TR/Small.azt.1 !! Ichhab diesen Trojaner, krieg ihn aber nicht gelöscht!

#0
07.07.2005, 21:46
...neu hier

Beiträge: 10
#1 Hallo! Seit 2 Tagen habe ich den Trojaner, TR/Small.azt.1, den mein Antivir auch erkennt, aber nicht gelöscht kriegt! Auch wenn ich auf Löschen klicke, bei jedem Neustart erscheint weider die Meldung von Antivir dass ich diesen Trojaner hätte! Ich kenne mich leider nicht so gut mir sowas aus, hab aber echt bedenken, da ich nicht weiss, was für ausmaßen das haben könnte! Ausserdem steht beim Antivir immer dass die datei DNVP.DLL als Trojaner erkannt wurde, falls das weiterhilft. Ich bin echt mit meinem Latein am Ende, aber Formatieren(was ich immer tu wenn ich nicht weiter weiss) kann ich derzeit leider nicht, darum wende ich mich hierher.
Ich hoffe, ihr könnt mir so schnell wie möglich helfen!
Im Voraus schonmal tausend Dank
Georg
Seitenanfang Seitenende
07.07.2005, 22:24
Moderator

Beiträge: 7805
#2 Test ie als Trojaner gemeldeten Dateien bitte mal hier:
http://virusscan.jotti.org/ , schreib, was die aneren AV-Programme ort melden und poste zusaetzlich noh ein Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.07.2005, 22:31
...neu hier

Themenstarter

Beiträge: 10
#3 also ich hab die datei eingegeben ind hab folgendes bekommen :

AntiVir Found TR/Small.azt.1
ArcaVir Found Trojan.Dumador.Cn
Avast Found Win32;)umador-G
AVG Antivirus Found nothing
BitDefender Found Backdoor.Dumador.CN
ClamAV Found Trojan.Dumador-32-1
Dr.Web Found BackDoor.Dumaru.13
F-Prot Antivirus Found W32/Dumador.V@bd
Fortinet Found W32/Dumador.CN-bdr
Kaspersky Anti-Virus Found Backdoor.Win32.Dumador.cn
NOD32 Found Win32/Dumador
Norman Virus Control Found nothing
UNA Found Backdoor.Dumador
VBA32 Found Backdoor.Win32.Dumador.cn

was kann ich jetzt damit machen?
Dieser Beitrag wurde am 07.07.2005 um 22:42 Uhr von bbman editiert.
Seitenanfang Seitenende
08.07.2005, 05:53
Moderator

Beiträge: 7805
#4 Poste ein Hijackthis log dazu.
Bedenke, das das ein Backdoor ist und du nicht genau weisst was er alles gemacht und ausspioniert hat. Du solltst zumindeest alle Pasworte aedern, wenn du ihn losgeworden bist!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.07.2005, 10:30
...neu hier

Themenstarter

Beiträge: 10
#5 aber was ist denn ein hijackthis log?
Seitenanfang Seitenende
08.07.2005, 11:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
08.07.2005, 11:38
...neu hier

Themenstarter

Beiträge: 10
#7 also hier ist der hijackthis log:

Logfile of HijackThis v1.99.0
Scan saved at 11:34:35, on 08.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
E:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\winldra.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BitTorrent\btdownloadgui.exe
C:\Dokumente und Einstellungen\Jamal\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [load32] C:\WINDOWS\system32\winldra.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [winldr] C:\WINDOWS\Rechnung.pdf.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4FA7E63-0645-4961-B342-2C4BEA638B43}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


und jetzt?
Seitenanfang Seitenende
08.07.2005, 11:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
08.07.2005, 13:30
...neu hier

Themenstarter

Beiträge: 10
#9 also pandasoftware hat nix gefunden, und den anweisingen bei dem ersten link hab ich befolgt und load32 halt gelöscht...aber tut mir leid, aber mit der rechnung.pdf.exe weiss ich irgendwie nixanzufangen.

Also trotzdem bis jetzt vielen dank! aber soll ich nochwas tun?
Seitenanfang Seitenende
08.07.2005, 14:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Information zur "Rechnung.pdf.exe
http://www.netzeitung.de/internet/viren/347109.html
Und wie entfernen
http://www.bsi.de/av/vb/ldp_ak.htm
__________
MfG Argus
Seitenanfang Seitenende
08.07.2005, 15:53
...neu hier

Themenstarter

Beiträge: 10
#11 jo aber das hab ich doch nicht oder?
Seitenanfang Seitenende
08.07.2005, 15:57
Member

Beiträge: 291
#12 Doch hast du, siehe hier:
O4 - HKCU\..\Run: [winldr] C:\WINDOWS\Rechnung.pdf.exe
Seitenanfang Seitenende
08.07.2005, 16:09
...neu hier

Themenstarter

Beiträge: 10
#13 also ich habs jetzt so gemacht wie es da stand, aber mein virusprogramm hats nicht gefunden.....was nun?? diese datei gehörte doch zur winldra.exe oder?? und das hab ich aber gelöscht..
Dieser Beitrag wurde am 08.07.2005 um 17:02 Uhr von bbman editiert.
Seitenanfang Seitenende
08.07.2005, 21:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
08.07.2005, 23:01
...neu hier

Themenstarter

Beiträge: 10
#15 dankeschön, mach ich auch ^^
sagt mal war es das jetzt oder muss ich nochwas machen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: