TR/Drop.Small.WV - Trojanisches Pferd- Entfernen? |
||
---|---|---|
#0
| ||
25.05.2005, 17:35
...neu hier
Beiträge: 3 |
||
|
||
25.05.2005, 19:25
Member
Beiträge: 291 |
#2
Geh am besten erst mal diese Tipps durch:
http://board.protecus.de/t12578.htm Hatte vorhin diesen Link vergessen: http://home.arcor.de/malkesh/anleitung.htm Dieser Beitrag wurde am 25.05.2005 um 19:31 Uhr von vfgt editiert.
|
|
|
||
25.05.2005, 19:26
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@Sunnyboy
gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Antivirus konfigurieren: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien dann poste mir bitte den Report vom Scan + HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.05.2005, 15:37
...neu hier
Themenstarter Beiträge: 3 |
#4
@ Sabina
Ich hoffe, ich habe das Problem gelöst, zumindest findet Antivir XP den Virus nicht mehr, und auch wenn ich manuell die Dateien durchsuche, ist nichts mehr zu finden. Das einzige was mir noch komisch erscheint ist, dass mein Desktop immer noch nicht wieder da ist. Ich habe immer noch einen blauen Hintergrund mit der Windows Error-Meldung! Aber hier nun mein Hijack-This log: Logfile of HijackThis v1.99.1 Scan saved at 15:32:05, on 27.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe C:\WINDOWS\System32\??erinit.exe C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\elca.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Dokumente und Einstellungen\Bastian\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://coolwebsearch.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://coolwebsearch.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://coolwebsearch.info R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://coolwebsearch.info R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://coolwebsearch.info O1 - Hosts: 66.159.20.52 www1.ndhosting.com O1 - Hosts: 66.159.20.52 www3.ndhosting.com O1 - Hosts: 66.159.20.52 www2.ndhosting.com O1 - Hosts: 66.159.20.52 www.ndhosting.com O1 - Hosts: 66.159.20.52 www.kinghost.com O1 - Hosts: 66.159.20.52 kinghost.com O1 - Hosts: 66.159.20.52 www1.kinghost.com O1 - Hosts: 66.159.20.52 www2.kinghost.com O1 - Hosts: 66.159.20.52 www3.kinghost.com O1 - Hosts: 66.159.20.52 www4.kinghost.com O1 - Hosts: 66.159.20.52 www5.kinghost.com O1 - Hosts: 66.159.20.52 www6.kinghost.com O1 - Hosts: 66.159.20.52 www7.kinghost.com O1 - Hosts: 66.159.20.52 www8.kinghost.com O1 - Hosts: 66.159.20.52 www9.kinghost.com O1 - Hosts: 66.159.20.52 www10.kinghost.com O1 - Hosts: 66.159.20.52 www.smutserver.com O1 - Hosts: 66.159.20.52 smutserver.com O1 - Hosts: 66.159.20.52 www1.smutserver.com O1 - Hosts: 66.159.20.52 www2.smutserver.com O1 - Hosts: 66.159.20.52 www16.smutserver.com O1 - Hosts: 66.159.20.52 www3.smutserver.com O1 - Hosts: 66.159.20.52 www4.smutserver.com O1 - Hosts: 66.159.20.52 www5.smutserver.com O1 - Hosts: 66.159.20.52 www6.smutserver.com O1 - Hosts: 66.159.20.52 www7.smutserver.com O1 - Hosts: 66.159.20.52 www8.smutserver.com O1 - Hosts: 66.159.20.52 www9.smutserver.com O1 - Hosts: 66.159.20.52 www10.smutserver.com O1 - Hosts: 66.159.20.52 www11.smutserver.com O1 - Hosts: 66.159.20.52 www12.smutserver O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [websx] C:\Programme\websx\int339890.exe -auto O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O4 - HKCU\..\Run: [Jxlwyf] C:\WINDOWS\System32\??erinit.exe O4 - HKCU\..\Run: [Wttt] C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\elca.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 67.19.178.84 O15 - Trusted IP range: 67.19.178.84 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ich hoffe wirklich, das ich ihn entfernt habe. gruß Sunnyboy |
|
|
||
28.05.2005, 00:03
Ehrenmitglied
Beiträge: 29434 |
#5
Gehe in die Registry
Start-->Ausfuehren--> regedit Troj/Dloader-FC kopiert sich in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er bei der Anmeldung automatisch gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ System = mit rechtsklick loeschen, falls es da ist. C:\WINDOWS\System32\kernels32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ SystemTools = C:\WINDOWS\System32\kernels32.exe Troj/Dloader-FC ändert die folgenden Registrierungseinträge: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = "Explorer.exe loeschen, falls es da ist; C:\WINDOWS\System32\kernels32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr = "1" --> in "0" aendern #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://coolwebsearch.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://coolwebsearch.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://coolwebsearch.info R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://coolwebsearch.info R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://coolwebsearch.info O1 - Hosts: 66.159.20.52 www1.ndhosting.com O1 - Hosts: 66.159.20.52 www3.ndhosting.com O1 - Hosts: 66.159.20.52 www2.ndhosting.com O1 - Hosts: 66.159.20.52 www.ndhosting.com O1 - Hosts: 66.159.20.52 www.kinghost.com O1 - Hosts: 66.159.20.52 kinghost.com O1 - Hosts: 66.159.20.52 www1.kinghost.com O1 - Hosts: 66.159.20.52 www2.kinghost.com O1 - Hosts: 66.159.20.52 www3.kinghost.com O1 - Hosts: 66.159.20.52 www4.kinghost.com O1 - Hosts: 66.159.20.52 www5.kinghost.com O1 - Hosts: 66.159.20.52 www6.kinghost.com O1 - Hosts: 66.159.20.52 www7.kinghost.com O1 - Hosts: 66.159.20.52 www8.kinghost.com O1 - Hosts: 66.159.20.52 www9.kinghost.com O1 - Hosts: 66.159.20.52 www10.kinghost.com O1 - Hosts: 66.159.20.52 www.smutserver.com O1 - Hosts: 66.159.20.52 smutserver.com O1 - Hosts: 66.159.20.52 www1.smutserver.com O1 - Hosts: 66.159.20.52 www2.smutserver.com O1 - Hosts: 66.159.20.52 www16.smutserver.com O1 - Hosts: 66.159.20.52 www3.smutserver.com O1 - Hosts: 66.159.20.52 www4.smutserver.com O1 - Hosts: 66.159.20.52 www5.smutserver.com O1 - Hosts: 66.159.20.52 www6.smutserver.com O1 - Hosts: 66.159.20.52 www7.smutserver.com O1 - Hosts: 66.159.20.52 www8.smutserver.com O1 - Hosts: 66.159.20.52 www9.smutserver.com O1 - Hosts: 66.159.20.52 www10.smutserver.com O1 - Hosts: 66.159.20.52 www11.smutserver.com O1 - Hosts: 66.159.20.52 www12.smutserver O4 - HKLM\..\Run: [websx] C:\Programme\websx\int339890.exe -auto O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [Jxlwyf] C:\WINDOWS\System32\??erinit.exe O4 - HKCU\..\Run: [Wttt] C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\elca.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\??erinit.exe C:\Programme\websx\int339890.exe C:\Programme\websx C:\WINDOWS\System32\kernels32.exe C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\elca.exe PC neustarten C:\Programme\websx <--loeschen •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost öffne den Editor und kopiere rein: del c:\*.tmp del %temp%\*.tmp /f del %windir%\prefetch\*.* del %windir%\temp\*.* /f del C:\dokumente und Einstellungen\*\lokale Einstellungen\temp\*.* /f "Speichern unter" -- auf dem Desktop als: clean.bat als: "alle Dateien". Doppelklick aud die "clean.bat" file . CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein •CWShredder http://virus-protect.org/antispywaretools.html das Programm (im abgesicherten Modus) ausführen. * Double-click on CWShredder.exe. WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! * Click "Fix ->" und click "OK" * CWShredder scannen lassen •AboutBuster http://virus-protect.org/antispywaretools.html Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen. Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst (auch wenn es lange dauert)--->poste C:\log.txt mache alle Onlinescans (die irgend funktionieren, vor allem den Panda (falls dein Antivirus "meckert"--> nicht beachten und poste, was gefunden wurde+ das neue Log vom HijackTHis http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe seit heute das Trojanische Pferd TR/Drop.Small.WV auf meinem Rechner und bekomme langsam die Krise!!!
Mein Desktop ist verschwunden und ich habe ein Windows Error mittendrauf!
Sämtliche Removal-Tools (Sober, Mydoom etc.) haben es nicht entfernen können!
Kann mir irgendeiner helfen?
Ach ja, AntiVir XP erkennt das trojanische Pferd immer und will es löschen, doch macht es nicht, da ich immer wider diese Meldung bekomme!
gruß Sunnyboy