Trojan.Clicker.Delf.R und Backdoor.SDBot.IE |
||
---|---|---|
#0
| ||
01.07.2004, 09:25
...neu hier
Beiträge: 1 |
||
|
||
01.07.2004, 10:55
Ehrenmitglied
Beiträge: 6028 |
#2
Versuch es mit eScan eine 30 Tage trail
http://www.mwti.net/antivirus/free_utilities.asp __________ MfG Argus |
|
|
||
03.07.2004, 16:22
Ehrenmitglied
Beiträge: 29434 |
#3
http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2004, 23:45
Member
Beiträge: 20 |
#4
hallo,
mein bitdefender zeigt mir, daß ich den Trojan.Clicker.Delf.R am Computer habe. ich kopiere das log file. kann mir jemand dabei helfen? Vielen Dank stawu Logfile of HijackThis v1.98.2 Scan saved at 23:46:59, on 19.08.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\lexbces.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\LEXPPS.EXE C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINNT\System32\pctspk.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Norton Personal Firewall\SymProxySvc.exe C:\WINNT\Explorer.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINNT\System32\LXSUPMON.EXE C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\WINNT\System32\internat.exe C:\Programme\Common\Bin\WinCinemaMgr.exe C:\Programme\Norton Personal Firewall\ATRACK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB |
|
|
||
20.08.2004, 00:33
Ehrenmitglied
Beiträge: 29434 |
#5
@stawu
fixe mit dem HijackThis und dann neustarten R3 - Default URLSearchHook is missing #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ................................................................................................... ##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!) http://www.bsi.de/av/texte/winsave.htm (F8 druecken, wenn der Computer hochfaehrt -----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. .................................................................................................... normal neustarten dann loesche die TemporaryInternetfiles unter <InternetOptionen< berichte, was der <eScan< gefunden hat. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 00:34 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 10:32
Member
Beiträge: 20 |
#6
hallo sabina,
vielen dank für deine hilfe. hab alles so gemacht, nur kavupd.exe nicht gefunden, dafür gestern erst das mwav runtergeladen (dürte dann upgedated sein?) das e scan hat einiges deleted, vieles in davon in der NAV Quaratäne. Denkst du daß ich jetzt clean bin? nochmals danke für die hilfe liebe grüße stawu File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Installer2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mxTarget.cab infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mxTarget.dll infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI36C9.tmp\mxTarget.cab infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI36C9.tmp\mxTarget.dll infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\012D68B6.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\271835FF.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\28461A26.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2F27588A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2F4A2663.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2F614C49.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2F787230.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2F8F1817.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\2FA63DFE.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\33C41D20.tmp infected by "I-Worm.Bagle.ah" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\42343027.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\435A72E3.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\43A8628D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\44730DAE.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\449A0583.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\44CB7B4D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\44E22134.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\44F76440.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\451B3218.tmp infected by "I-Worm.Bagle.ah" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\454062CC.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\45715896.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\45887E7D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\45CA4635.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\45F13E0A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\462807CD.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\464C55A5.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\47933C3E.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\47B3601A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\47CE2FFD.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\4BF23C48.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\5A857009.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\6C2811F9.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\6C7357A6.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\6C875391.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. |
|
|
||
20.08.2004, 11:30
Ehrenmitglied
Beiträge: 29434 |
#7
@stawu
Scanne noch mal mit deinem Virenscanner im abgesicherten Modus und berichte dann, ob die Warnung vom <Trojan.Clicker.Delf.R < weg ist. Aendere uebrigens alle Passworte (falls du ebay benutzt oder Bankgeschaefte erledigst o.a.) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 11:33 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 18:25
Member
Beiträge: 20 |
#8
@sabina
mein bitdefender hat im abgesicherten modus nicht funktioniert, im normalen hat er den Trojan.Clicker.Delf.R in C:\UnstSA2.exe gefunden, disinfection und move failed. sonst ist alles clean. soll ich diesen file löschen? lg stawu |
|
|
||
20.08.2004, 23:44
Ehrenmitglied
Beiträge: 29434 |
#9
@stawu
<C:\UnstSA2.exe< kannst du unbedenklich loeschen, denn es gehoert auch zum<Adware.BlazeFind< # %System%\2_0_1browserhelper2.dll # %System%\UnstSA2.exe # %System%\key2.txt Geh mal in die Registry und loesche, falls es da istauf der rechten Seite der Registry) HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 23:46 Uhr von Sabina editiert.
|
|
|
||
21.08.2004, 03:25
Member
Beiträge: 20 |
#10
hallo,
habe diese beiden einträge gelöscht: UnstSA2.exe key2.txt die restlichen von dir angegebenen files in der registry waren nicht vorhanden, lg stawu |
|
|
||
habe gerade mein Windows 2000 neu aufgespielt und nachdem ich ins Internet bin, hab ich alle Microsoft-Updates gezogen und installiert. Leider habe ich in der Zeit trotzdem jede Menge Viren auf mein System bekommen. Einige habe ich löschen können, momentan hänge ich aber an "Trojan.Clicker.Delf.R" und "Backdoor.SDBot.IE". Kann mir jemand sagen, wie ich die runterbekomme? Mein Virenprogramm ist übrigens Bitdefender.
Vielen Dank,
Gruß
Komet