Wie Trojaner TR/Dldr.Murlo.F entfernen? (nun mit HiJackThis Logfile)

#0
28.03.2005, 21:25
...neu hier

Beiträge: 2
#1 Moin,

bei meiner Schwester (Win XP SP1) hat Personal AntiVir den Trojaner TR/Dldr.Murlo.F gemeldet mit Hinweis auf die Datei C:\Windows\System32\mslce.dll (diese DLL habe ich unter WinXP SP1 nicht).

Der Schlingel ist wohl identisch mit dem Trojan-Downloader.Win32.Murlo.F (war auf irgendeiner Website zu lesen).

Meine weitere Suche im Internet gab immer nur Treffer zu ...Murlo.B

Meine Fragen:
1. Gibt es eine Anleitung/Tools zum Entfernen von Murlo.F ?
2. Hat der schon Schaden angerichtet (welchen: Password weitergegeben o.ae.) oder will der erst noch eine Schadroutine "downloaden (=dldr)" ?

(Bin naechste Woche bei meinem Schwesterchen und will den PC wieder i.O. bringen; bin selbst vom Fach: Dipl.-Inform. und aktiv in der Softwareentwicklung taetig und verstehe etwas Fachchinesich...)

Danke fuer Hilfe, Juergen.
Dieser Beitrag wurde am 31.03.2005 um 22:48 Uhr von jwa editiert.
Seitenanfang Seitenende
28.03.2005, 21:29
Member

Beiträge: 239
#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Rolfs
Seitenanfang Seitenende
28.03.2005, 21:36
...neu hier

Themenstarter

Beiträge: 2
#3 Na gehe ich mal die Tools suchen und eine CD zum Mitnehmen brennen... danke.

Uebrigens: Der befallene PC ist (hoffentlich) stets mit ZoneAlarm im Internet.

Und hier nach Scan + Fix mit AntiVir, Adaware, Spybot und CWShredder das Log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 21:55:36, on 31.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Software\Buero\openoffice\program\soffice.exe
C:\Programme\AVPersonal\AVGNT.EXE
G:\Software\Sicherheit\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\software\buero\adobread\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Name - {0B49E1B6-2822-4941-B074-8F9E87F51EAF} - C:\WINDOWS\System32\mslce.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Software\Buero\openoffice\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112222279593
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7C1F74-7FD1-4D98-87B8-70747E4D2D69}: NameServer = 69.50.188.180,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7C1F74-7FD1-4D98-87B8-70747E4D2D69}: NameServer = 69.50.188.180,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A7C1F74-7FD1-4D98-87B8-70747E4D2D69}: NameServer = 69.50.188.180,195.225.176.37
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffentlich guckt da ein Wissender mal drueber...

Danke, Juergen.
Dieser Beitrag wurde am 31.03.2005 um 22:03 Uhr von jwa editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: