Trojaner Tr/Dldr.Small.agi

#0
28.03.2005, 10:33
...neu hier

Beiträge: 2
#1 Hi Leute,
habe meine Platte mit AntiVir gescannt und dabei wurden folgende Trojaner gefunden.
TR/Dldr.Small.agi
TR.Click.Agent.AC
TR/Dldr.Delf.Au.1

Wäre euch sehr dankbar wenn ihr mir sagen könntet wie ich diese lästigen Biester wieder loswerde.
Hab mal noch eine Log Datei beigefügt die ich mit Hijack erstellt habe, muß dabei sagen das ich nicht viel Plan von einem PC habe.


Logfile of HijackThis v1.99.1
Scan saved at 10:33:54, on 28.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\ntvdm.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\MICROS~3\WCESCOMM.EXE
D:\OPLIMIT\ocrawr32.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
D:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\Dokumente und Einstellungen\mio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\mio\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\mio\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
F3 - REG:win.ini: load=D:\OPLIMIT\ocraware.exe
O2 - BHO: (no name) - {8C6CF606-FB74-4366-8CC8-D84AEDC5BBBB} - D:\WINDOWS\System32\cmfe.dll (file missing)
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WebSavingsfromEbates] javaw -cp "D:\Programme\WebSavingsfromEbates\System\Code" Main lp: "D:\Programme\WebSavingsfromEbates"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\PROGRA~1\MICROS~3\WCESCOMM.EXE"
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2B98386E-4E4E-45F6-AA14-2957384E4760} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2B98386E-4E4E-45F6-AA14-2957384E4760} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53C797C9-EEBE-4ACC-8FB6-2E87D5DE9B26}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE9D6AD8-CC5A-4F2E-A834-FD5FC7ACE69A}: NameServer = 205.188.146.145
O18 - Filter: text/html - {188242BB-0FD9-4599-A057-C1C08020C140} - D:\WINDOWS\System32\cmfe.dll
O18 - Filter: text/plain - {188242BB-0FD9-4599-A057-C1C08020C140} - D:\WINDOWS\System32\cmfe.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
Seitenanfang Seitenende
28.03.2005, 17:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@DonDon

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


1.Schritt:
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

2.Schritt:
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

3.Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\mio\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\mio\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8C6CF606-FB74-4366-8CC8-D84AEDC5BBBB} - D:\WINDOWS\System32\cmfe.dll (file missing)
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - D:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [WebSavingsfromEbates] javaw -cp "D:\Programme\WebSavingsfromEbates\System\Code" Main lp: "D:\Programme\WebSavingsfromEbates"
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2B98386E-4E4E-45F6-AA14-2957384E4760} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2B98386E-4E4E-45F6-AA14-2957384E4760} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O18 - Filter: text/html - {188242BB-0FD9-4599-A057-C1C08020C140} - D:\WINDOWS\System32\cmfe.dll
O18 - Filter: text/plain - {188242BB-0FD9-4599-A057-C1C08020C140} - D:\WINDOWS\System32\cmfe.dll

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loesche:
D:\WINDOWS\System32\WinNB57.dll
c:\ex.cab
c:\eied_s7.cab
D:\Programme\xp-AntiSpy (ist von einer Dialerseite geladen)
D:\Programme\WebSavingsfromEbates

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2005, 17:41
...neu hier

Themenstarter

Beiträge: 2
#3 Hi Sabina,

1000 Dank für deine Hilfe, werde versuchen mich durch deine Anweisungen durchzubeißen und mich wieder melden ob es geklappt hatt oder nicht.
Gruß DonDon
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: