Kann mir bitte wer sagen ob der trojaner weg is ?

#1 Hallo hatte heute einen trojaner mit namen TR/RKDice.E den ich nicht löschen konnte hab die datei gelöscht die antivir angab C/Windows\system32\nscompgd.tlb
nun findet ihn antivir nicht mehr bin mir aber nich sicher ob er wirklich weg is
ich hab mal eine hijackthis log gemacht über infos wäre ich echt dankbar und kann mir eventuell auch wer sagen was der trojaner bewirkt weil ich auch meine visa benutze im netzt nich das da was passiert

Logfile of HijackThis v1.99.1
Scan saved at 01:53:19, on 12.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virtual CD v8\System\VC8Play.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Armin\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VC8Player] C:\Programme\Virtual CD v8\System\VC8Play.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [_WGA] C:\WINDOWS\WgaDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139496920796
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

mit besten dank im vorraus

#2 Valan999

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Verzeichnis von C:\WINDOWS\system32

12.10.2006 17:03 13.686 wpa.dbl
12.10.2006 17:03 43.192 nvapps.xml
08.10.2006 03:13 12.288 itdd.dll
02.10.2006 16:24 24.072 uxtuneup.dll
11.09.2006 19:37 8.960.936 MRT.exe
07.09.2006 13:10 57.384 avsda.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 19:15 98.304 CmdLineExt.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
14.07.2006 03:09 48.156 perfc007.dat
14.07.2006 03:09 39.992 perfc009.dat
14.07.2006 03:09 311.604 perfh009.dat
14.07.2006 03:09 316.594 perfh007.dat
14.07.2006 03:09 723.744 PerfStringBackup.INI
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll

Verzeichnis von C:\DOKUME~1\Armin\LOKALE~1\Temp

12.10.2006 02:10 13.592 temp.ani
11.10.2006 16:06 90.120 Gua2.tmp
08.10.2006 03:13 12.288 C.tmp
01.10.2006 19:51 798.234 IMT27.xml
01.10.2006 19:51 426 IMT26.xml
01.10.2006 19:51 2.036 IMT25.xml
01.10.2006 19:48 798.234 IMT1E.xml
01.10.2006 19:48 426 IMT1D.xml
01.10.2006 19:48 2.036 IMT1C.xml
01.10.2006 19:33 798.234 IMT10.xml
01.10.2006 19:33 426 IMTF.xml
01.10.2006 19:33 2.036 IMTE.xml
29.09.2006 19:47 717 control.xml
11.09.2006 21:16 604.311 gtb22.tmp.cab
10.09.2006 23:38 73.276 ~e5.0001
06.09.2006 16:37 1.144 MSI52ea3.LOG
06.09.2006 16:35 1.666 MSI3daea.LOG
06.09.2006 03:24 473.516 ins3.tmp
01.09.2006 22:57 2.054 QTInstallCode.log
01.09.2006 22:57 3.353 qtplugin.log
01.09.2006 22:57 450.048 4d28f.mst
01.09.2006 22:56 426.496 40e94.mst
01.09.2006 22:50 450.048 6ec86.mst
01.09.2006 22:49 426.496 665a3.mst
01.09.2006 22:48 783.360 294a6.mst
01.09.2006 22:48 783.360 76d5.mst
12.07.2006 17:25 119.016 set8.tmp
12.07.2006 17:25 119.016 set6.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40EB-E420

Verzeichnis von C:\WINDOWS

12.10.2006 17:05 3.601 KB924191.log
12.10.2006 17:05 3.498 KB922819.log
12.10.2006 17:05 3.398 KB923414.log
12.10.2006 17:05 3.304 KB924496.log
12.10.2006 17:05 3.303 KB923191.log
12.10.2006 17:03 1.621.975 WindowsUpdate.log
12.10.2006 17:03 0 0.log
12.10.2006 17:03 2.048 bootstat.dat
12.10.2006 03:41 32.618 SchedLgU.Txt
11.10.2006 16:20 226.626 ntbtlog.txt
11.10.2006 02:46 54.156 QTFont.qfn
10.10.2006 21:50 238.547 DirectX.log
08.10.2006 03:13 77.471 hqmia1.dll
29.09.2006 19:47 99.526 wmsetup.log
29.09.2006 18:21 553.722 setupapi.log
27.09.2006 17:00 1.409 QTFont.for
27.09.2006 08:04 601.534 iis6.log
27.09.2006 08:04 186.157 comsetup.log
27.09.2006 08:04 111.394 ntdtcsetup.log
27.09.2006 08:04 246.100 tsoc.log
27.09.2006 08:04 27.107 tabletoc.log
27.09.2006 08:04 1.374 imsins.log
27.09.2006 08:04 29.398 ocmsn.log
27.09.2006 08:04 10.564 KB925486.log
27.09.2006 08:04 37.067 MedCtrOC.log
27.09.2006 08:04 259.620 ocgen.log
27.09.2006 08:04 93.188 netfxocm.log
27.09.2006 08:04 26.688 msgsocm.log
27.09.2006 08:04 525.296 FaxSetup.log
27.09.2006 08:04 166.156 msmqinst.log
13.09.2006 02:31 1.374 imsins.BAK
13.09.2006 02:31 13.082 KB920685.log
13.09.2006 02:30 14.943 KB920872.log
13.09.2006 02:30 13.226 KB919007.log
13.09.2006 02:30 9.267 KB922582.log
13.09.2006 02:30 35.652 updspapi.log
01.09.2006 22:56 121 GEARInstall.log
26.08.2006 17:19 2.668 hhdrvi.log
25.08.2006 17:37 183.168 setupact.log
16.08.2006 20:46 15.523 KB920214.log
16.08.2006 20:46 15.516 KB922616.log
16.08.2006 20:46 15.921 KB921398.log
16.08.2006 20:45 19.241 KB918899.log
16.08.2006 20:45 11.903 KB920670.log
16.08.2006 20:45 12.065 KB917422.log
16.08.2006 20:45 12.336 KB920683.log
09.08.2006 23:58 11.090 KB921883.log
03.08.2006 03:50 7.488 WgaNotify.log
29.07.2006 20:29 50 wiaservc.log
29.07.2006 20:29 216 wiadebug.log
14.07.2006 03:06 11.911 KB917159.log
14.07.2006 03:05 12.435 KB914388.log
14.07.2006 03:03 10.556 KB916595.log
23.06.2006 21:01 529 eReg.dat
16.06.2006 18:03 2.737 spupdsvc.log
16.06.2006 17:31 11.166 KB917734.log
16.06.2006 17:31 14.221 KB918439.log
16.06.2006 17:31 14.580 KB917344.log
16.06.2006 17:31 14.355 KB917953.log
16.06.2006 17:31 14.333 KB911280.log
16.06.2006 17:30 17.646 KB916281.log
16.06.2006 17:30 11.656 KB914389.log
14.06.2006 10:50 7.117 WGA.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40EB-E420

Verzeichnis von C:\WINDOWS\Temp

12.10.2006 17:03 409 WGANotify.settings
12.10.2006 17:03 255 WGAErrLog.txt
11.10.2006 16:05 16.384 ~DFD8B.tmp
26.09.2006 19:16 616.448 pblwnljw.TMP

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 14:30 5.065 swflash.inf
26.05.2005 05:19 293 muweb.inf
04.01.2005 20:32 65 desktop.ini

olume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40EB-E420

Verzeichnis von C:\

12.10.2006 17:10 0 sys.txt
12.10.2006 17:10 619 down.txt
12.10.2006 17:10 2.597 tmp.txt
12.10.2006 17:10 9.885 system.txt
12.10.2006 17:09 2.571 systemtemp.txt
12.10.2006 17:08 96.764 system32.txt
12.10.2006 17:03 1.610.612.736 pagefile.sys
31.05.2006 09:16 4.934 MUELL.txt
ich hoff ich hab das jetzt richtig gemacht mit bestem dank im vorraus Valan

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\itdd.dll
C:\WINDOWS\hqmia1.dll
C:\WINDOWS\Temp\pblwnljw.TMP
C:\Dokumente und Einstellungen\Armin\Lokale Einstellungen\Temp\temp.ani
C:\Dokumente und Einstellungen\Armin\Lokale Einstellungen\Temp\Gua2.tmp
C:\Dokumente und Einstellungen\Armin\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\Armin\Lokale Einstellungen\Temp\gtb22.tmp.cab
C:\Dokumente und Einstellungen\Armin\Lokale Einstellungen\Temp\ins3.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Danke noch mal für die hielfe eine frage noch was bewirkt dieser trojaner konnte leider nix über ihn finden vieleicht kannst du mir helfen


MFG valan