Trojaner eingefangen (TR/Dldr.Dyfuca.ds oder so ähnlich)

#0
26.09.2005, 14:59
...neu hier

Beiträge: 1
#1 Hallo zusammen,

vielleicht könnt ihr mir helfen. Eine Freundin hat sich (wahrscheinlich) über den Internet-Explorer eine (vermeintliche) Musikdatei auf den Rechner (Betriebssystem: Windows ME) heruntergeladen. Das Virenprogramm hat einen Trojaner gefunden, mit dem es aber nicht fertig wird.

Ad-Aware: findet nur Tracking Cookies
Spybot: findet nur Tracking Cookies
Anti-Vir (aktuellste Version): findet
- 23. September 9.44 Uhr
Gefundene: 2 Gelöscht: 2 Letzer Fund: TR/Dldr.Dyfuca.ds
- 23. September 21.41 Uhr
Gefundene: 6 Gelöscht: 5 Letzer Fund: TR/Dldr.lstBar.GF
- 23. September 22.57 Uhr
Gefundene: 8 Gelöscht: 1 Letzer Fund: DIAL/Generic
- 23. September 21.41 Uhr
Gefundene: 6 Gelöscht: 5 Letzer Fund: TR/Dldr.lstBar.GF
- 25. September 10.59 Uhr
Gefundene: 1 Gelöscht: - Letzer Fund: TR/Dldr.lstBar.AS

Wie äußert sich der Trojaner/Virus bisher? Ab und an stürzt der Computer ab, beim Hochfahren der Rechner kam bisher dreimal die Meldung: "Das System ist überlastet" und der Internet Explorer funktioniert nicht immer 100% (ist ja auch ein Schei...).

Ich habe auch mal HijackThis drüber laufen lassen. Hier kommt das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:03:52, on 26.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\SLYSOFT\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\CASIO\PHOTO LOADER\PLAUTO.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OPERA7.23\OPERA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/
F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\GMX Programme\cFos\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [TVgenial] C:\PROGRAMME\TVGENIAL\TVGENIAL.EXE -d
O4 - Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .PNG: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com
O16 - DPF: {F5078F19-C551-11D3-89B9-0000F81FE221} (XML Parser) - h**p://cm4all02.kundenserver.de/app/static/activex/msxml3.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - h**p://www.ysbweb.com/ist/softwares/v4.0/ysb_1002245.cab
(Die Links habe ich editiert)

Was kann man machen? Weiß jemand Rat?

Viele Grüße
Fischgesicht
Dieser Beitrag wurde am 26.09.2005 um 15:07 Uhr von Fischgesicht editiert.
Seitenanfang Seitenende
26.09.2005, 15:35
Member
Avatar Gool

Beiträge: 4730
#2 Ich sehe im HJT-Log keine Infektion.

Bitte mache mal einen Scan mit eScanCheck:
http://managor.de/security_4.htm

Poste das Ergebnis.

btw ist die Müll Edition von Windows noch auf die sehr unstabile 9x-Kernel aufgebaut, sollte also sowieso alle naslang mal neu installiert werden. Und Opera ist inzwischen in der Version 8.5 erschienen (komplett kostenlos, also ohne Werbebanner etc.)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende