Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR Prob

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2004, 21:49   #1
flo1984
 
TR Prob - Standard

TR Prob



Tag beisammen.

ich hab da ein probelm!
und zwar will antivir mir diese zwei troijaner nicht vom rechner werfen bzw isolieren usw. ! explorer[1].cab ( TR/Dldr.small.OR ) und bridge-c10.cab ( TRDldr.Briss.A ) !
könnte hier mir jemmand helfen was ich nun am besten machen könnte ?

VIelen dank im vorraus mfg flo =)

Alt 24.08.2004, 22:11   #2
Cidre
Administrator, a.D.
 
TR Prob - Standard

TR Prob



Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
__________________

__________________

Alt 25.08.2004, 09:01   #3
flo1984
 
TR Prob - Icon17

TR Prob



So nu kommt der Log.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\tcupdater.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Opera\opera.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Flo\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skins.be/?r=topconverting
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)
O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing)
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: (no name) - {8D15FB61-E8DE-4BBB-A4A1-0B19B76F5EB8} - C:\WINDOWS\System32\dfdljg.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RVP] "C:\Programme\RVP\bpc.exe"
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [easywww] C:\WINDOWS\iewwwint.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\tcupdater.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp\WAS3BFF.tmp\html\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093290144562
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{47986090-90E4-4E28-A1F2-3EEE7164AA1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A8C88F3-C56A-464C-8E7E-D2502A149A0B}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8112A343-0063-42F6-91BC-E6007F57E067}: NameServer = 192.168.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O18 - Filter: text/plain - {1DE8605A-3DBB-4427-A03E-3FC3C9ADF125} - C:\WINDOWS\System32\dfdljg.dll
__________________

Alt 25.08.2004, 09:40   #4
flo1984
 
TR Prob - Standard

TR Prob



achja .. ich weiss auch wo ich den wurm her hab .. hab ausversehen einen link in dem irc chat programm angeklickt!
und die Trojaner lassen sich nicht löschen obwohl antivir sie sieht weil sie in einem archive sind ... mfg flo

Alt 25.08.2004, 10:49   #5
MountainKing
 
TR Prob - Standard

TR Prob



Leider sind diese beiden Trojaner-Downloader noch dein geringeres Problem, denn auf deinem System laufen aktive Trojaner und Keylogger, z.Bsp.:

O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe

Dazu:
http://securityresponse.symantec.com...or.blarul.html

Das Beste wäre daher:


1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Willst du eine Reparatur versuchen (was ich nicht für ratsam halte), versuche dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

Schalte dann Systemwiederherstellung aus (falls du XP hast):
http://www.systemwiederherstellung-d...indows-xp.html

und fixe:

C:\WINDOWS\tcupdater.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skins.be/?r=topconverting
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)
O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing)
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: (no name) - {8D15FB61-E8DE-4BBB-A4A1-0B19B76F5EB8} - C:\WINDOWS\System32\dfdljg.dll (file missing)

O4 - HKLM\..\Run: [RVP] "C:\Programme\RVP\bpc.exe" (Spyware, die du mit Grokster installierst)
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [easywww] C:\WINDOWS\iewwwint.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\tcupdater.exe

alle 016-Einträge

Die 010-Einträge sind besonders gefährlich, da sie bei Entfernung den Internetzugang beeinträchtigen können, versuche es, wenn die manuelle Entfernung sich so auswirkt, damit (also gleich herunterladen):

http://www.cexx.org/lspfix.htm

Poste dann ein neues Log, aber bitte mit der Betriebssystemsinformation.

Ach ja, AUF JEDEN FALL ALLE PASSWORTE ändern nach der Säuberungsaktion. Wie gesagt, sauberer und einzig wirklich sicher wäre eine Neuinstallation.


Alt 25.08.2004, 11:15   #6
flo1984
 
TR Prob - Icon17

TR Prob



ok vielen dank ich werde dann wohl mein system neu installen =(
auch wenn es mir sehr schwer fällt ^^

Alt 26.08.2004, 17:53   #7
flo1984
 
TR Prob - Standard

TR Prob



hab jetzt formatiert neu win installt, zone alarm firewall an, win dienste aus + anti vir aufm rechner .... kann mit den programmen was anfangen ? was empfiehlt ihr mir ?

bzw ist das normal das ich in 12 minnuten , 21 eindringverusche hab die erstrangig sind ?


Alt 26.08.2004, 17:57   #8
MountainKing
 
TR Prob - Standard

TR Prob



Hast du Windowsupdate gemacht und vorher die interne Firewall eingeschaltet für die Verbindung? Das musst du gleich als erstes tun!
Wenn das Meldungen der Firewall sind, handelt es sich wahrscheinlich um normale Portscans.

Bißchen lektüre bezüglich Sicherheit/Firewall usw.:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Alt 26.08.2004, 21:58   #9
flo1984
 
TR Prob - Standard

TR Prob



ja das sind portscans .. als ich noch norton hatte hat der immer gemeint
( wenn ich irc connecte ) das es welche sind ...
ja hab gleich service pack2, alarm zone installt und xp firewall angeschaltet bevor ich ins net gegangen bin. ausserdem die windows sevice teile da ausgestellt.
wie ich aber gemerkt hab ist sp2 sehr verbugt bzw gibt einige probs ^^

mfg flo =)

Antwort

Themen zu TR Prob
antivir, beste, besten, explorer, helfen, prob, probelm, rechner, werfen




Ähnliche Themen: TR Prob


  1. GVU win7 Prob
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (1)
  2. Big prob
    Plagegeister aller Art und deren Bekämpfung - 12.03.2009 (0)
  3. Prob?
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (3)
  4. Habe ein Prob.
    Mülltonne - 17.04.2008 (0)
  5. Prob mit Windows
    Alles rund um Windows - 27.09.2006 (3)
  6. WMP prob
    Plagegeister aller Art und deren Bekämpfung - 05.09.2006 (2)
  7. prob mit iexplore.exe
    Log-Analyse und Auswertung - 26.08.2006 (1)
  8. Prob mit Bifrose
    Plagegeister aller Art und deren Bekämpfung - 14.08.2006 (8)
  9. pop up prob
    Antiviren-, Firewall- und andere Schutzprogramme - 02.06.2006 (5)
  10. prob
    Log-Analyse und Auswertung - 20.03.2006 (1)
  11. websearchnetwork prob
    Log-Analyse und Auswertung - 19.06.2005 (2)
  12. prob mit sm card
    Alles rund um Windows - 17.05.2005 (0)
  13. Noch n Prob mit se.dll
    Log-Analyse und Auswertung - 16.02.2005 (1)
  14. Uknown Prob.......
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (9)
  15. Desktop Prob.
    Alles rund um Windows - 13.09.2004 (1)
  16. Win98 Prob
    Alles rund um Windows - 21.08.2004 (1)
  17. prob
    Plagegeister aller Art und deren Bekämpfung - 08.05.2004 (8)

Zum Thema TR Prob - Tag beisammen. ich hab da ein probelm! und zwar will antivir mir diese zwei troijaner nicht vom rechner werfen bzw isolieren usw. ! explorer[1].cab ( TR/Dldr.small.OR ) und bridge-c10.cab ( - TR Prob...
Archiv
Du betrachtest: TR Prob auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.