Trojaner TR/Dldr.ATMC.A entfernen?

#0
04.06.2006, 18:11
...neu hier

Beiträge: 2
#1 Hallo zusammen,

ich hoffe hier kann mir jemand helfen. Mein AntiVir hat auf meinem Rechner zwei Trojaner entdeckt TR/Dldr.ATMC.A. Der Pfad lautet: C:\System Volume Information\_restore...\A0109974.exe. Scheinbar ist dieser bisher noch nicht aufgetaucht, da ich keine entsprechenden Einträge finden konnte. Habe soweit mir möglich versucht, die Anweisungen in diesem Forum durchzuführen und poste die nachfolgenden Logs. Wie gesagt findet AntiVir den Trojaner zwar, aber ich kann ihn leider nicht löschen, er kommt immer wieder.
Wäre echt super, wenn mir jemand von euch helfen könnte. Auf jeden Fall schon mal vielen Dank im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 17:23:04, on 04.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - h**p://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121939536234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121939499312
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

04.06.2006 17:41 41.289 vsconfig.xml
04.06.2006 09:22 1.026 tool_de[1].log
03.06.2006 20:10 176.167 rmoc3260.dll
03.06.2006 20:10 5.632 pndx5032.dll
03.06.2006 20:10 6.656 pndx5016.dll
03.06.2006 20:10 278.528 pncrt.dll
03.06.2006 09:35 223.224 FNTCACHE.DAT
03.06.2006 09:10 36.864 hp100.tmp
03.06.2006 09:10 55.821 ld100.tmp

03.06.2006 09:09 2.184 wpa.dbl
08.05.2006 22:22 4.212 zllictbl.dat
20.03.2006 21:38 47.122 perfc009.dat
20.03.2006 21:38 376.284 perfh007.dat
20.03.2006 21:38 56.876 perfc007.dat
20.03.2006 21:38 368.178 perfh009.dat
20.03.2006 21:38 850.258 PerfStringBackup.INI
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
09.03.2006 16:21 4.799.320 MRT.exe


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

04.06.2006 17:42 16.384 Perflib_Perfdata_d8.dat
04.06.2006 17:39 2.244 jusched.log
04.06.2006 11:39 255.620 Gua2.tmp
03.06.2006 19:36 85.887 Aus08W01.pdf
03.06.2006 19:25 152 Ferry 'Cross the Mersey.url
03.06.2006 19:24 152 Carnaval 2002 (Stadium Radio Edit 2002).url
01.06.2006 23:14 16.384 Perflib_Perfdata_d24.dat
01.06.2006 22:50 16.384 Perflib_Perfdata_aa8.dat
8 Datei(en) 393.207 Bytes
0 Verzeichnis(se), 3.246.080.000 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

04.06.2006 17:40 3.830 ModemLog_Agere Systems AC'97 Modem.txt
04.06.2006 17:40 159 wiadebug.log
04.06.2006 17:39 0 0.log
04.06.2006 17:39 2.048 bootstat.dat
04.06.2006 17:38 32.638 SchedLgU.Txt
04.06.2006 17:38 1.990.997 WindowsUpdate.log
04.06.2006 17:38 50 wiaservc.log
04.06.2006 11:58 327.102 tsoc.log
04.06.2006 11:58 172.722 ntdtcsetup.log
04.06.2006 11:58 265.794 comsetup.log
04.06.2006 11:58 40.632 ocmsn.log
04.06.2006 11:58 1.891 imsins.log
04.06.2006 11:58 109.655 iis6.log
04.06.2006 11:58 485.036 ocgen.log
04.06.2006 11:58 778.923 FaxSetup.log
04.06.2006 11:58 40.613 msgsocm.log
04.06.2006 11:57 654.989 setupapi.log
04.06.2006 11:55 221.423 setupact.log
03.06.2006 18:54 54.156 QTFont.qfn
29.05.2006 22:52 19.796 KB913580.log
29.05.2006 22:52 1.374 imsins.BAK
29.05.2006 22:52 32.790 updspapi.log
29.05.2006 22:52 18.784 KB908531.log
29.05.2006 22:51 18.809 KB900485.log
29.05.2006 22:51 18.049 KB911562.log
29.05.2006 22:50 19.765 KB912812.log
29.05.2006 22:49 12.548 KB911567.log
29.05.2006 22:35 22.609 WGA.log
29.05.2006 22:34 0 setuperr.log
29.05.2006 20:55 116 NeroDigital.ini
23.05.2006 21:27 284.199 wmsetup.log
22.05.2006 20:34 1.409 QTFont.for
12.05.2006 22:11 121 GEARInstall.log
03.04.2006 22:27 316.640 WMSysPr9.prx
03.04.2006 22:23 192 Winamp.ini
20.03.2006 19:46 30.075 spupdsvc.log
20.03.2006 00:13 694 win.ini
19.03.2006 23:59 8.451 KB913446.log
19.03.2006 23:58 12.518 KB911564.log
19.03.2006 23:57 13.078 KB911565.log
19.03.2006 23:55 13.366 KB911927.log
12.03.2006 11:13 436 nsw.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

04.06.2006 17:46 0 sys.txt
04.06.2006 17:45 12.133 system.txt
04.06.2006 17:44 711 systemtemp.txt
04.06.2006 17:44 101.347 system32.txt
04.06.2006 17:39 200.331.264 hiberfil.sys
06.12.2005 19:02 224 BOOT.INI
Seitenanfang Seitenende
05.06.2006, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Schmalle

1.
smitfraudfix abarbeiten
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 16:08
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

hab deine Ratschläge soweit umgesetzt. Hier das Logfile. Scheinbar haben wir ihn erwischt, oder? Hoffe, das war es jetzt. Vielen Dank für deine Hilfe.

SmitFraudFix v2.54

Scan done at 15:58:28,15, 05.06.2006
Run from C:\Dokumente und Einstellungen\Marcus\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\DOKUME~1\MARCUS\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: