Tr/dldr.small.gd

#1 hallo
mein virenscanner hat mir folgede meldung gemacht

TR/Dldr.Small.GD

ich habe jedoch keine beeinträchtignung (merkbare) auf meinem pc.

bitte, wie kriege ich dieses ding wieder los?

merci

tütü

#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Rolfs

#3 Hallo Rolfs, mein Retter

Ich habe deine Instruktionen befolgt und ausgeführt.
Hier das Logfile

Logfile of HijackThis v1.99.0
Scan saved at 21:00:56, on 16.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Bluewin\Firewall\fwstatus.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\C-Channel\MyPen\MyPen.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\SONYER~1\MOBILE~1\DbgOut.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\prm\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O1 - Hosts: 195.186.50.81 horserace.licenseserver.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [fwstatus.exe] C:\Programme\Bluewin\Firewall\fwstatus.exe
O4 - Startup: Internet Explorer.lnk = ?
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyPen.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {1E8E209A-6120-4EF1-B0B6-A65191D905B9} (CInstallManager Class) - http://stream-it.bluewin.ch/installs/InstallManager.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/315ce85c257961db5119/netzip/RdxIE601_de.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

#4 O1 - Hosts: 195.186.50.81 horserace.licenseserver.com

Wenn du diesen Eintrag nicht kennst solltest du ihn mit HijackThis fixen.

Überprüf deine Logfile hier: http://www.hijackthis.de/
Rolfs

#5 Hallo Rolfs

Habe das Logfile gescannt mit deinem Link. Dieser hat mir den selben Tipp gegeben. Habe dann das Ding gefixt.
Bin ich (mein PC) jetzt geheilt?

Ich danke dir sehr für deine Mühe

#6 Was sagt denn dein Vierenscanner, findet der noch was?
Rolfs

#7 Hallo Rolfs

Leider habe ich das Ding noch immer.
Zusätzlich wird mir jetzt noch ein Dialer gemeldet. DIAL/300912

Frust...

#8 Ein Dialer, auch das noch

Lade dir das Tool a² freeware und scan damit dein PC
http://www.a-2.org/de/software/download/

Anschließend poste noch mal deine Logfile
aber bitte vorher wieder AdAware und Spybot laufen lassen
wichtig das update der beiden nicht vergessen.
Rolfs

#9 Hallo Rolfs
Nun, ich habe AdAware nochmals updatet und wirken lassen. Da wurden 5 Dinge gefunden und gelöscht. Mit a-2 habe ich keine Malware gefunden.
Hier mein aktuelles Logfile

Logfile of HijackThis v1.99.1
Scan saved at 23:07:34, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Bluewin\Firewall\fwstatus.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\C-Channel\MyPen\MyPen.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\SONYER~1\MOBILE~1\DbgOut.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\prm\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [fwstatus.exe] C:\Programme\Bluewin\Firewall\fwstatus.exe
O4 - Startup: Internet Explorer.lnk = ?
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyPen.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {1E8E209A-6120-4EF1-B0B6-A65191D905B9} (CInstallManager Class) - http://stream-it.bluewin.ch/installs/InstallManager.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Danke tütü

#10 Was ich jetzt sehen kann ist deine Logfile sauber.
Hast du denn noch Probleme?
Rolfs

#11 Nun. AdAware gibt mir den Trojaner an, gibt mir auch die möglichkeit diesen zu lösen, jedoch nützt es nichts. Er erscheint mir noch immer?

Ich habe nun Adaware schon 3 Mal durchlaufen lassen und immer kommt mir das blöde Ding wieder. Einmal habe ich angeklikt, überschreiben und löschen, einmal nur löschen, einmal in Quarantäne verschieben usw.

Die Dialer sind weg - Zum Glück.

Weisst du noch einen Weg?

#12 Hallo@tütü

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina. Danke für deine Mühe.

Was meinst du genau mit "rauskopieren"? Meinst du Ausschneiden?

Also nach Bearbeiten - Suchen? und dort "infected" reinschreiben und dann jeweils die ganze Zeile (Crogramme usw) markieren und aus dem Logfile ausschneiden?

Ist das richtig?

oder so:

Ich habe alle Zeilen, in denen das Wort "infected" nach Suchen hervor kam markiert, kopiert und jetzt unten eingefügt? Dabei fehlen aber noch Dialer, welche mir der e-scan noch angegeben hat?

Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sat Feb 19 16:17:55 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Fri Feb 18 16:39:36 2005 => File C:\DOKUME~1\prm\LOKALE~1\TEMPOR~1\Content.IE5\Q5G7Y165\saveupdate[1].exe infected by "not-a-virus:AdWare.SaveNow.c" Virus. Action Taken: No Action Taken.

Fri Feb 18 16:47:10 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Fri Feb 18 16:47:11 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Fri Feb 18 16:47:11 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.



Sat Feb 19 16:17:54 2005 => File C:\WINDOWS\khe-10001.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

ri Feb 18 16:47:10 2005 => File C:\WINDOWS\khe-10001.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Die letzten beiden sind vermutlich Dialer

Was ist nun zu tun?

Danke tütü

#14 Hallo@tütü

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot-->anhaken

kopiere rein:

C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\NDNuninstall5_64.exe
C:\WINDOWS\NDNuninstall6_10.exe
C:\DOKUME~1\prm\LOKALE~1\TEMPOR~1\Content.IE5\Q5G7Y165\saveupdate[1].exe
C:\WINDOWS\khe-10001.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina

Ich glaube ich habs geschafft.

Ich danke dir von ganzem Herzen. Du hast mir sehr geholfen.

Mein AntiVir hat auch keine Viren oder sonstige Würmer mehr gefunden. Ich denke somit ist alles i.o. Ein grosses Lob an dich. Du bist ein Genie.

Was meinst du soll ich mit all den Tools machen die ich nun installiert habe (HijackThis usw) soll ich die wider entfernen?

Liebe Grüsse Tütü