Schon wieder TR/Dldr.Small.OR. Was ist fixen ?

#1 Hallo.
ich habe beim antivir die meldung bekommen, dass die explorer.cab verseucht ist.

dann habe ich gemacht, was ich machen soll: ich habe im netz recherchiert. dann habe ich die hijackthis-seite gefunden. und dann steht in der auswertung, dass ich verschiedenes "fixen" soll. aber da weiß ich nicht, wie ich das "fixen" mache. und da habe ich auch keine hinweise gefunden, die mir sagen, wie ich das gefahrlos machen könnte.

kann mir hier vielleicht jemand helfen ? ich will niemand mit dem alten thema nerven. ich habe alle einträge hier gesichtet. wenn ich alleine zurecht kommen würde, würde ich hier nicht posten.
vielen dank.

hier mein hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 09:46:56, on 19.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe
C:\WINNT\System32\svchost.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\taskmgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\JOACHI~1\LOKALE~1\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINNT\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe /minimize
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O15 - Trusted Zone: *.personalid.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

#2 #LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
"I know what I'm doing"
bringe die pidlsp.dll
von der linken auf die rechte Seite und loesche die dll

Gehe in die Registry
Start-->Ausfuehren--> regedit

bearbeiten--> suchen-->
{7FF23285-DBBC-49B6-818C-34AC459D5BB3}
pidd.dll

und loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid]
@="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINNT\system32\pidd.dll
O15 - Trusted Zone: *.personalid.de

PC neustarten

poste hier die 4 Logs (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo sabina,

danke für die ausführliche mail.

ich habe mir das fix-programm geholt. jetzt habe ich es ausgeführt mit "i know what i do", obwohl das eine mega-lüge ist.

ich habe aber im linken fenster keine "pidslp.dll", die ich nach rechts ziehen kann zum löschen.

da bin ich nun leider schon am ende.

was ist denn nun das mittel der wahl ?

schöne grüße
sanftmut

#4 schreibe mir bitte, welche dll du im Tool LSPfix siehst.
+
http://virus-protect.org/datfindbat.html
kopiere die 4 Logs ab (3 Monate vom Datum her genuegen)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hallo sabina,

ich sehe nun 5 einträge:

rnr20.dll mit der deskription: tcp/ip
winrnr.dll mit der deskription: ntds
icslsp.dll (protocol handler)
msafd.dll -"-
rsvpsp.dll -"-

welche 4 logs hätte ich kopieren sollen ?

ich bin hier kurz vor dem verzweifeln. ich spüre, dass demnächst etwas dramatisch schlimmes mit dem rechner passieren wird. das disketten-laufwerk kann ich jetzt schon nicht mehr ansprechen. und die soundkarte ist auch nicht mehr da.

ich habe furcht vor dem, was kommen wird.

schöne grüße
sanftmut

#6 nun gut, wir schauen mal nach:

icslsp.dll ist der Uebeltaeter

WinsockFix
http://www.iup.edu/house/resnet/winfix.shtm
Einfach die Datei downloaden, ausführen, auf FIX klicken, PC neu booten und schon läuft alles wieder.

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien


kopiere hier die 4 Logs (nach Anweisung auf meiner Seite)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo,

ich hoffe, dass ich das alles richtig gemacht habe.

hier sind die 4 logs:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 70A9-7DBE

Verzeichnis von C:\WINNT\system32

01.11.2005 20:03 17.145 nvapps.xml
01.11.2005 15:26 16.384 Perflib_Perfdata_2cc.dat
01.11.2005 08:21 16.384 Perflib_Perfdata_2c8.dat
31.10.2005 16:21 16.384 Perflib_Perfdata_2d0.dat
25.10.2005 16:18 16.384 Perflib_Perfdata_294.dat
25.10.2005 16:17 0 Perflib_Perfdata_fc.dat
25.10.2005 16:12 1.571 FoxyUninstall-xcMessenger.dat
25.10.2005 16:12 204.800 FoxyUninstall.exe
25.10.2005 16:12 79.168 FoxyUninstall-xcMessenger.bmp
25.10.2005 13:40 16.384 Perflib_Perfdata_2d4.dat
21.10.2005 07:17 16.384 Perflib_Perfdata_2c4.dat
20.10.2005 17:11 16.384 Perflib_Perfdata_2c0.dat
20.10.2005 17:04 16.384 Perflib_Perfdata_2d8.dat
20.10.2005 16:55 16.384 Perflib_Perfdata_c8.dat
20.10.2005 15:11 16.384 Perflib_Perfdata_2e0.dat
20.10.2005 10:56 16.384 Perflib_Perfdata_2f4.dat
19.10.2005 07:32 16.384 Perflib_Perfdata_2f0.dat
18.10.2005 19:31 5.618 jupdate-1.5.0_05-b05.log
18.10.2005 19:27 16.384 Perflib_Perfdata_6b0.dat
18.10.2005 14:12 316 results.txt
08.10.2005 18:37 123.392 rmoc3260.dll
08.10.2005 18:37 25.088 prefscpl.cpl
08.10.2005 18:37 5.632 pndx5032.dll
08.10.2005 18:37 6.656 pndx5016.dll
08.10.2005 18:37 278.528 pncrt.dll
26.08.2005 17:14 127.078 javaws.exe
26.08.2005 17:14 49.265 jpicpl32.cpl
26.08.2005 14:55 49.250 javaw.exe
26.08.2005 14:55 49.248 java.exe
27.05.2005 17:41 16.384 Perflib_Perfdata_568.dat
08.05.2005 13:19 33.785 Wnccdctl.dll



Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 70A9-7DBE

Verzeichnis von C:\DOKUME~1\JOACHI~1\LOKALE~1\Temp

01.11.2005 20:30 512 ~DFC79A.tmp
1 Datei(en) 512 Bytes
0 Verzeichnis(se), 12.126.134.272 Bytes frei



Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 70A9-7DBE

Verzeichnis von C:\WINNT

01.11.2005 20:01 32.594 SchedLgU.Txt
18.10.2005 19:34 6.548 mozver.dat
18.10.2005 14:40 405.504 Westside.exe
07.06.2005 22:29 29 standard.sta



Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 70A9-7DBE

Verzeichnis von C:\

01.11.2005 20:31 0 sys.txt
01.11.2005 20:30 4.422 system.txt
01.11.2005 20:30 303 systemtemp.txt
01.11.2005 20:29 93.859 system32.txt
01.11.2005 20:02 402.653.184 pagefile.sys
25.10.2005 16:13 2.282 http.txt
25.03.2005 16:00 1 AVPCallback.log


ich habe jetzt mal das diskettenlaufwerk getestet. ich lege eine diskette ein. dann doppelklicke ich auf das laufwerk a im explorer. und dann kommt die meldung: "legen sie einen datenträger in laufwerk a ein ---- abbrechen".
ist das jetzt so in ordnung ? oder ist vorher noch etwas anderes zu tun ?

danke für die bisherige hilfe.
sanftmut

#8 loeschen:
C:\WINNT\Westside.exe
C:\WINNT\system32\pidd.dll

scanne mit Kaspersky und poste hier den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 wie lösche ich die beiden datein ?

im dos-fenster ?

mit welchem befehl ?

#10 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINNT\Westside.exe
C:\WINNT\system32\pidd.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#11 oje, oje,

es ist so ein hinterlistiger trojaner:

wenn ich den kaspersky-report als bildschirmkopie in word einfüge, sehe ich ihn dort. wenn ich das gleiche hier mache, kommt dieser merkwürdige text:


</Platform>
</ErrorDetail>

soll ich den report abschreiben per hand und hier herschreiben ?

#12 du hast mir etwas vom Spamfighter abkopiert......es gibt eine Mail (02.11.2005 07:00:10), mit dem Titel:

Zitat

Sueße Weltneuheit in limitierter Auflage

falls du die angeklickt hast und den Anhang, dann ist der Trojaner auf dem PC.

schreib die Nachricht von Kaspersky ab......
+
poste das Log von Winpfind
http://virus-protect.org/winpfind.html

und loesche:
C:\WINNT\Westside.exe
C:\WINNT\system32\pidd.dll
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo,

die mail mit der süßen weltneuheit habe ich nicht gesehen und auch nicht geöffnet.

im kaspersky steht:
c:\explorer.cab\explorer.exe === is a trojan trojan-downloader.win32.small.or
c:\explorer.cab\explorer.exe === object could not be disinfected, disinfection postponed
c:\explorer.cab === is a trojan trojan-downloader.win32.small.or
c:\programme\data becker\ebay superseller 2.0 easy\data\user.dat\data === password protected, has not been processed
c:\explorer.cab\explorer.exe === is a trojan trojan-downloader.win32.small.or
c:\explorer.cab === moved to the backup storage
c:\explorer.cab\explorer.exe === deleted

bei winpfind gehe ich im entzipper auf winpfind.exe. dann kommt die meldung "winpfind - file not found - ok". ich gehe dann auf ok und dann auf start scan. und dann kommt die meldung. "access violation at adress 0044DE27 in module "winpfind.exe". read of adress 00000004. -OK"
was habe ich hier falsch gemacht ?

C:\WINNT\Westside.exe habe ich gelöscht

C:\WINNT\system32\pidd.dll habe ich nicht auf dem rechner gefunden. ich habe aber C:\WINNT\system32\pid.dll gefunden und diese gelöscht.

wow, das ist doch viel umfangreicher, als ich befürchtet habe.

ob wir das wohl noch ins klare bringen werden ?

schöne grüße und danke für die bisherige hilfe
sanftmut

#14

Zitat

c:\explorer.cab\explorer.exe === deleted

http://virus-protect.org/multiavtool.html
scanne (3 Scanner) und poste die Scanreporte

(oben, das habe ich geloescht...es waren zuviele persoenliche Daten von dir im Net )
__________
MfG Sabina

rund um die PC-Sicherheit

#15 mist,
da komme ich schon wieder nicht weiter.

ich habe den download von multi-av gemacht. das öffnete aber nicht. dann habe ich mir winzip geholt. und dann habe ich unzip.exe ausgeführt. dann sehe ich kurz ein (leeres ?) dos-fenster.
und dann passiert nichts mehr.

welche der dateien im winzip-fenster muß ich denn ausführen ? das gibt es noch eine wget.exe und eine kix32.exe

schöne grüße
sanftmut

ps.: danke für das löschen der persönlichen daten