Schon wieder TR/Dldr.Small.OR. Was ist fixen ? |
||
---|---|---|
#0
| ||
19.10.2005, 10:00
Member
Beiträge: 13 |
||
|
||
19.10.2005, 11:48
Ehrenmitglied
Beiträge: 29434 |
#2
#LSPfix.exe
http://www.spychecker.com/program/lspfix.html http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm "I know what I'm doing" bringe die pidlsp.dll von der linken auf die rechte Seite und loesche die dll Gehe in die Registry Start-->Ausfuehren--> regedit bearbeiten--> suchen--> {7FF23285-DBBC-49B6-818C-34AC459D5BB3} pidd.dll und loeschen [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid] @="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINNT\system32\pidd.dll O15 - Trusted Zone: *.personalid.de PC neustarten poste hier die 4 Logs (2 Monate vom Datum her reichen) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.10.2005, 18:44
Member
Themenstarter Beiträge: 13 |
#3
hallo sabina,
danke für die ausführliche mail. ich habe mir das fix-programm geholt. jetzt habe ich es ausgeführt mit "i know what i do", obwohl das eine mega-lüge ist. ich habe aber im linken fenster keine "pidslp.dll", die ich nach rechts ziehen kann zum löschen. da bin ich nun leider schon am ende. was ist denn nun das mittel der wahl ? schöne grüße sanftmut |
|
|
||
29.10.2005, 16:03
Ehrenmitglied
Beiträge: 29434 |
#4
schreibe mir bitte, welche dll du im Tool LSPfix siehst.
+ http://virus-protect.org/datfindbat.html kopiere die 4 Logs ab (3 Monate vom Datum her genuegen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 17:41
Member
Themenstarter Beiträge: 13 |
#5
hallo sabina,
ich sehe nun 5 einträge: rnr20.dll mit der deskription: tcp/ip winrnr.dll mit der deskription: ntds icslsp.dll (protocol handler) msafd.dll -"- rsvpsp.dll -"- welche 4 logs hätte ich kopieren sollen ? ich bin hier kurz vor dem verzweifeln. ich spüre, dass demnächst etwas dramatisch schlimmes mit dem rechner passieren wird. das disketten-laufwerk kann ich jetzt schon nicht mehr ansprechen. und die soundkarte ist auch nicht mehr da. ich habe furcht vor dem, was kommen wird. schöne grüße sanftmut |
|
|
||
01.11.2005, 19:04
Ehrenmitglied
Beiträge: 29434 |
#6
nun gut, wir schauen mal nach:
icslsp.dll ist der Uebeltaeter WinsockFix http://www.iup.edu/house/resnet/winfix.shtm Einfach die Datei downloaden, ausführen, auf FIX klicken, PC neu booten und schon läuft alles wieder. CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien kopiere hier die 4 Logs (nach Anweisung auf meiner Seite) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 20:39
Member
Themenstarter Beiträge: 13 |
#7
hallo,
ich hoffe, dass ich das alles richtig gemacht habe. hier sind die 4 logs: Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 70A9-7DBE Verzeichnis von C:\WINNT\system32 01.11.2005 20:03 17.145 nvapps.xml 01.11.2005 15:26 16.384 Perflib_Perfdata_2cc.dat 01.11.2005 08:21 16.384 Perflib_Perfdata_2c8.dat 31.10.2005 16:21 16.384 Perflib_Perfdata_2d0.dat 25.10.2005 16:18 16.384 Perflib_Perfdata_294.dat 25.10.2005 16:17 0 Perflib_Perfdata_fc.dat 25.10.2005 16:12 1.571 FoxyUninstall-xcMessenger.dat 25.10.2005 16:12 204.800 FoxyUninstall.exe 25.10.2005 16:12 79.168 FoxyUninstall-xcMessenger.bmp 25.10.2005 13:40 16.384 Perflib_Perfdata_2d4.dat 21.10.2005 07:17 16.384 Perflib_Perfdata_2c4.dat 20.10.2005 17:11 16.384 Perflib_Perfdata_2c0.dat 20.10.2005 17:04 16.384 Perflib_Perfdata_2d8.dat 20.10.2005 16:55 16.384 Perflib_Perfdata_c8.dat 20.10.2005 15:11 16.384 Perflib_Perfdata_2e0.dat 20.10.2005 10:56 16.384 Perflib_Perfdata_2f4.dat 19.10.2005 07:32 16.384 Perflib_Perfdata_2f0.dat 18.10.2005 19:31 5.618 jupdate-1.5.0_05-b05.log 18.10.2005 19:27 16.384 Perflib_Perfdata_6b0.dat 18.10.2005 14:12 316 results.txt 08.10.2005 18:37 123.392 rmoc3260.dll 08.10.2005 18:37 25.088 prefscpl.cpl 08.10.2005 18:37 5.632 pndx5032.dll 08.10.2005 18:37 6.656 pndx5016.dll 08.10.2005 18:37 278.528 pncrt.dll 26.08.2005 17:14 127.078 javaws.exe 26.08.2005 17:14 49.265 jpicpl32.cpl 26.08.2005 14:55 49.250 javaw.exe 26.08.2005 14:55 49.248 java.exe 27.05.2005 17:41 16.384 Perflib_Perfdata_568.dat 08.05.2005 13:19 33.785 Wnccdctl.dll Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 70A9-7DBE Verzeichnis von C:\DOKUME~1\JOACHI~1\LOKALE~1\Temp 01.11.2005 20:30 512 ~DFC79A.tmp 1 Datei(en) 512 Bytes 0 Verzeichnis(se), 12.126.134.272 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 70A9-7DBE Verzeichnis von C:\WINNT 01.11.2005 20:01 32.594 SchedLgU.Txt 18.10.2005 19:34 6.548 mozver.dat 18.10.2005 14:40 405.504 Westside.exe 07.06.2005 22:29 29 standard.sta Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 70A9-7DBE Verzeichnis von C:\ 01.11.2005 20:31 0 sys.txt 01.11.2005 20:30 4.422 system.txt 01.11.2005 20:30 303 systemtemp.txt 01.11.2005 20:29 93.859 system32.txt 01.11.2005 20:02 402.653.184 pagefile.sys 25.10.2005 16:13 2.282 http.txt 25.03.2005 16:00 1 AVPCallback.log ich habe jetzt mal das diskettenlaufwerk getestet. ich lege eine diskette ein. dann doppelklicke ich auf das laufwerk a im explorer. und dann kommt die meldung: "legen sie einen datenträger in laufwerk a ein ---- abbrechen". ist das jetzt so in ordnung ? oder ist vorher noch etwas anderes zu tun ? danke für die bisherige hilfe. sanftmut |
|
|
||
01.11.2005, 21:12
Ehrenmitglied
Beiträge: 29434 |
#8
loeschen:
C:\WINNT\Westside.exe C:\WINNT\system32\pidd.dll scanne mit Kaspersky und poste hier den Scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2005, 23:01
Member
Themenstarter Beiträge: 13 |
||
|
||
01.11.2005, 23:27
Ehrenmitglied
Beiträge: 29434 |
#10
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINNT\Westside.exe C:\WINNT\system32\pidd.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.11.2005, 07:08
Member
Themenstarter Beiträge: 13 |
#11
oje, oje,
es ist so ein hinterlistiger trojaner: wenn ich den kaspersky-report als bildschirmkopie in word einfüge, sehe ich ihn dort. wenn ich das gleiche hier mache, kommt dieser merkwürdige text: </Platform> </ErrorDetail> soll ich den report abschreiben per hand und hier herschreiben ? |
|
|
||
02.11.2005, 11:18
Ehrenmitglied
Beiträge: 29434 |
#12
du hast mir etwas vom Spamfighter abkopiert......es gibt eine Mail (02.11.2005 07:00:10), mit dem Titel:
Zitat Sueße Weltneuheit in limitierter Auflagefalls du die angeklickt hast und den Anhang, dann ist der Trojaner auf dem PC. schreib die Nachricht von Kaspersky ab...... + poste das Log von Winpfind http://virus-protect.org/winpfind.html und loesche: C:\WINNT\Westside.exe C:\WINNT\system32\pidd.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.11.2005, 23:35
Member
Themenstarter Beiträge: 13 |
#13
hallo,
die mail mit der süßen weltneuheit habe ich nicht gesehen und auch nicht geöffnet. im kaspersky steht: c:\explorer.cab\explorer.exe === is a trojan trojan-downloader.win32.small.or c:\explorer.cab\explorer.exe === object could not be disinfected, disinfection postponed c:\explorer.cab === is a trojan trojan-downloader.win32.small.or c:\programme\data becker\ebay superseller 2.0 easy\data\user.dat\data === password protected, has not been processed c:\explorer.cab\explorer.exe === is a trojan trojan-downloader.win32.small.or c:\explorer.cab === moved to the backup storage c:\explorer.cab\explorer.exe === deleted bei winpfind gehe ich im entzipper auf winpfind.exe. dann kommt die meldung "winpfind - file not found - ok". ich gehe dann auf ok und dann auf start scan. und dann kommt die meldung. "access violation at adress 0044DE27 in module "winpfind.exe". read of adress 00000004. -OK" was habe ich hier falsch gemacht ? C:\WINNT\Westside.exe habe ich gelöscht C:\WINNT\system32\pidd.dll habe ich nicht auf dem rechner gefunden. ich habe aber C:\WINNT\system32\pid.dll gefunden und diese gelöscht. wow, das ist doch viel umfangreicher, als ich befürchtet habe. ob wir das wohl noch ins klare bringen werden ? schöne grüße und danke für die bisherige hilfe sanftmut |
|
|
||
02.11.2005, 23:42
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat c:\explorer.cab\explorer.exe === deletedhttp://virus-protect.org/multiavtool.html scanne (3 Scanner) und poste die Scanreporte (oben, das habe ich geloescht...es waren zuviele persoenliche Daten von dir im Net ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.11.2005, 00:17
Member
Themenstarter Beiträge: 13 |
#15
mist,
da komme ich schon wieder nicht weiter. ich habe den download von multi-av gemacht. das öffnete aber nicht. dann habe ich mir winzip geholt. und dann habe ich unzip.exe ausgeführt. dann sehe ich kurz ein (leeres ?) dos-fenster. und dann passiert nichts mehr. welche der dateien im winzip-fenster muß ich denn ausführen ? das gibt es noch eine wget.exe und eine kix32.exe schöne grüße sanftmut ps.: danke für das löschen der persönlichen daten |
|
|
||
ich habe beim antivir die meldung bekommen, dass die explorer.cab verseucht ist.
dann habe ich gemacht, was ich machen soll: ich habe im netz recherchiert. dann habe ich die hijackthis-seite gefunden. und dann steht in der auswertung, dass ich verschiedenes "fixen" soll. aber da weiß ich nicht, wie ich das "fixen" mache. und da habe ich auch keine hinweise gefunden, die mir sagen, wie ich das gefahrlos machen könnte.
kann mir hier vielleicht jemand helfen ? ich will niemand mit dem alten thema nerven. ich habe alle einträge hier gesichtet. wenn ich alleine zurecht kommen würde, würde ich hier nicht posten.
vielen dank.
hier mein hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 09:46:56, on 19.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe
C:\WINNT\System32\svchost.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\taskmgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\JOACHI~1\LOKALE~1\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINNT\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe /minimize
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\pidlsp.dll
O15 - Trusted Zone: *.personalid.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe