieren, frag mich aber nicht, wo man Freecell für Win 98 herbekommt, gehörte es da schon zu den Standardspielen?

Dein System sieht aus Richtung Updates reichlich jungfräulich aus und dazu scheint es noch ziemlich verseucht zu sein .

Bitte unbedingt mal Install + Update + Durchlauf der folgenden Programme (Links siehe Sig):
Ad-Aware6
Spybot-Search and Destroy
CWShredder

Die Installation von SP1 und allen nötigen Updates würde ich erst nach Reinigung des Systems durchführen .
Wenn der Blasterpatch/RPC-Update nciht drauf sind kannst Du Dir ein paar nette Viren einfangen und dazu brauchst Du nur kurz im Netz zu sein

BTW : HJT-Log immer bei inaktivem IE !!