TR.Dldr.PurityS.E.2 hat sich bei mir eingenistet...

#1 und ich weiß wirklich nicht, was ich machen soll. Es haben sich ja schon einige Schädlinge bei mir eingefunden, aber noch keiner hat sichs in nem Archiv gemütlich gemacht, von woraus man ihn nicht mehr löschen kann...

Könnt ihr mir sagen, wie ich den wieder los werde? Wer echt nett, aber bitte in ganz einfachen Schritten, ich hab wirklch keine große Ahnung. Wenns hilft hier noch die/das Logfile:



Logfile of HijackThis v1.98.2
Scan saved at 22:35:27, on 29.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSSQL7\binn\sqlservr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\DownloadWare\dw.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\PROGRA~1\Save\Save.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\MailBell\mailbell.exe
C:\PROGRA~1\CLOCKS~1\Sync.exe
C:\Dokumente und Einstellungen\Supervisor\Eigene Dateien\D-Info\dinfostarter.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Supervisor\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=107312
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=107312
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=107312
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: D-Info - {CB736FF0-1D72-11D6-BF3C-005056303009} - C:\Dokumente und Einstellungen\Supervisor\Eigene Dateien\D-Info\dinfoband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [syspath] C:\WINNT\system32\qname.exe
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [bootloaderl] C:\WINNT\bootloadl.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MailBell] C:\Programme\MailBell\mailbell.exe
O4 - HKCU\..\Run: [syspath] C:\WINNT\system32\qname.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: D-Info Starter.lnk = C:\Dokumente und Einstellungen\Supervisor\Eigene Dateien\D-Info\dinfostarter.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Dokumente und Einstellungen\Supervisor\Eigene Dateien\D-Info\dinfoband.dll
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Dokumente und Einstellungen\Supervisor\Eigene Dateien\D-Info\dinfoband.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.spywarenuker.com/product/camp/SpywareNuker_com/SpywareNukerInstaller.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://content2.netvenda.com/sites/games-intl/de/games3.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_0_DE2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1FA4C1-2709-46F6-9428-0CD231A07682}: NameServer = 217.237.151.161 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1FA4C1-2709-46F6-9428-0CD231A07682}: NameServer = 217.237.151.161 194.25.2.129

#2 @rumburak

Falls du wirklich den Sober-Wurm hast, rate ich zum Neuaufsetzen .
_________________________________________________________________________________________

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe (dann sofort neustarten)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=107312
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=107312
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=107312

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [syspath] C:\WINNT\system32\qname.exe
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [bootloaderl] C:\WINNT\bootloadl.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [syspath] C:\WINNT\system32\qname.exe

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.spywarenuker.com/product/camp/SpywareNuker_com/SpywareNukerInstaller.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_0_DE2.cab

neustarten


#ueberpruefe diese exe mit kaspersky (poste das Ergebnis)
http://www.kaspersky.com/de/remoteviruschk.html
Sober.A (?)
C:\WINNT\system32\qname.exe
C:\WINNT\bootloadl.exe

#Lade den Stinger
http://vil.nai.com/vil/stinger/

#Loesche unter <Internetoptionen< die Temporaryinternetfiles (auch Offline)
#Lade Spybot, um den Winsockvirus"newdotnet6_30.dll" wegzubekommen (es kann sein, dass du dann die Netverbindung neu erstellen musst)
http://www.safer-networking.org/de/download/index.html
#Lade AdAware (free)
http://www.lavasoft.de/support/download/
.............................................................................................................................
2)Dann laedst du< eScan< ,erstelle vorher einen Ordner C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

3)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

4)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo, ich habe auch diesen Virus TR/Dldr.PurityS.E.2.

Da ich mich mit dem Compi leider nicht ganz so gut auskenne wie ihr unhd mir daher nicht zutraue diesen Lösungsweg zu beschreiten, würde ich gerne wissen, ob dieser Virus unbedingt gelöscht werden sollte. Was bewirkt oder macht er genau?

Da sich dieses löschen des Viruses auch sehr zeitaufwendig anhört, kann ich diesen Purity auch auf diese Art und Weise wegbekommen:

Formatierung aller Festplatten
und anschliessend alles neu draufspielen?

Wenn es so auch klappt, gibt es ein wirksames Programm, damit ich mir so etwas nicht nochmals einfange? Oder reicht es wenn ich alles als Admin installiere und danach nur noch als User ins Internet gehe?

Bringt aber warscheinlich auch nicht so viel, weil ich ja auch als User Files aus dem Netz lade, oder?

Vielen Dank für Eure Antworten!
Boncuk

#4 Hallo @Boncuk

Falls du reinigen willst, poste das Log vom HijackThis:
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

_______________________________________________________________

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org (NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ )
5)Antivirus installieren
http://www.free-av.de/
6) Sygate free installieren (
<Sygate (Deutsch)Firewall
http://www.sygate.de/
7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren)
8.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

9)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
10)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
11)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
12) #AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
13) alles anhaken---protected
#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

Danke für die schnelle Antwort.

Kannst Du mir bitte sagen was TR/purity genau macht?

Hier die Files:

Logfile of HijackThis v1.98.2
Scan saved at 10:40:47, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINXP\System32\smss.exe
E:\WINXP\system32\winlogon.exe
E:\WINXP\system32\services.exe
E:\WINXP\system32\lsass.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINXP\system32\spoolsv.exe
E:\WINXP\Explorer.EXE
C:\Programme\norton\navapsvc.exe
C:\Programme\norton\IWP\NPFMntor.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\WINXP\system32\ZONELABS\vsmon.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
E:\Programme\PestPatrol\PPMemCheck.exe
E:\Programme\PestPatrol\CookiePatrol.exe
E:\WINXP\System32\khooker.exe
E:\WINXP\System32\pctspk.exe
E:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe
E:\WINXP\System32\ctfmon.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\norton\navw32.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\IBuddy\LOKALE~1\Temp\Rar$EX02.404\HijackThis.exe
E:\Programme\Symantec\LiveUpdate\AUpdate.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\norton\NavShExt.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SiS KHooker] E:\WINXP\System32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "E:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] i:\programme\clone cd 5.0.1+keygen\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "i:\programme\clone cd 5.0.1+keygen\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunOnce: [mRouterRunTimeUninstall] E:\WINXP\IsUninst.exe -fE:\Programme\Intuwave\Shared\mRouterRunTime\Uninst.isu -a
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "E:\Programme\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [TVgenial] E:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINXP\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINXP\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09abea545407efa05504/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1BAAEA-F43F-4146-A88B-A652EC04B118}:

#6 Hallo @Boncuk

Hier wird der Trojaner beschrieben:
TR/Dldr.PurityS.E.2
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
Allerdings ohne weitere Angaben.

Taskmanager: Prozesse: winservs.exe beenden (falls es da ist)

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

erst mal vielen Dank für Deine Hilfe.

Habe die Punkte abgearbeitet, und was muss ich nun machen?

Hier die infected files:

Lieben Gruß
Boncuk

Fri Oct 15 08:30:21 2004 => File C:\Programme\norton\Quarantine\76E0716D.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Fri Oct 15 08:30:22 2004 => File C:\Programme\norton\Quarantine\76E64565.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Fri Oct 15 08:31:10 2004 => File C:\Treiber\Modem\Win9x\ptsnoop.ex_ tagged as not-a-virus:Tool.Win16.PTSnoop. No Action Taken.

Fri Oct 15 08:31:18 2004 => File C:\Treiber\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL infected by "Trojan.Win32.LaSta" Virus. Action Taken: No Action Taken.

Fri Oct 15 08:31:19 2004 => File C:\Treiber\Utility\Recovery Genius\Eng\RecoveryGenius\YZDLL32.DLL infected by "Trojan.Win32.LaSta" Virus. Action Taken: No Action Taken.

Fri Oct 15 08:32:41 2004 => File C:\System Volume Information\_restore{C6FE68BC-0A5A-4A10-BE09-175706B9095E}\RP109\A0032111.EXE infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Fri Oct 15 09:06:32 2004 => File E:\Programme\PestPatrol\Quarantine\2 infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

Fri Oct 15 09:25:21 2004 => File E:\System Volume Information\_restore{C6FE68BC-0A5A-4A10-BE09-175706B9095E}\RP109\A0032096.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

#8 Hallo @Hallo @Boncuk

#deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.

#Deinstalliere die Treiber fuer :C:\Treiber\Utility\Recovery Genius\Eng\RecoveryGenius\
und lade sie neu (sind infiziert)
oder loesche manuell:

#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#Loesche:
C:\Programme\norton\Quarantine\76E0716D.exe
C:\Programme\norton\Quarantine\76E64565.exe
C:\Treiber\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL
C:\Treiber\Utility\Recovery Genius\Eng\RecoveryGenius\YZDLL32.DLL

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit