Tr/dldr.small.gd |
||
---|---|---|
#0
| ||
15.02.2005, 22:18
...neu hier
Beiträge: 10 |
||
|
||
16.02.2005, 09:24
Member
Beiträge: 239 |
#2
Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm. Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. Rolfs |
|
|
||
16.02.2005, 20:03
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo Rolfs, mein Retter
Ich habe deine Instruktionen befolgt und ausgeführt. Hier das Logfile Logfile of HijackThis v1.99.0 Scan saved at 21:00:56, on 16.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOINTGR.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\HotKeys\Ikeymain.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Bluewin\Firewall\fwstatus.exe C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\C-Channel\MyPen\MyPen.exe C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe C:\PROGRA~1\SONYER~1\MOBILE~1\DbgOut.exe C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\SONYER~1\MOBILE~1\EPMWOR~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\DOKUME~1\prm\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O1 - Hosts: 195.186.50.81 horserace.licenseserver.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [fwstatus.exe] C:\Programme\Bluewin\Firewall\fwstatus.exe O4 - Startup: Internet Explorer.lnk = ? O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: MyPen.lnk = ? O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {1E8E209A-6120-4EF1-B0B6-A65191D905B9} (CInstallManager Class) - http://stream-it.bluewin.ch/installs/InstallManager.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/315ce85c257961db5119/netzip/RdxIE601_de.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe |
|
|
||
16.02.2005, 20:37
Member
Beiträge: 239 |
#4
O1 - Hosts: 195.186.50.81 horserace.licenseserver.com
Wenn du diesen Eintrag nicht kennst solltest du ihn mit HijackThis fixen. Überprüf deine Logfile hier: http://www.hijackthis.de/ Rolfs |
|
|
||
16.02.2005, 23:14
...neu hier
Themenstarter Beiträge: 10 |
#5
Hallo Rolfs
Habe das Logfile gescannt mit deinem Link. Dieser hat mir den selben Tipp gegeben. Habe dann das Ding gefixt. Bin ich (mein PC) jetzt geheilt? Ich danke dir sehr für deine Mühe |
|
|
||
17.02.2005, 10:46
Member
Beiträge: 239 |
#6
Was sagt denn dein Vierenscanner, findet der noch was?
Rolfs |
|
|
||
17.02.2005, 19:46
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo Rolfs
Leider habe ich das Ding noch immer. Zusätzlich wird mir jetzt noch ein Dialer gemeldet. DIAL/300912 Frust... |
|
|
||
17.02.2005, 19:56
Member
Beiträge: 239 |
#8
Ein Dialer, auch das noch
Lade dir das Tool a² freeware und scan damit dein PC http://www.a-2.org/de/software/download/ Anschließend poste noch mal deine Logfile aber bitte vorher wieder AdAware und Spybot laufen lassen wichtig das update der beiden nicht vergessen. Rolfs |
|
|
||
17.02.2005, 23:11
...neu hier
Themenstarter Beiträge: 10 |
#9
Hallo Rolfs
Nun, ich habe AdAware nochmals updatet und wirken lassen. Da wurden 5 Dinge gefunden und gelöscht. Mit a-2 habe ich keine Malware gefunden. Hier mein aktuelles Logfile Logfile of HijackThis v1.99.1 Scan saved at 23:07:34, on 18.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOINTGR.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\HotKeys\Ikeymain.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Bluewin\Firewall\fwstatus.exe C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\C-Channel\MyPen\MyPen.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\SONYER~1\MOBILE~1\DbgOut.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\SONYER~1\MOBILE~1\EPMWOR~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\prm\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [fwstatus.exe] C:\Programme\Bluewin\Firewall\fwstatus.exe O4 - Startup: Internet Explorer.lnk = ? O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: MyPen.lnk = ? O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {1E8E209A-6120-4EF1-B0B6-A65191D905B9} (CInstallManager Class) - http://stream-it.bluewin.ch/installs/InstallManager.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe Danke tütü |
|
|
||
17.02.2005, 23:32
Member
Beiträge: 239 |
||
|
||
17.02.2005, 23:52
...neu hier
Themenstarter Beiträge: 10 |
#11
Nun. AdAware gibt mir den Trojaner an, gibt mir auch die möglichkeit diesen zu lösen, jedoch nützt es nichts. Er erscheint mir noch immer?
Ich habe nun Adaware schon 3 Mal durchlaufen lassen und immer kommt mir das blöde Ding wieder. Einmal habe ich angeklikt, überschreiben und löschen, einmal nur löschen, einmal in Quarantäne verschieben usw. Die Dialer sind weg - Zum Glück. Weisst du noch einen Weg? Dieser Beitrag wurde am 18.02.2005 um 10:17 Uhr von tütü editiert.
|
|
|
||
18.02.2005, 15:09
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@tütü
eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.02.2005 um 15:09 Uhr von Sabina editiert.
|
|
|
||
18.02.2005, 16:11
...neu hier
Themenstarter Beiträge: 10 |
#13
Hallo Sabina. Danke für deine Mühe.
Was meinst du genau mit "rauskopieren"? Meinst du Ausschneiden? Also nach Bearbeiten - Suchen? und dort "infected" reinschreiben und dann jeweils die ganze Zeile (Crogramme usw) markieren und aus dem Logfile ausschneiden? Ist das richtig? oder so: Ich habe alle Zeilen, in denen das Wort "infected" nach Suchen hervor kam markiert, kopiert und jetzt unten eingefügt? Dabei fehlen aber noch Dialer, welche mir der e-scan noch angegeben hat? Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Fri Feb 18 16:39:36 2005 => File C:\DOKUME~1\prm\LOKALE~1\TEMPOR~1\Content.IE5\Q5G7Y165\saveupdate[1].exe infected by "not-a-virus:AdWare.SaveNow.c" Virus. Action Taken: No Action Taken. Fri Feb 18 16:47:10 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Fri Feb 18 16:47:11 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Fri Feb 18 16:47:11 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sat Feb 19 16:17:54 2005 => File C:\WINDOWS\khe-10001.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. ri Feb 18 16:47:10 2005 => File C:\WINDOWS\khe-10001.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. Die letzten beiden sind vermutlich Dialer Was ist nun zu tun? Danke tütü Dieser Beitrag wurde am 18.02.2005 um 17:09 Uhr von tütü editiert.
|
|
|
||
19.02.2005, 00:17
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@tütü
KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot-->anhaken kopiere rein: C:\WINDOWS\NDNuninstall5_48.exe C:\WINDOWS\NDNuninstall5_64.exe C:\WINDOWS\NDNuninstall6_10.exe C:\DOKUME~1\prm\LOKALE~1\TEMPOR~1\Content.IE5\Q5G7Y165\saveupdate[1].exe C:\WINDOWS\khe-10001.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.02.2005 um 00:19 Uhr von Sabina editiert.
|
|
|
||
19.02.2005, 12:12
...neu hier
Themenstarter Beiträge: 10 |
#15
Hallo Sabina
Ich glaube ich habs geschafft. Ich danke dir von ganzem Herzen. Du hast mir sehr geholfen. Mein AntiVir hat auch keine Viren oder sonstige Würmer mehr gefunden. Ich denke somit ist alles i.o. Ein grosses Lob an dich. Du bist ein Genie. Was meinst du soll ich mit all den Tools machen die ich nun installiert habe (HijackThis usw) soll ich die wider entfernen? Liebe Grüsse Tütü Dieser Beitrag wurde am 19.02.2005 um 16:57 Uhr von tütü editiert.
|
|
|
||
mein virenscanner hat mir folgede meldung gemacht
TR/Dldr.Small.GD
ich habe jedoch keine beeinträchtignung (merkbare) auf meinem pc.
bitte, wie kriege ich dieses ding wieder los?
merci
tütü