Hallo alle zusammen,
ich hoffe Ihr könnt mir weiterhelfen...seid ca. 1Woche erhalte ich, sobald ich die Internetverbindung öffne die Meldung, vom Antivir ist das Trojanische Pferd TR/Dldr.Dyfuca.DB und dadurch wird das gesamte System langsamer .Ich lösche es immer wieder, doch bei jeder Verbindung ist es neu da...adaware und spybot finden nix am Nebenrechner der über Netzwerk angeschlossen ist, kommt diese Meldung nicht...Aber auch dieser wird langsamer.
Ich habe geschaut hier im Netz, was man machen könnte nur leider muß ich gestehen, das ich das nicht ganz verstanden habe.Ich verzweifel fast.
Wer könnte mir Schritt für Schritt erklären, was ich tun muß...Ich danke im voraus für jede Hilfe...
Grüße Sönnchen

@ Sönnchen

erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Danke für die schnelle Antwort...ich werde es so machen, wie Du es schreibst. Ich hoffe, es klappt...
Gruß Sönnchen

Hier ist das Logfile...
Logfile of HijackThis v1.99.0
Scan saved at 10:38:13, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\recycler\installer.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\wuampd.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hijackthis\HijackThis199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at0_x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl...ridge-c139.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/127080d3...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Jana Server 2 - Thomas Hauck, Privat - C:\Programme\Jana2\janad.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Hallo Sönnchen,

ich habe keine guten Nachrichten für Dich. Du hast eine Menge Malware an Board ... und leider auch einen der gefährlichsten und verbreitetesten Würmer mit Backdoor-Funktionalität.

C:\WINDOWS\System32\wuampd.exe -> wuampd.exe -> Backdoor.Rbot.gen:

# Ermöglicht Dritten den Zugriff auf den Computer
# Verändert Daten auf dem Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen

Die einzige Möglichkeit Würmer dieser Art vollständig zu entfernen ist hier beschrieben, wie auch die Möglichkeiten in Zukunft sicherer zu surfen. Halte Dich an die Tipps:

formatieren: Lutz' Datensicherung und Cidre's Rat

BackUp Maker ist kostenlos, einfach zu handhaben und kann Dir helfen, die Daten zu übertragen, die Du brauchst ... aber halte Dich darin an Lutz Hilfestellung zur Datensicherung.

hilfe, was muß ich nun als erstes machen???
so wie du es in der reihenfolge aufgeschrieben hast??? oder erst das mit dem Backup-Maker???
Ist mir echt peinlich ...
Muß ich an dem nebenrechner auch etwas beachten???

@ Sönnchen

zu allererst musst Du ruhig werden. Man kann nur überlegt handeln, wenn man ruhig ist.

Lade Dir die Seiten aus diesen Links runter:

1.) Cidre's Rat

2.) Lutz' Datensicherung

3.) BackUp Maker

4.) formatieren


... derweil mache ich mich mal daran, Deinen Rechner notzuversorgen, nützt zwar nicht allzuviel, aber Du gewinnst ein bißchen Zeit.

SD

@ Sönnchen

das ist nur eine sehr notdürftige Lösung, da Würmer dieser Art Einträge in der Registry ablegen ect. Es soll Dir nur die Zeit geben, Deine Netzangelegenheiten ruhig aber schnell zu beenden.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.D LL (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll (file missing)

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\recycler\installer.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZSzeb029

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/C...Bridge-c139.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

boote in den normalen Modus.

beende:

installer.exe
DeskAdServ.exe
DeskAdKeep.exe
wuampd.exe
mwsoemon.exe
avserve.exe
MWSOEMON.EXE

lösche:

C:\recycler\installer.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\WINDOWS\System32\wuampd.exe
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\avserve.exe
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

Aktiviere die Systemwiederherstellung und boote neu.

@ Shadowdance
nochmals herzlichen Dank... <---der mußte jetzt sein,
ich werde alles langsam befolgen...und heute abend oder spätestens morgen alles sichern und den *traurigen* Rest erledigen, wenn alles geklappt hat, werde ich mich melden. Halte mir mal beide Daumen!
Gruß Sönnchen

@ Sönnchen

vergiss nicht, Dir die Seiten auszudrucken oder auf CD zu speichern. Auf Deinem Rechner nützen sie Dir nichts.

Das solltest Du auch noch ausdrucken oder speichern: Windows sicher einrichten in 15 Schritten.

Du solltest WindowsXP (www.windowsupdate.com) mit allen Patches, dem SP2 und der internen Firewall, plus dem aktuellen IE und einem anderen Browser auf dem Rechner haben, wenn Du zum ersten mal ins Netz gehst. Lass Dir Zeit zum lesen. Zweimal formatieren macht unnötige Arbeit.

Alternative Browser

toi toi toi !