Trojaner Dldr.Small.XO |
||
---|---|---|
#0
| ||
26.10.2004, 11:00
...neu hier
Beiträge: 6 |
||
|
||
26.10.2004, 12:41
Moderator
Beiträge: 7805 |
#2
Fixe bitte mal dieses:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O21 - SSODL: EEKzRyhxc - {741B9220-DEB1-388A-3482-1E4083A3CBE2} - C:\WINDOWS\system32\opcc.dll Starte dann neu und schicke bitte C:\Program Files\Win Comm\WinComm.exe C:\WINDOWS\system32\opcc.dll C:\WINDOWS\system32\MSOffice\services.exe (oder alles in dem Verzeichniss, wenn es nicht zu viel ist) an virus@protecus.de. Nutze auch mal eScan: http://www.trojaner-info.de/hijacker/escan.shtml __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 12:56
...neu hier
Themenstarter Beiträge: 6 |
#3
Hi Ralf!
Hab alles gefixt, die Nr. 021 läßt sich leider nicht löschen! Alle anderen haben funktioniert! Wie soll ich dir diese 3 Verzeichnisse schicken? Danke! Lg Daniela |
|
|
||
26.10.2004, 15:35
Moderator
Beiträge: 7805 |
#4
Das ist aber wichtig, fix ihn mal im abgesicherten modus ohne dabei irgendwelche Browser geoeffnet zu haben.
Abgesicherter Modus: http://www.bsi.de/av/texte/wiederher.htm Wenn du die Dateien findest, einfach an eine Mail anhaengen, wenn du da unsicher bist, einfach mal loeschen. Was hat ein scan mit Escan gebracht? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 19:55
...neu hier
Themenstarter Beiträge: 6 |
#5
Hi Ralf!
Habe Escan laufen lassen ... er hat 49 Viren gefunden!!! Ich weiß echt nicht mehr weiter .... Die angegebenen Verzeichnisse kann ich leide nicht löschen .... schick dir nochmals meine Auswertung von Hijackthis Vielen Dank nochmals! Daniela Logfile of HijackThis v1.98.2 Scan saved at 19:53:31, on 26.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\MSOffice\services.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ousgypnv.exe C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2004\EDICT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\D&A\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\D&A\LOKALE~1\Temp\kavss.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Program Files\Win Comm\WinComm.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\D&A\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G94V0V8F\HijackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B377} - C:\WINDOWS\system32\CustomIE32.dll O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\D&A\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c7382e8f812488538178c09374cd3d1696277ab341d588a056fa84851d5e1f9fecd5da6e7490e:d3e35fce064ccfbb2d7510b28ebf1261 O17 - HKLM\System\CCS\Services\Tcpip\..\{3481370D-0A1C-4F12-8ED3-B1CE8B165050}: NameServer = 172.27.1.1 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O21 - SSODL: EEKzRyhxc - {741B9220-DEB1-388A-3482-1E4083A3CBE2} - C:\WINDOWS\system32\opcc.dll |
|
|
||
26.10.2004, 20:09
Moderator
Beiträge: 7805 |
#6
Du bist immer noch extrem "verseucht", Vieleicht kommst du mit dieser Anleitung zum Loeschen der Dateien besser klar:
http://www.rokop-security.de/board/index.php?showtopic=3867 . Sonst hole dir etwas hilfe von jemanden, der etwas sicherer im Umgang mit dem PC ist. Lass diese Person aber nur das machen, was hier im Thread steht! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 20:25
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
26.10.2004, 20:30
Moderator
Beiträge: 7805 |
#8
Es haengt ein wenig davon ab, was Escan gefunden hat, und wie sicher du deinen Rechner haben moechtest. Du musst auf jeden fal die als infiziert gemeldeten Dateien loeschen. Das geht recht gut und einfach mit Killbox. Darum auch die empfehlung auf den Thread.
Du kannst mir auch das Log von Escan schicken (virus@protecus.de) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.10.2004, 20:50
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
26.10.2004, 20:55
Moderator
Beiträge: 7805 |
#10
Hui!
Suche in dem Log nach "action taken" ohne ("") natuerlich und kopiere sie in eine Mail an obige adresse, oder hier in eine Antwort von dir. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.10.2004, 10:31
...neu hier
Themenstarter Beiträge: 6 |
#11
Danke Ralf für deine Mail.
Wenn die Dinger nicht gefährlich sind, werd im mich in den nächsten Tagen um "professionelle" Hilfe umsehen. Vielen Dank! War echt nett von dir! Lg Daniela |
|
|
||
Habe grad Anti-Vir über meinen Rechner laufen lassen.
Er meldet: TR/Dldr.Small.XO
Kann den Virus jedoch leider nicht löschen, da er sich in einem Archiv befindet!
Hiiiiilllllllllllfffffffffffffffeeeee ich kenne mich überhaupt nicht aus!
Habe auch schon den Report von Hijackthis .... wer kann mir helfen????
Vielen Dank schon mal!
Lg
Daniela
PS: Bitte einfache Erklärung!
Logfile of HijackThis v1.98.2
Scan saved at 10:58:28, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\MSOffice\services.exe
C:\Program Files\Win Comm\WinComm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\D&A\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IF2AAUZ5\HijackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WrCtrl] "C:\Programme\WinRoute Pro\wrctrl.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b9d4978f49bc7f65f3efd51262599815c647f32978f99906b3ac90294c0dd45325f3442c9af561f2c9ce46cb3d0ba5690fb4227dd9944675:2e9ef624f1d02d5314853a1e13e38ff0
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3481370D-0A1C-4F12-8ED3-B1CE8B165050}: NameServer = 172.27.1.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: EEKzRyhxc - {741B9220-DEB1-388A-3482-1E4083A3CBE2} - C:\WINDOWS\system32\opcc.dll