Trojaner TR/Dldr.Agent.uj.1 läßt sich nicht löschen

#16 Sarasara

es ist alles wieder in bester Ordnung . Deinstalliere ewido wieder. Surfe mit mehr Vorsicht...meide gewisse Seiten.
Installiere Firefox und surfe nur noch mit ihm
http://virus-protect.org/firefox.html

Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabine,
nochmal ganz herzlichen Dank für deine schnelle und kompetente Hilfe !!!
Würde, wenn möglich doch noch gerne wissen, was das für ein Trojaner war und welchen Schaden der genau anrichtet. Hatte bis dato noch nie solche Probleme und werde aufpassen, dass das nicht wieder passiert!
MfG Sarasara

#18 Ein Fan dieses Forums (ME) sieht sich gezwungen zum selben Thema zu nerven.
TR/Dldr.Agent.uj.1

das selbe Problem und Null-Ahnung wie ich ihn klein bekomme.

Zudem scheint mein Rechner ziehmlich verseucht zu sein. Trotz Spybot und Antivir.
Hat jemand Zeit mir zu helfen ?
Danke

#19 Leyje

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Die Antwort hier kam aber wie aus der Kanone. Danke!

Dann hoffe ich mal das ich das nun richtig gemacht habe
(Habe oft als DAU fungiert.)



Logfile of HijackThis v1.99.1
Scan saved at 16:55:42, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Ideazon\Zboard Software\Driver\ZboardTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
D:\Ideazon\Zboard Software\Driver\Zboard.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HJT\HijackThis.exe

R3 - URLSearchHook: (no name) - {CBDFB6A8-8B5E-7BB9-2BB0-F315C382B500} - stuffmon.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - C:\WINDOWS\System32\pekgea.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHelper - {7576af59-76ba-46fc-9876-624f1814d885} - C:\WINDOWS\System32\Q2497828.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Upgrade Sarvice] C:\WINDOWS\sxchost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server
O4 - HKCU\..\Run: [Trayz] ssweeper.exe
O4 - HKCU\..\Run: [br0ken] driver32.exe
O4 - HKCU\..\Run: [NSYSCPLSTR] stuffmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} (Launcher Control) - https://horizons.eu.istaria.com/controls/launcher.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135383880609
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CCE15A1-AF94-41D7-AC98-E11E62D6B41C}: NameServer = 85.255.115.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{9106E3B7-2E44-4C42-8DA5-D7E5C3FD54D5}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B42153A-5C4E-4DB3-8507-E0AB2F85E80D}: NameServer = 85.255.115.107
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107
O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: A8AA-CD46

Verzeichnis von C:\

12.04.2006 16:28 0 sys.txt
12.04.2006 16:28 8.634 system.txt
12.04.2006 16:27 134 systemtemp.txt
12.04.2006 16:27 99.806 system32.txt
12.04.2006 16:26 135.901 errlgr.txt
12.04.2006 16:26 805.306.368 pagefile.sys
08.04.2006 05:03 160 TO_InstallLog.txt
08.04.2006 04:47 211 boot.ini
21.03.2006 23:30 1.555 TDSLCheck.txt

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: A8AA-CD46

Verzeichnis von C:\WINDOWS

12.04.2006 16:27 0 0.log
12.04.2006 16:27 1.674.624 WindowsUpdate.log
12.04.2006 16:26 2.048 bootstat.dat
12.04.2006 16:25 32.632 SchedLgU.Txt
12.04.2006 16:21 30.663 setupact.log
12.04.2006 16:19 3.031 KB911562.log
12.04.2006 16:18 673 win.ini
12.04.2006 16:18 5.488 KB911567.log
12.04.2006 16:13 603.242 ntbtlog.txt
12.04.2006 09:29 116 NeroDigital.ini
11.04.2006 22:04 54.156 QTFont.qfn
08.04.2006 04:56 606.380 setupapi.log
08.04.2006 04:47 227 system.ini
04.04.2006 22:33 182.001 wmsetup.log
17.02.2006 17:07 29.930 spupdsvc.log
17.02.2006 00:46 1.374 imsins.log
17.02.2006 00:46 104.865 iis6.log
17.02.2006 00:46 249.536 comsetup.log
17.02.2006 00:46 303.413 tsoc.log
17.02.2006 00:46 158.240 ntdtcsetup.log
17.02.2006 00:46 37.484 ocmsn.log
17.02.2006 00:46 10.617 KB911927.log
17.02.2006 00:46 453.299 ocgen.log
17.02.2006 00:46 38.580 msgsocm.log
17.02.2006 00:46 707.088 FaxSetup.log
17.02.2006 00:46 25.708 updspapi.log
17.02.2006 00:46 5.542 KB911564.log
17.02.2006 00:46 6.019 KB911565.log
17.02.2006 00:46 6.632 KB913446.log
06.02.2006 17:44 2.428 mozver.dat
30.01.2006 09:12 459 wmsetup10.log
30.01.2006 09:10 316.640 WMSysPr9.prx
27.01.2006 06:13 178.997 DirectX.log
26.01.2006 04:11 0 nsreg.dat
26.01.2006 04:07 107.132 UninstallFirefox.exe
13.01.2006 17:19 11.041 KB912919.log
13.01.2006 17:19 10.160 KB908519.log
01.01.2006 19:01 1.812 regopt.log
21.12.2005 03:12 4.395 rdt.ini
15.12.2005 07:00 10.406 KB910437.log
15.12.2005 07:00 16.284 KB905915.log

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: A8AA-CD46

Verzeichnis von C:\WINDOWS\system32

12.04.2006 16:10 1.884 ikhcore.log
11.04.2006 13:03 12.598 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
27.03.2006 18:35 401.064 perfh009.dat
27.03.2006 18:35 415.470 perfh007.dat
27.03.2006 18:35 62.344 perfc009.dat
27.03.2006 18:35 966.250 PerfStringBackup.INI
27.03.2006 18:35 74.996 perfc007.dat
28.02.2006 08:42 7.006 jupdate-1.5.0_06-b05.log
06.02.2006 17:41 176.167 rmoc3260.dll
06.02.2006 17:41 5.632 pndx5032.dll
06.02.2006 17:41 6.656 pndx5016.dll
06.02.2006 17:41 278.528 pncrt.dll
30.01.2006 09:10 16.832 amcompat.tlb
30.01.2006 09:10 23.392 nscompat.tlb
26.01.2006 09:57 520.192 ati2sgag.exe
25.01.2006 05:52 255.488 ati2dvag.dll
25.01.2006 05:47 114.688 atipdlxx.dll
25.01.2006 05:47 77.824 Oemdspif.dll
25.01.2006 05:46 26.112 Ati2mdxx.exe
25.01.2006 05:46 41.472 ati2edxx.dll
25.01.2006 05:46 61.440 ati2evxx.dll
25.01.2006 05:45 405.504 ati2evxx.exe
25.01.2006 05:44 53.248 ATIDDC.DLL
25.01.2006 05:36 2.604.128 ati3duag.dll
25.01.2006 05:30 6.684.672 atioglx1.dll
25.01.2006 05:30 860.192 ativvaxx.dll
25.01.2006 05:28 307.200 atiiiexx.dll
25.01.2006 05:16 151.552 atikvmag.dll
25.01.2006 05:16 17.408 atitvo32.dll
25.01.2006 05:13 5.115.904 atioglxx.dll
25.01.2006 05:10 258.048 ati2cqag.dll
25.01.2006 04:29 282.624 ATIDEMGR.dll
18.01.2006 14:05 57.344 avsda.dll
14.01.2006 02:43 115.445 NULL
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
11.12.2005 16:20 4.984 close.bmp
11.12.2005 16:20 19.712 insurance.bmp
11.12.2005 16:20 11.772 spyware.bmp
11.12.2005 16:20 21.224 xxx.bmp
11.12.2005 16:20 21.872 pharmacy.bmp
11.12.2005 16:20 21.872 dating.bmp
11.12.2005 16:20 23.480 gambling.bmp
11.12.2005 16:20 387 idesk.conf
09.12.2005 00:01 112.421 atiicdxx.dat
06.12.2005 07:02 5.533.696 wmp.dll
02.12.2005 20:20 6.005 atifglpf.xml
01.12.2005 05:31 1.492.480 shdocvw.dll

2042 Datei(en) 429.655.723 Bytes
0 Verzeichnis(se), 4.240.543.744 Bytes frei

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: A8AA-CD46

Verzeichnis von C:\DOKUME~1\Leyje\LOKALE~1\Temp

#21 meine Antwort war schnell aber deine leider unvollstaendig..wo sind die 4 Logs von datfindbat ?

+ poste auch dieses log:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop
__________
MfG Sabina

rund um die PC-Sicherheit

#22 hmm .. da hatte ich wohl was falsch verstanden .. die vier Dateien sind oben angefügt und das andere Ergebnis nun hier unten


04/12/06 18:55:19 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 18:55:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 18:55:19 [Note]: 7019 4
04/12/06 18:55:19 [Note]: 7005 0
04/12/06 18:55:26 [Note]: 7006 0
04/12/06 18:55:26 [Note]: 7011 1324
04/12/06 18:55:27 [Note]: 7026 0
04/12/06 18:55:27 [Note]: 7026 0
04/12/06 18:55:27 [Note]: FSRAW library version 1.7.1015
04/12/06 18:55:43 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 18:55:43 [Note]: 10002 1
04/12/06 18:55:44 [Info]: Hidden file: C:\WINDOWS\system32\csdvd.exe
04/12/06 18:55:44 [Note]: 7002 32
04/12/06 18:55:44 [Note]: 7003 1
04/12/06 18:55:44 [Note]: 10002 1
04/12/06 18:55:44 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 18:55:44 [Note]: 10002 1
04/12/06 18:56:27 [Note]: 7007 0

Danke

#23 Leyje

was ist das fuer ein Tool ??

O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server

------------------------------------------------------------------------------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{CBDFB6A8-8B5E-7BB9-2BB0-F315C382B500}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\rdt.ini
C:\WINDOWS\sdsini.ini
C:\WINDOWS\system32\csdvd.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\winupd.exe
C:\WINDOWS\sxchost.exe
C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\system32\atiicdxx.dat
C:\WINDOWS\system32\atifglpf.xml

klicke auf die gruene Ampel
das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

poste mir unbedingt den scanreport vom Avenger !!

------------------------------------------------------------------------------
3.
es kann sein, dass du nach neustart eine neue Internetverbindung erstellen musst

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {CBDFB6A8-8B5E-7BB9-2BB0-F315C382B500} - stuffmon.dll (file missing)
O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - C:\WINDOWS\System32\pekgea.dll (file missing)
O2 - BHO: IEHelper - {7576af59-76ba-46fc-9876-624f1814d885} - C:\WINDOWS\System32\Q2497828.dll (file missing)
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Upgrade Sarvice] C:\WINDOWS\sxchost.exe
O4 - HKCU\..\Run: [Trayz] ssweeper.exe
O4 - HKCU\..\Run: [br0ken] driver32.exe
O4 - HKCU\..\Run: [NSYSCPLSTR] stuffmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CCE15A1-AF94-41D7-AC98-E11E62D6B41C}: NameServer = 85.255.115.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B42153A-5C4E-4DB3-8507-E0AB2F85E80D}: NameServer = 85.255.115.107
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107

PC neustarten

4.
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

-----------------------
5.
smitRem
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

6.
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

**
Die Datei "fixme.reg" auf dem Desktop doppelklicken ud der Registry beifugen

**
- * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

----------------------
7.
C:\Programme\UnSpyPC --> deinstallieren und alles loeschen (falls es vorhanden ist.....)

----------------------
boote wieder in den Normalmodus

7.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

------------------------------------------------------------------------

Troj/Tofger-I
http://www.sophos.de/virusinfo/analyses/trojtofgeri.html

Troj/Tofger-U
http://www.sophos.de/virusinfo/analyses/trojtofgeru.html

Die Trojaner-Komponente zum Speichern von Tastenfolgen registriert sich als Dienstprozess und löscht alle URL-Einträge im Cache-Speicher. Sie speichert dann Tastenfolgen, den Inhalt der Zwischenablage und Daten, die sie in bestimmten Fenstern gefunden hat, in einer Datei im Windows-Ordner namens SDSINI.INI.

**
__________
MfG Sabina

rund um die PC-Sicherheit

#24 --> D:\Two Degrees\Two Degrees.exe <-- ich habe nicht den geringsten Schimmer...kann es sein das es ein Virenscannprogramm ist? Finden kann ich es auf der D: Partition nicht mehr. Ein Bekannter hat sich ja hier am Rechner schon die Zähne an diesem Teil ausgebrochen und ist geflohen.


Text in den Editor (Start - Zubehör - Editor) : Kein Editor!

mit dem txt Editor gehts nicht , wenn ich das richtig erfasst habe:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\defmwtcl

*******************

Script file located at: ltdxjexr

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

-->!! Nachtrag: Editor organisiert.

Ergebnis:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gghwokcu

*******************

Script file located at: \??\C:\WINDOWS\ihvucmpd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\rdt.ini deleted successfully.
File C:\WINDOWS\sdsini.ini deleted successfully.


File C:\WINDOWS\system32\csdvd.exe not found!
Deletion of file C:\WINDOWS\system32\csdvd.exe failed!

Could not process line:
C:\WINDOWS\system32\csdvd.exe
Status: 0xc0000034

File C:\WINDOWS\system32\filesafer23.exe deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.


