Trojaner Dldr.zlob.ea.4

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.01.2006, 14:46
...neu hier

Beiträge: 3
#1 Hallo Leute,

ich habe, wie Schmitti, ebenfalls das Problem mit dem Trojaner. Durch AntiVir gefunden, gelöscht, in Quarantäne geschickt usw., taucht er nach jedem Reboot wieder auf.

Da ich aber die doch recht komplizierte Problemlösung in Schmittis Thread nicht verstanden habe bitte ich hier noch einmal um Hilfe.

Leider kann ich in Schmittis Thread auch nicht antworten, ich denke mal er ist geclosed worden.

Für Hilfe dankbar - Nevermind
Seitenanfang Seitenende
17.01.2006, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Nevermind01

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet.
http://board.protecus.de/download.php?id=213002.datFind.bat
(stelle sie bitte per Anhang ins Forum ...siehe unten)


Hijackthis

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2006, 10:33
...neu hier

Beiträge: 2
#3 hi! ich habe das selbe problem, wär toll, wenn ihr mir weiterhelfen könntet;)

Logfile of HijackThis v1.99.1
Scan saved at 10:10:45, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\QuickTime\qttask.exe
C:\lokal\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\lokal\Programme\powerdvd\PDVDServ.exe
C:\lokal\Programme\daemon\daemon.exe
C:\lokal\Programme\AVPersonal\AVGNT.EXE
C:\lokal\Programme\aphotostarterediton\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\LOKAL\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\lokal\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\lokal\Programme\Spyware Doctor\sdhelp.exe
C:\lokal\PROGRA~1\cleanup\cleanup.exe
C:\Dokumente und Einstellungen\Chem Pion\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://sww.stusta.mhn.de/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.stusta.mhn.de:3130
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = windowsupdate.microsoft.com;v4.windowsupdate.microsoft.com
;download.windowsupdate.com;http://login.europe
.yahoo.com/config/mail?.intl=de;http://spielwelt8.monstersgame.net/?
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\lokal\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\lokal\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\lokal\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\lokal\Programme\powerdvd\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\lokal\Programme\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\lokal\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\lokal\Programme\aphotostarterediton\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\lokal\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\lokal\Programme\microsoftoffice\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\lokal\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\lokal\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\lokal\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\lokal\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://V5.Windowsupdate.microsoft.com und https
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116360676678
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3637815-49F8-430E-BEB2-194319699C3E}: NameServer = 10.150.127.2,10.150.126.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\LOKAL\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\lokal\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - c:\lokal\programme\catia\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\lokal\Programme\Spyware Doctor\sdhelp.exe



cleanup durchgeführt und anbei die datfindbat-datei.

gruß,
chem

Anhang: dirdat.txt
Seitenanfang Seitenende
18.01.2006, 12:37
...neu hier

Themenstarter

Beiträge: 3
#4 Logfile of HijackThis v1.99.1
Scan saved at 12:33:05, on 18.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\internat.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: IECatcher Class - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IGCatcher.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IGIEBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Kopieren 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P36 "EPSON Stylus C42 Series (Kopieren 2)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk = C:\Programme\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Microsoft Office Fast Start.lnk = ?
O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0000.1082\en-gb\bin\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with InstantGet - res://C:\Programme\InstantGet\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download &all with InstantGet - res://C:\Programme\InstantGet\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - http://www.1mal1.com/flatcast/NpFv49.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/
win/QuickTimeInstaller.exe
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

Anhang: dirdat.txt
Dieser Beitrag wurde am 18.01.2006 um 12:39 Uhr von Nevermind01 editiert.
Seitenanfang Seitenende
18.01.2006, 14:24
...neu hier

Beiträge: 1
#5 Hallo um mich mal vorher abzusicher, habe ich die zuvor beschriebenen Progr. ausgeführt.
Und stelle meine Daten hier mal zur Verfügung, in der Hoffnung dass ich keine Trojaner habe.
3 Bekannte von mir haben aber Probleme mit yahoo, dort kann man die emails im Posteingang nicht mehr öffnen !


Logfile of HijackThis v1.99.1
Scan saved at 14:01:06, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Apache\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Active+\eMill\bin\eMillSrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE


Gruß mit der Bitte um Becsheid ob alles in Ordnung ist, das wäre sehr lieb!

Kann es denn sein dass das Problem an yahoo liegt dass die mails nicht mehr zu öfnnen sind?

Greetz ELC

Anhang: dirdat.txt
Seitenanfang Seitenende
18.01.2006, 14:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Chem-Pion

loesche:
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\mscornet.exe

arbeite das ab und berichte ;)
http://virus-protect.org/artikel/bfu/spyaxebfu.html

--------------------------------------------
das ist ein Virus/Backdoor,
O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe
O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe
http://www.sophos.com/virusinfo/analyses/w32rbotir.html

Zitat

Suchbegriff: 10.150.127.2
Adresse: whois.arin.net

Suchergebnis:

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe
O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3637815-49F8-430E-BEB2-194319699C3E}: NameServer = 10.150.127.2,10.150.126.2

PC neustarten

nun wirst du eine neue Internetverbindung erstellen muessen, denn die jetzige, wurde geloescht.

mit allen 4 Scannern arbeiten
http://virus-protect.org/multiavtool.html

Onlinescans (Viren)
http://virus-protect.org/onlinescan.html

------------

das vernuenftigste waere, das System neu aufzusetzen..................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2006, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Nevermind01

loesche:
C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\mscornet.exe

arbeite das ab und berichte
http://virus-protect.org/artikel/bfu/spyaxebfu.html

------------------------------------------------------------------------
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
18.01.2006 12:41 54.272 ginstall.dll

loeschen:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll

mit allen 4 Scannern arbeiten
http://virus-protect.org/multiavtool.html

Onlinescans Kaspersky, etrust, Panda
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2006, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ELC

im Log von der datfind kann ich nichts finden und das Log vom HijackThis ist nicht komplett.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2006, 15:17
...neu hier

Beiträge: 2
#9 oh man, kann nicht mal die zwei dateien löschen - fehlermeldung. werd wohl die platte neu formatieren und bis dahin so viel wie möglich zu retten versuchen;)

thxs für die überaus fachkenntlichen ratschläge!

gruß, chem
Seitenanfang Seitenende
18.01.2006, 16:17
...neu hier

Beiträge: 5
#10 Hi Sabina!
Ich merke du hast richtig Ahnung von diesem fiesen Trojaner!
Kann ich dich evtl. mal anrufen, weil ich oft beim Löschen des Trojaners viele Fragen hab und sonst nicht weiterkomme.
Das wäre echt superlieb.
Danke im Voraus

Lg
Marph
Seitenanfang Seitenende
18.01.2006, 17:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Marph

alles wird hier abgehandelt.... im Thread ;) --> anrufen geht schlecht...nach Lissabon ;) ...stelle alle Fragen hier, ich werde alles beantworten, so gut ich kann.

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.01.2006, 12:02
...neu hier

Themenstarter

Beiträge: 3
#12 Hi Sabina,

Trojaner ist weg, jedenfalls gibts keine Meldung mehr nach dem Reboot. Vielen Dank dafür.

Gibts denn irgendwelche Infos über dieses Ding? Was er so verbricht und wie man ihn sich einfängt?

Danke nochmal,

Nevermind
Seitenanfang Seitenende
19.01.2006, 12:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Nevermind01

das ist der SpyAxe oder SpywareStrike
http://virus-protect.org/artikel/spyware/spyaxe.html
http://virus-protect.org/artikel/spyware/spywarestrike.html

Zitat

Nach Beendigung der Installation meldet das Programm seinen Trojaner, der es installiert hat, als "Schadsoftware", allerdings ohne jegliche Details zu melden. Zur Entfernung des Trojaners drängt SpywareStrike oder SpyAxe den Computer-Benutzer zum Kauf des Produkts über die Web-Seite des Herstellers für 49,50 Dollar.

Neben wiederholten Meldungen bzw. Popups aus der Taskleiste "Your computer is infected ...", die einen zum Kaufen der Anti-Spyware auffordern lässt das Tool zusätzliche Komponenten aus dem Web nach.
er reiht sich ein in die Reihe von gefakten angeblichen "Antivirenscannern", wenn man sie laedt, hat man ein Problem, denn man wird mit PopUps bombardiert und der Aufforderung das Tool zu bezahlen, damit die Belaestigungen enden... sowas nennt man auch Erpressung...
Natuerlich muss man letztendlich den PC formatieren...oder man kommt zu uns ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.01.2006, 16:04
...neu hier

Beiträge: 5
#14 Hi hier ist mein Editor!


Logfile of HijackThis v1.99.1
Scan saved at 15:59:47, on 19.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9374125A-621A-4343-88BB-819B1B1E0EF9} - C:\WINNT\system32\jkhob.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/Xh0HJ6NpdxAoVo0n-p0f.chm::/on-line.exe
O18 - Filter: text/html - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll
O18 - Filter: text/plain - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Anhang: dirdat.txt
Dieser Beitrag wurde am 19.01.2006 um 16:33 Uhr von Marph editiert.
Seitenanfang Seitenende
19.01.2006, 16:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Marph

Laden, scannen
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {9374125A-621A-4343-88BB-819B1B1E0EF9} - C:\WINNT\system32\jkhob.dll (file missing)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/Xh0HJ6NpdxAoVo0n-p0f.chm::/on-line.exe
O18 - Filter: text/html - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll
O18 - Filter: text/plain - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll

PC neustarten

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINNT\system32\jkhob.dll
C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\amcompat.tlb
C:\WINNT\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten


arbeite das bitte ab
http://virus-protect.org/artikel/bfu/spyaxebfu.html
(eingeschlossen die Online-Virenscanner), falls dort etwas angezeigt wird, kopiere den Scanreport hier

----------------

denke mal ueber den Browser Firefox nach, ist sicherer als der IE
http://virus-protect.org/firefox.html
die Onlinescans musst du mit dem IE machen, gleiches gilt fuer die WindowsUpdates.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: