tr/dldr.small.or

#16 Hallo @JeanPersil

Nach allem, was du hier bis jetzt gelesen hast, duerftest du eigentlich nicht fragen, ob du den sehr gefaehrlichen Backdoor vpc32.exe "loeschen darfst"

Die Netbios kannst du aktiviert halten.
Es kann sein, ein Programm benoetigt sie.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo @Gong

Hier erst mal die Infos zu Trojanerrn\Backdoors:
Warnung
Trojaner klauen Bank-Kunden PINs und TANs:
http://www.heise.de/newsticker/meldung/50793

#Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
_____________________________________________________________________________

#oeffne noch mal das HijackThis, scan, dann hake an, was ich schreibe, druecke auf <fix< und neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s

O4 - HKLM\..\Run: [aap] qff.exe
O4 - HKLM\..\RunServices: [aap] qff.exe
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)

Neustarten

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Suche diese C:\\explorer.cab! (es kann sein, dass sie in WinRar ist, da eine gepackte Datei und loesche sie (weil es eine gepackte Datei ist, kann der Antivirus sie nicht loeschen)

#Suche und loesche:
Start<Ausfuehren <reinkopieren oder reinschreiben : %temp%
C:\WINDOWS\TEMP\ICD1.TMP\EXPLORER.EXE
(Aber keine andere Explorer.exe loeschen, nur, falls du eine in den Temporary-Dateien findest (!)

#Suche und loesche:
C:\WINDOWS\system32\qff.exe
C:\WINDOWS\sp.exe
........................................................
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Lade Spoonweg (um zu loeschen:sp.exe
"Trojan.Win32.Spooner.f\ntsearch Adware BHO")
http://www.trojaner-info.de/news/spoonweg.shtml

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Deaktiviere deinen Virenscanner und Lade diese Testversion und scanne im abgesicherten Modus:
#Testversion "F-Secure Internet Security 2005"
http://esd.element5.com/demoreg.html?productid=544568&sessionid=145499584&random=a990a1793c30e7d127a6bce39bc82919&sessionid=145499584&random=a990a1793c30e7d127a6bce39bc82919

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#RegSupreme:
http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

#Dann berichte, was vom Virenscanner gefunden wurde und poste das neue Log vom HijackThis noch einmal.

____________________________________________________________________________________

Tips:
#TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt h
http://www.almisoft.de/traxex2.htm

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hi !,

ich habe/hatte den gleichen Trojaner wie Pechvogel. Hab die Datei explorer.cab auch erst mal gelöscht und so sieht jetzt mein log file aus:

Logfile of HijackThis v1.98.2
Scan saved at 10:38:50, on 07.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\catia\intel_a\code\bin\CATSysDemon.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\notepad.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA8FC01-3FD0-4F04-8D07-16305A45D0E5}: NameServer = 217.237.151.97 217.237.150.33

Ist mein Rechner jetzt clean ?
Vielen Dank für jede Antwort,
Liam

#19 Hallo @Liam

Das Log ist sauber (auch wenn ich nicht sehen kann, ob die Startseite verstellt ist)

aber:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

#Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Vielen Dank Sabina, habe REGSVC.EXE deaktiviert.
Kann es sein, dass sich noch irgendwelche Reste des Trojaners auf meinem Rechner verstecken ?

#21 Hallo @Liam

Scanne mit Antirus im abgesicherten und im Normalmodus.
Wenn nichts angezeigt wird , muesse der PC sauber sein.
Konfiguriere Antivirus : <alle Dateien< und <Heuristik: mittel <

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hi ihr,

auch ich konnte mich nicht vor diesem trojaner fernhalten und habe ihn mir leider eingefangen (laut antivir). hab dann auch gleich die explorer.cab in C:\ gelöscht.

Nun bitte ich euch, meine Log durchzuschauen um nicht doch eventuelle reste aufzustöbern. wäre furchtbar nett von euch:

Logfile of HijackThis v1.97.7
Scan saved at 18:59:46, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\minixampp\apache\bin\Apache.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\Logitech\iTouch\iTouch.exe
E:\minixampp\apache\bin\Apache.exe
E:\Trojancheck\tcguard.exe
E:\Logitech\MouseWare\system\em_exec.exe
E:\ZoneAlarm\zlclient.exe
E:\MULTICLIPBOARD\MCLIPBOARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\notepad.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVGNT.EXE
C:\DOKUME~1\Compi\LOKALE~1\Temp\HijackThis.exe
E:\Microsoft Office\Office\OUTLOOK.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck\tcguard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe"
O4 - Global Startup: MCLIPBOARD.lnk = E:\MULTICLIPBOARD\MCLIPBOARD.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38040.268587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225

Ich danke euch schon mal recht herzlich und werde mich nach den antworten nochmal melden!

#23 Hallo @Murkel

Hat der Antivirus den Trojaner in Quarantaene genommen ?
Scanne mal mit dem Antivirus und poste hier das Log vom Scann.
(den infizierten Teil)

und lade bitte die neue Version vom HijackThis:
http://www.downloads.subratam.org/hijackthis.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#24 ah vielen dank, hab ich gleich runtergeladen.

so und nun nochmal zu dem trojaner. also ob er es in quarantäne genommen hat knn ich ned sagen aber denke eher nicht, da die meldung kam "In einem oder mehreren Archiven wurden Viren bzw. unerwünschte Programme gefunden! Infizierte Dateien in Archiven werden nicht gelöscht oder repariert!" und die datei ja noch in c:\ war.
hab sie dann also manuell gelöscht.
die damalige meldung von antivir: Laufwerk: C:

C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR

so, hab jetzt gleich nochmal mit antivir gescannt und schwups hat mein pc ne andere datei gefunden mit demselben trojaner, hier die meldungen:

C:\RECYCLER\S-1-5-21-1417001333-343818398-839522115-1003
Dc57.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR

das sagt mir, dass ich auch mal den papierkorp mit der infizierten datei löschen muss

hier nun auch der log der aktuellen version:

Logfile of HijackThis v1.98.2
Scan saved at 20:49:23, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\minixampp\apache\bin\Apache.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\Logitech\iTouch\iTouch.exe
E:\minixampp\apache\bin\Apache.exe
E:\Trojancheck\tcguard.exe
E:\Logitech\MouseWare\system\em_exec.exe
E:\ZoneAlarm\zlclient.exe
E:\MULTICLIPBOARD\MCLIPBOARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\notepad.exe
E:\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Compi\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck\tcguard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe"
O4 - Global Startup: MCLIPBOARD.lnk = E:\MULTICLIPBOARD\MCLIPBOARD.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225

#25 Hallo Sabina,

hatte 'ne Woche Urlaub und habe deshalb nicht sofort Deine Tipps bzw. Lösungen testen können.

Deine angegeben Zeilen habe ich angehakt und gefixt - ebenso die explorer.cab gelöscht.

Die Dateien qff.exe und sp.exe habe ich nicht gefunden!?!

Spoonweg habe ich probiert zu download - ging aber nicht, da er eine andere url wollte. Habe dann nochmals Antivir upgedated und siehe da - er findet den Trojaner nicht mehr??! Hurra - ist das möglich?

Ich habe Dir nochmals das aktuelle log beigefügt, wenn's Dir nicht zuviel ausmacht, könnest Du nochmals drüberschau'n.

Wenn wirklich wieder alles o.k. ist schon jetzt vielen vielen Dank!!!!

Logfile of HijackThis v1.98.2
Scan saved at 21:37:28, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\txtuser.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
C:\t-online\Browser\browser.exe
C:\t-online\EMAIL4\mail.exe
C:\Dokumente und Einstellungen\Günther\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {0BE0E0B4-3E03-4EB6-99B2-00948505A067} (Media Client ActiveX Installer) - http://www.downloadcoach.com/MCInstaller.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/298627804d37ddf9cc05/netzip/RdxIE601_de.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://phobos.apple.com/detection/ITDetector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F011903D-3DF5-42D0-BE45-FB8D06F128A7}: NameServer = 217.237.150.141 217.237.150.97

#26 Hallo @Gong

Es ist sauber.

Fixe noch.
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo @Murkel

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Loesche:
<C:\RECYCLER\S-1-5-21-1417001333-343818398-839522115-1003
Dc57.cab
<C:\explorer.cab
<C:\WINDOWS\TEMP\ICD1

(Suche auch in:
C:\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5 )

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen (alles)

#Dein System braucht die aktuellesten Patches und Updates -> http://windowsupdate.microsoft.com
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

Dann scanne noch mal mit Antivirus

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hallo zusammen,

ich habe mir unter Win ME den gleichen Wurm eingefangen, er steckt bei mir in der Datei Explorer[7].cab und kann von Antivir nicht entfernt werden, da dies eine Archivdatei ist. Selbst komme ich an die Datei auch nicht ran zum löschen. Habe aber schon mehrfach von HiJackthis gelesen und auch angefertigt. Kann nur darauf nichts ungewöhnliches finden. Trotzdem hier nochmal die LOG.Datei:

Logfile of HijackThis v1.98.2
Scan saved at 19:14:10, on 10.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de

Kann mir bitte jemand helfen, ich weiß nicht mehr weiter!

Vielen Dank im voraus.

#29 Hallo @Lion1979

Oeffne das HijackThis, hake an, was ich schreibew, <fix< und neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL

neustarten

#Deinstalliere:
C:\PROGRAMME\MSN APPS\MSN TOOLBAR

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* ...hier ist die Datei Explorer[7].cab .

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hallo Sabina,

zunächst vielen Dank für Deine superschnelle Antwort! Ich hab alles genau so gemacht wie Du aufgeschrieben hast. Aber jetzt kommts, leider ist der blöde Trojaner immer noch nicht weg. Aber es wird zumindest etwas kurios. Folgendes ist nun passiert:

- AdAware findet gar nichts
- EScan hatte gestern noch gemeldet:
- C:\Windows\Temporary\Internet Files\Content.IE5\OD2ZOTEJ\
explorer7[1].cab infected by "Trojan.Win32.Dialer.eb" Virus.
.... also den Trojaner TR/dldr.small.or und
- C: Windows\System\IEAccess2.dll tagged as not-a-virus:
PornWare.Dialer.Minidial.
(heute nach Deiner ausgeführten Anweisung findet EScan nur noch den
Dialer; diesen habe ich aber gelöscht, indem ich die IEAccess2.dll
gelöscht habe)
- Antivir (neu installiert) findet nach wie vor den TR/dldr.small.or
außerdem sagt mir Antivir, dass der Archivheader mehrerer *.cab Dateien
defekt sei.

Übrigens, die Datei explorer7[1].cab kann kein Suchprogramm finden. Auch mein Temp-Verzeichnis und mein Temporary Internet Files-Verzeichnis befinden sich nur direkt unter Windows. Ist das schlimm, oder nur eine andere Version vom Betriebssystems?

Wie kann das sein? Ist der Trojaner nun weg oder nicht? Was ist ein defekter Archivheader??? Übrigens wenn ich mit meiner Firewall ZoneLab ins Internet gehen möchte kommt ein BlueScreen ohne Hinweis und der Rechner ist abestürzt.

Was soll ich nun tun, kannst Du mir nochmal weiterhelfen?

Vielen Dank im voraus.

Mfg
Lion1979