Entfernen des PWSteal.Trojan

#0
26.05.2004, 10:56
...neu hier

Beiträge: 6
#1 Hi! Habe den PWSteal.Trojan / dtc32.dll schon ein paar Tage auf meinem Pc. Er lässt sich einfach nicht löschen. Habe den Wiederherstellungszeitpunkt von XP deaktiviert und im Abgesicherten Modus mit NAV versucht ihn zu löschen - ohne Erfolg. Wie ich gelesen habe, haben mehre damit Probleme. Vielleicht gibt es jemanden, der das Problem schon gelöst hat und mir helfen könnte. Wäre sehr dankbar!
Seitenanfang Seitenende
26.05.2004, 11:40
Member

Beiträge: 1095
#2 @Bär
Einfach mal das durchführen und dann Logfile posten
http://www.rokop-security.de/main/article.php?sid=703

Lösche auch mal deine Temporären Internetfiles
und den Papierkorb

Links mit selben Problem
http://www.mcse.ms/message632988.html
http://board.protecus.de/t10102.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 26.05.2004 um 11:41 Uhr von paff editiert.
Seitenanfang Seitenende
26.05.2004, 16:17
...neu hier

Themenstarter

Beiträge: 6
#3 @ paff
Hi,habe die verschiedenen scans durchgeführt wie bei rokop-security beschrieben,Trojaner immer noch da.Papierkorb sowie Temporären Internetfiles hab ich auch gelöscht.Wie kann ich weiter verfahren?
Für weitere Tipps währe ich dankbar.
Gruß Bär
Seitenanfang Seitenende
26.05.2004, 16:31
Member

Beiträge: 1095
#4 @bär

poste einfach mal das HiJackThis Logfile

oder
geh in den Abgesicherten Modus von Windows und probiere da den trojaner zu löschen
http://www.bsi.de/av/texte/winsave.htm

Außerdem
In welcher Datei ist er?
wo liegt die Datei?

Gruß paff
P.S.
Hier ein Link mit tropjanerbeschreibung
http://www.symantec.com/avcenter/venc/data/pwsteal.trojan.html
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 26.05.2004 um 16:32 Uhr von paff editiert.
Seitenanfang Seitenende
27.05.2004, 14:29
...neu hier

Themenstarter

Beiträge: 6
#5 @ paff
Danke für die Info!
Ich habe versucht den Trojaner im Agesicherten Modus mit NAV zu löschen - wieder ohne Erfolg. NAV zeigte die komprimierte Datei dtc32.dll innerhalb von C:\Dokumente und Einstellungen\Birgit\lokale Einstellungen\Temporary Internet Files\Content.IE5\E7YBYHU3\dtc32_EN_XP[1].cab ist mit dem Virus PWSteal.Trojan infiziert.
Hier der HijackThis logfile

Logfile of HijackThis v1.97.7
Scan saved at 15:06:33, on 27.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\T-ONLINE\BSW4\ISDNSP~1\Tomcat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Ronny\Eigene Dateien\Virenscanner\HijackThis.exe
C:\WINDOWS\system32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bild.t-online.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.bild.t-online.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://install.ibs-clearing.ch/ibsload.ocx
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/guiseppe.mail.com/anne/webinstall.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Gruß Bär
Dieser Beitrag wurde am 27.05.2004 um 15:38 Uhr von Bär editiert.
Seitenanfang Seitenende
27.05.2004, 17:18
Member

Beiträge: 1095
#6 @BÄR

Einfach die temporären Internetfiles löschen.
Systemsteuerung/Internetoptionen/Dateien löschen.

Notfalls dies für alle Benutzer des Rechners machen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.05.2004, 18:50
...neu hier

Themenstarter

Beiträge: 6
#7 @paff

Es hat funktioniert Spitze !!!!
Ich hatte die anderen Benutzer nicht bedacht.

Vielen Vielen Dank

Gruß Bär
Seitenanfang Seitenende
27.05.2004, 19:26
Member

Beiträge: 1095
#8 @BÄR
Man lernt immer wieder dazu.
Ich hatte selber nie daran gedacht, das die temp Internetfiles für jeden Benutzer getrennt angelegt werden ;)

Jetzt sind wir beide schlauer :yo

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: