Home » Spyware & Browser Hijacker Support Forum » und nochmal TR/Dldr.small.xo / MSOffice\services.exe » Themenansicht

und nochmal TR/Dldr.small.xo / MSOffice\services.exe
#0
31.10.2004, 19:10
ahla
...neu hier

Beiträge: 4
#1 ... war schon mal fleissig und hab signifikante Einträge selbst gelöscht. Leider ist das eigentliche Problem noch immer nicht behoben, nämlich der Schädling TR/Dldr.small.xo
Wer kann helfen?

thx ahla


Logfile of HijackThis v1.98.2
Scan saved at 19:05:26, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~2\TRAYAP~1.EXE
C:\WINDOWS\System32\MSOffice\services.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
D:\OpenOffice.org1.1.2\program\soffice.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Michael\LOKALE~1\Temp\kavss.exe
C:\Programme\mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~2\TRAYAP~1.EXE
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: OpenOffice.org 1.1.2.lnk = D:\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O18 - Filter: text/html - {7D215204-AB62-4F4D-A785-9574D11AB046} - (no file)
O18 - Filter: text/plain - {7D215204-AB62-4F4D-A785-9574D11AB046} - (no file)
Seitenanfang Seitenende
31.10.2004, 19:32
raman
Moderator

Beiträge: 7805
#2 Fix mal das:

O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
O18 - Filter: text/html - {7D215204-AB62-4F4D-A785-9574D11AB046} - (no file)
O18 - Filter: text/plain - {7D215204-AB62-4F4D-A785-9574D11AB046} - (no file)

Starte neu und sage, wo Antivir den Trojaner findet

Teste diese DateiC:\WINDOWS\system32\MSOffice\services.exe
hier http://virusscan.jotti.dhs.org/ oder schicke sie an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.03.2005, 18:42
Pappfigur
...neu hier

Beiträge: 2
#3 hi zusammen..
ich habe den tr dldr.small.xo
auch bei mir gefunden ..
antivir löscht ihn nicht wie bekomme ich den runter vom rechner?

und warum bekomme ich denn jetzt erst???

hat mir einer gute sichere hilfe pls..

gleich dazu ich habe kein msoffice und der pfad den gibt es somit bei mir nicht....
Dieser Beitrag wurde am 03.03.2005 um 18:49 Uhr von Pappfigur editiert.
Seitenanfang Seitenende
19.03.2005, 16:42
Pappfigur
...neu hier

Beiträge: 2
#4 büdde büdde es muss doch n tool geben wie den stinger oder sowas helft mir
ich krieg ihn net weg..
Seitenanfang Seitenende
21.03.2005, 13:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@Pappfigur

O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\system32\MSOffice\services.exe
Browser hijacker. The file is placed in a newly created MSOffice folder in System32 - Note - this is NOT the legitimate Windows services.exe process, which should NOT figure in Msconfig/Startup!

Auswertung von services.exe:

File: services.exe
Status:
INFECTED/MALWARE
Packers detected:
UPX

AntiVir
No viruses found (1.29 seconds taken)
Avast
No viruses found (4.60 seconds taken)
BitDefender
BehavesLike:Trojan.Downloader (probable variant) (3.10 seconds taken)
ClamAV
No viruses found (2.91 seconds taken)
Dr.Web
Trojan.DownLoader.861 (4.63 seconds taken)
F-Prot Antivirus
No viruses found (0.56 seconds taken)
Kaspersky Anti-Virus
TrojanDownloader.Win32.Agent.eb (probable variant) (4.45 seconds taken)
mks_vir
No viruses found (2.40 seconds taken)
NOD32
No viruses found (9.54 seconds taken)
Norman Virus Control
Sandbox: W32/Downloader; [ General information ]

* File length: 32772 bytes
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe.
[ Network services ]
* Looks for an Internet connection.
* Opens URL: http://www.newiframe.biz/gamma.exe.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Attemps to open C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe NULL. (5.12 seconds taken)

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

•eScan-Erkennungstool--> loescht nicht, zeigt nur an, aber dann koennen wir den Trojaner mit der Killbox loeschen Achtung!

eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1