File C:\WINDOWS\winupd.exe not found!
Deletion of file C:\WINDOWS\winupd.exe failed!

Could not process line:
C:\WINDOWS\winupd.exe
Status: 0xc0000034



File C:\WINDOWS\sxchost.exe not found!
Deletion of file C:\WINDOWS\sxchost.exe failed!

Could not process line:
C:\WINDOWS\sxchost.exe
Status: 0xc0000034

File C:\WINDOWS\system32\close.bmp deleted successfully.
File C:\WINDOWS\system32\insurance.bmp deleted successfully.
File C:\WINDOWS\system32\spyware.bmp deleted successfully.
File C:\WINDOWS\system32\xxx.bmp deleted successfully.
File C:\WINDOWS\system32\pharmacy.bmp deleted successfully.
File C:\WINDOWS\system32\dating.bmp deleted successfully.
File C:\WINDOWS\system32\gambling.bmp deleted successfully.
File C:\WINDOWS\system32\idesk.conf deleted successfully.
File C:\WINDOWS\system32\atiicdxx.dat deleted successfully.
File C:\WINDOWS\system32\atifglpf.xml deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und das Ewido Ergebnis
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:22:05, 13.04.2006
+ Report-Checksumme: 90236E41

+ Scanergebnis:

C:\avenger\backup.zip/avenger/filesafer23.exe -> Hijacker.Small : Gesäubert mit Backup
D:\TDSLTest\DSLC.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup


::Report Ende

#25 0.
C:\avenger\backup.zip --> loeschen

1.
fixe mit dem HijackThis:

O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server

PC neustarten

2.
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt --> hier posten

3.
dann poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 zum Ersten:



Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

--------------------------------------------------------------
zum Zweiten:

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Trayz" = "ssweeper.exe" [file not found]
"br0ken" = "driver32.exe" [file not found]
"NSYSCPLSTR" = "stuffmon.exe" [file not found]
"SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Spyware Doctor" = ""D:\Programme\Spyware Doctor\swdoctor.exe" /Q" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Upgrade Service" = "C:\WINDOWS\winupd.exe" [file not found]
"Upgrade Sarvice" = "C:\WINDOWS\sxchost.exe" [file not found]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [file not found]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]


{4D855DFC-2DB5-43F0-814A-257F4C074CF1}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\pekgea.dll" [file not found]


{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


{7576af59-76ba-46fc-9876-624f1814d885}\(Default) = (no title provided)
-> {HKLM...CLSID} = "IEHelper"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Q2497828.dll" [file not found]


{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{1CC513EE-A20D-4f42-BDAF-4BE42BCDB6EC}" = "UIM File Extension"
-> {HKLM...CLSID} = "UimShlExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\UimExt.dll" [empty string]
"{1CC513AE-A20D-4f42-BDAF-4BE42BCDB6EC}" = "UIM Drive Extension"
-> {HKLM...CLSID} = "UimDriveExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\UimExt.dll" [empty string]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "D:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! Zboard\DLLName = "Winlognotif.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "D:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "D:\Programme\ewido anti-malware\context.dll" ["ewido networks"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Leyje" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"SATARaid" -> shortcut to: "C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe" ["Silicon Image, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
avsda.dll ["H+BEDV Datentechnik GmbH"], 01 - 02, 22
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 08 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Engine Service, AVEService, "C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe" ["Avira GmbH"]
AntiVir Mail Security Service, AntiVirMailService, "C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe" ["Avira GmbH"]
AntiVir PersonalEdition Premium Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Premium\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Premium\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
ewido security suite control, ewido security suite control, "D:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "D:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 47 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 12 seconds.
---------- (total run time: 92 seconds)

Jetzt würde ich gerne verstehen was da eigentlich alles läuft .. danke nochmal

#27 dann poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Trayz"=-
"br0ken"=-
"NSYSCPLSTR"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Upgrade Service"=-
"Upgrade Sarvice"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{4D855DFC-2DB5-43F0-814A-257F4C074CF1}"=-
"{7576af59-76ba-46fc-9876-624f1814d885}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

2.
in den abgesicherten Modus starten und die fix.reg der Registry beifuegen.

3.
dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 hmm .. Kaspersky funktioniert wohl mit Firefox/Mozila nicht, wenn ich das richtig lese. Ist aber der einzige Browser auf meinem Rechner.


Nachtrag:
Habe Kaspersky mit anderem Browser starten können. Ergebis wird nachgreicht.

#30 wie machst du ohne IE die WindowsUpdates ???
ich glaube, Trend-Micro/HouseCall funktioniert auch mit dem Mozilla.
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit