Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.02.2005, 01:32   #1
taz
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



AV-logfile (nur ein auszug, teilweise mehrfach aufgetreten und entweder versuch zu deny oder delete):

16.02.05,00:24:38 WARNING: The Trojan horse TR/Dldr.Delf.DG!
C:\..\TEMPORARY INTERNET FILES\CONTENT.IE5\..\DKTIBS[1].HTM
File has been deleted!
16.02.05,00:25:31 WARNING: The Trojan horse TR/StartPage.IG!
C:\WINDOWS\SEHLP.DLL
File has been deleted!
16.02.05,00:25:43 WARNING: The Trojan horse TR/Dldr.Delf.DG!
C:\WINDOWS\SYSTEM32\DKTIBS.EXE
16.02.05,00:26:44 WARNING: The Trojan horse TR/Dldr.Small.YX.1!
C:\WINDOWS\TOOLBAR.EXE
File has been renamed to *.VIR
16.02.05,00:37:12 WARNING: Contains signature of the HTML script virus HTML/Exploit.Mhtml!
C:\..\TEMPORARY INTERNET FILES\CONTENT.IE5\..\T-6306[1].HTM
16.02.05,00:51:43 WARNING: Contains the signature of a cost-incurring dialer DIAL/301177 (Dialer)!
C:\WINDOWS\__P9HEPQKBJ.EXE

################################################

nun das logfile von hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 01:17:39, on 16.02.05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cfos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\LASTMI~1\plmg.exe
C:\WINDOWS\system32\CTFMON32.EXE
C:\WINDOWS\system32\CSRSSU.EXE
C:\WINDOWS\system32\systime.exe
C:\Programme\CoolMenu\CoolMenu.exe
C:\Programme\Maxthon\Maxthon.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\msmsgrxp.exe
C:\WINDOWS\system32\notepad.exe
D:\My_Files\Install_exe\Progs\nicht archiviert\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [_Cat3] C:\WINDOWS\msmsgrxp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MirandaIM] "C:\Programme\Miranda IM\miranda32.exe" "C:\Programme\Miranda IM\taz"
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\LASTMI~1\plmg.exe
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\system32\CSRSSU.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - Startup: CoolMenu.lnk = C:\Programme\CoolMenu\CoolMenu.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{325AC1F7-7CC6-424A-9DE7-51CE5CF29F7C}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

###################################################

bitte hilf mir jemand. ich hab heute gebrowst und aufeinmal kamen trotz popupblocker diese scheiss pornopopups. obwohl ich nichts zugelassen habe, weder OK noch ähnliches gedrückt habe, sondern nur meinen browser geschlossen habe, kamen kurz darauf die meldungen, die ihr im av-log sehen könnt. dann lud ich HijackThis runter und .... nunja hier das logfile, bitte sagt mir, was ich am besten machen soll.

ich hab die sygate personal firewall pro und AntiVir je auf dem neuesten stand und immer am laufen, habe SP2 für XP drauf, sogar noch WinBoard.org_UpdatePack_2.2_XP.exe (beide patches noch vor dem ersten onlinegang ausgeführt) ... nutze auch thunderbird, hier war noch nie outlook an.

sonst weiss ich allerdings nicht, was ich machen kann bzw was ich falsch gemacht habe.

FRAGEN:

1. nach dem lesen einiger ähnlicher posts, sollte ich schleunigst meinen IE patchen, da ich MAXTHON nutze, der ja über IE läuft. sehe ich das richtig ? wenn ja, welche updates muss ich denn überhaupt ausführen bei meiner systemkonfiguration ?

2. kann es sein, dass der ganze scheiss nur am MAXTHON bzw IE liegt, so dass ich in zukunft lieber FIREFOX nutzen sollte ODER reicht es regelmässig den IE zu updaten/patchen ? maxthon gefällt mir nämlich besser als FIREFOX.

3. muss ich nochmal mit highjackthis arbeiten ? wenn ja, bitte gebt mir ein wenig hilfestellung, da ich es nur zur logerzeugung nutzte, sonst aber nicht kenne.

4. sollte mir der obige dialer trotz DSL-FLAT-ZUGANG von netcologne (lokaler provider köln) gedanken machen ??? habe mal gehört, dialer seien für DSL-USER ungefährlich !!!??? IST DAS RICHTIG ???

5. hab durch zufall neulich (13.02.05) meine komplette registry gesichert. mir fiel auf, daß hijackthis auch die reg durchsucht hat. sollte ich einfach mal die alte reg wieder herstellen ???

6. wie kann ich vor dem ausführen diverser anwendungen herausfinden, ob diese trojaner, spy- und/oder adware enthalten ?

7. wo bekomme ich gute trojaner- und spywarescanner her, die regelmässig updatebar sind ? wenn sie freeware wären, wäre es noch besser, versteht sich. am liebsten wäre mir ein programm für alles mit einem echtzeitguard wie bei AV. freue mich über tipps

8. bietet hier nur "format c:" 100%-ige sicherheit ? wenn ja, dann sagt mir das bitte so schnell wie möglich. ich möchte vermeiden, dass noch mehr daten verseucht werden, die ich dann u.U. unbedingt zur sicherung benötige.

vielen dank schonmal für eure hilfe

taz

PS.: BITTE leute, wenn ihr ähnliche probleme habt, dann postet es nicht hier, sondern erstellt einen eigenen thread, so wie ich es mache. ich bin fest der überzeugung, dass es in solchen fällen (ausser format c: ) keine allgemeingültige lösung gibt.

Geändert von taz (16.02.2005 um 06:12 Uhr)

Alt 16.02.2005, 09:35   #2
MountainKing
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe

Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

"1. nach dem lesen einiger ähnlicher posts, sollte ich schleunigst meinen IE patchen, da ich MAXTHON nutze, der ja über IE läuft. sehe ich das richtig ? wenn ja, welche updates muss ich denn überhaupt ausführen bei meiner systemkonfiguration ?"

Das ist richtig und es gibt seit dem Erscheinen von SP2 schon wieder eine ganze Reihe weiterer Patches. Wöchentlich windowsupdate besuchen ist daher empfehlenswert, wenn man nicht die automatische Aktualisierung aktiviert hat.


"2. kann es sein, dass der ganze scheiss nur am MAXTHON bzw IE liegt, so dass ich in zukunft lieber FIREFOX nutzen sollte ODER reicht es regelmässig den IE zu updaten/patchen ? maxthon gefällt mir nämlich besser als FIREFOX."

Schwer zu sagen, hängt auch von deiner Konfiguration ab. Regelmäßig updaten UND sicherer konfigurieren ist notwendig, alternative Brwoser sind prinzipiell trotzdem empfehlenswerter, auch wenn wenn so auch mit dem IE relativ sicher surfen kann.

http://www.datenschutzzentrum.de/sel...sie/config.htm

"4. sollte mir der obige dialer trotz DSL-FLAT-ZUGANG von netcologne (lokaler provider köln) gedanken machen ??? habe mal gehört, dialer seien für DSL-USER ungefährlich !!!??? IST DAS RICHTIG ???"

Das stimmt, wenn du kein Modem oder keine ISDN-Karte hast.


"5. hab durch zufall neulich (13.02.05) meine komplette registry gesichert. mir fiel auf, daß hijackthis auch die reg durchsucht hat. sollte ich einfach mal die alte reg wieder herstellen ???"

Nein, dann müsste man wieder von vorn anfangen.

"6. wie kann ich vor dem ausführen diverser anwendungen herausfinden, ob diese trojaner, spy- und/oder adware enthalten ?"

Am besten im Netz suchen, es gibt dazu dann sicher irgendwo Informationen, besipielsweise hier:

http://www.spywarewarrior.com/rogue_anti-spyware.htm
http://www.spywareguide.com/spywarelist.html

"7. wo bekomme ich gute trojaner- und spywarescanner her, die regelmässig updatebar sind ? wenn sie freeware wären, wäre es noch besser, versteht sich. am liebsten wäre mir ein programm für alles mit einem echtzeitguard wie bei AV. freue mich über tipps"

Besser: Software aktuell halten und richtig konfigurieren sowie brain 2.0 einsetzen. Ansonsten einfahc mal auf den Trojaner-seiten oder den oben erwähnten nachlesen, ad-aware und Spybot sind die im Moment wahrscheinlich besten Ad-/Spywarescanner.

"8. bietet hier nur "format c:" 100%-ige sicherheit ? wenn ja, dann sagt mir das bitte so schnell wie möglich. ich möchte vermeiden, dass noch mehr daten verseucht werden, die ich dann u.U. unbedingt zur sicherung benötige."

Warten wir ab, was E-Scan sagt, ansonsten dürfte Formatieren eigentlich noich vermeidbar sein, wenn du 100%ige Sicherheit willst, dein System von aktuellen Schädlingen zu reinigen, müsstest du im Prinzip schon neu aufsetzen.Weiterführende Infos:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.comsafe.de/
__________________


Alt 17.02.2005, 15:47   #3
taz
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



ich habe alles so gemacht, wie du gesagt hast. escan installiert und update gemacht. systemwiederherstellung deaktiviert. neugestartet. dann escan, danach alle infizierten dateien in ein quarantäne-verzeichnis verschoben. siehe escan-logfile:

File C:\WINDOWS\system32\systime.exe
infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\CTFMON32.EXE
infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\CSRSSU.EXE
infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\msmsgrxp.exe
infected by "Trojan-Downloader.Win32.Small.ahg" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\loadnew.exe
infected by "Trojan-Downloader.Win32.Small.air" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\msxmidi.exe
infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\hosts
infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SEHLP.DLL.VIR
infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{6CAABA80-3313-4654-A7CE-4A63330A7E3E}\RP75\A0018582.exe
infected by "Trojan-Downloader.Win32.Small.ahg" Virus. Action Taken: No Action Taken.

wobei ich die letztere datei nicht finden konnte.

#############

dann HijackThis ausgeführt, dann die sachen gefixed, die du empfohlen hattest. darüberhinaus noch die folgenden in selbstregie:

msmsgrxp.exe und CSRSSU.EXE

#############

nun hab ich den rechner neu gebootet, danach alle möglichen scans nach spyware, trojaner und viren gemacht. bis auf das quarantäneverzeichnis ist in keinem verzeichnis eines der drei viehcher enthalten

neues hijackthislog:

Logfile of HijackThis v1.99.0
Scan saved at 15:27:47, on 17.02.05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cfos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\Programme\CoolMenu\CoolMenu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\My_Files\Install_exe\Progs\nicht archiviert\security\hijackthis199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MirandaIM] "C:\Programme\Miranda IM\miranda32.exe" "C:\Programme\Miranda IM\taz"
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - Startup: CoolMenu.lnk = C:\Programme\CoolMenu\CoolMenu.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{325AC1F7-7CC6-424A-9DE7-51CE5CF29F7C}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

###################

nun sucher ich allerdings noch nach einem vernünftigen scanner für trojaner mit internetupdatefunktion. bitte tipps, vertrau meinen noch nicht so ganz.

das letzte was mich noch ein wenig verunsichert sind ein paar prozesse :

wuauclt.exe
csrss.exe
smss.exe
cisvc.exe lt. internet kann sich hier ein family-keylogger verstecken
ctsvccda.exe
mspmspsv.exe
lsass.exe

alle hier genannten könnten trojaner enthalten, wie finde ich heraus ob sie gefährlich sind oder nicht !!!????
__________________

Alt 24.03.2005, 10:48   #4
Lazer_erazer
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



wuauclt.exe <--- Windows Update Automation blabla
csrss.exe <--- wichtiger Windows-Kerneldienst
smss.exe <--- dito
cisvc.exe <--- dito (wenn, dann wirst du 2 davon finden)
ctsvccda.exe
mspmspsv.exe
lsass.exe <--- wichtiger Windows-Kerneldienst

die anderen beiden kenn ich leider nicht...

hier ein paar programme, die ich nicht kenne oder die mir sehr verdächtig aussehen...

C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\cfos\cFosDNT.exe
C:\WINDOWS\system32\systime.exe (<-- startseite hijack)
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\WINDOWS\system32\CTFMON32.EXE
C:\WINDOWS\system32\CSRSSU.EXE
C:\WINDOWS\system32\systime.exe (<-- startseite hijack)
C:\Programme\CoolMenu\CoolMenu.exe (<-- internet explorer hijacker bzw. mod)
C:\Programme\Maxthon\Maxthon.exe (dito)
C:\WINDOWS\system32\cidaemon.exe (<-- image user X-D)
C:\WINDOWS\msmsgrxp.exe
C:\WINDOWS\system32\notepad.exe (<-- notepad liegt im windows root)

mich verunsichern diese (deine) prozesse alle nur ein wenig

Alt 13.04.2005, 22:14   #5
fungus
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



hallo teilnehmer,

ich habe den trojaner TR/Dldr.
antivir zeigt mir auch immer mal wieder eine infizierte datei an, die ich dann in der aktion "überschreibe und lösche".
nun habe ich trojancheck installiert, der mir auch zeigt welche prozesse laufen, auch die des trojaners,
aber ich bekomme die prozesse - es sind wohl 4 - nicht abgestellt mit tc

leider habe ich im pc bereich nicht viel erfahrung - habt ihr einen simplen weg - ausser neuinstallation - diesen trojaner aus meinem system zu löschen?

mit der bitte um hilfe und vielen dank für eine antwort


Alt 13.04.2005, 23:04   #6
Cidre
Administrator, a.D.
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



Hallo @ fungus

Welche Prozesse?
Welche Dateien werden von AntiVir Wo als Malware erkannt?
usw.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________
--> TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer

Alt 14.04.2005, 23:36   #7
fungus
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



Zitat:
Zitat von Cidre
Hallo @ fungus

Welche Prozesse?
Welche Dateien werden von AntiVir Wo als Malware erkannt?
usw.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
hallo cidre,

danke für die hilfe - hoffentlich kannst du mir weiterhelfen - hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:21:45, on 14.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trojancheck 6\tc6.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~1\NORTON~3\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O17 - HKLM\System\CCS\Services\Tcpip\..\{283BA4CC-5475-4F8D-8F2F-4B244230F46E}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\PowerNow!\GemServ.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: RadClock - Unknown owner - C:\Programme\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

folgende datei habe ich bereits mit dem program trojancheck (tc) aus dem autostart gelöscht kernel_fault_check_%systemroot%system32\dumprepo-k

tc kann aber folgende 4 prozesse nicht beenden und keine infos darüber abgeben, was das für prozesse sind:
kann ich die einfach löschen und wenn ja wo ?
wtui
[stystem prozess]
SYSTEMROOT/SYSTEM32/SMSS.EXE

hast du noch ein tipp für ein programm zum kaufen das trojaner einfach entfernt ohne neuinstallationen oder ähnliches , da ich nur einsteiger bin ?

viele grüsse
fungus
??/C:/WINDOWS/SYSTEM32/WINLOGON.EXE

Alt 14.04.2005, 23:43   #8
fungus
 
TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - Standard

TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer



Zitat:
Zitat von Cidre
Hallo @ fungus

Welche Prozesse?
Welche Dateien werden von AntiVir Wo als Malware erkannt?
usw.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
hallo cidre,

hier noch ein paar infos
antivir sagt: C:/SYSTEM VOLUME INFORMATION/RESTORE {04AF...EXE ist das troj. pferd TR/Dldr.small.aod.2

Antwort

Themen zu TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
adobe, adware, antivir, antivir update, bho, browser, content.ie5, ellung, excel, firefox, format, frage, highjackthis, hijack, hijackthis, html/exploit.mhtml, internet, internet explorer, nvcpl.dll, registry, rundll, script virus, sicherheit, software, system, trojan, trojaner, tuneup utilities, updates, virus, windows, windows xp



Ähnliche Themen: TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer


  1. Mehrere Funde! EXP/JAVA.Ternub.Gen - JAVA/Dldr.Small.CI - JAVA/Dldr.OpenC.A - EXP/08-5353.AI.5.A
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (29)
  2. Virus Fund HTML/Dldr.Tharra.E
    Log-Analyse und Auswertung - 12.09.2011 (0)
  3. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  4. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  6. TR/Dldr.HTML.Agent.IS - Virus öffnet sich zigfach
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (3)
  7. Trojaner? HTML/Dldr.Delf
    Plagegeister aller Art und deren Bekämpfung - 16.01.2008 (10)
  8. TR/Dialer.OY.1 und TR/Dldr.Small.cml.5 Was soll ich tun?
    Log-Analyse und Auswertung - 19.03.2006 (1)
  9. TR/Dialer.OY.1 und TR/Dldr.Small.cml.5 Was soll ich tun?
    Plagegeister aller Art und deren Bekämpfung - 18.03.2006 (4)
  10. Hilfe TR/Dldr.Small.GL3- Virus entfernt, jedoch immernoch Fehlermeldungen
    Plagegeister aller Art und deren Bekämpfung - 16.01.2006 (2)
  11. Trojaner TR/StartPage.3.1.B + TR/Dldr.Delf.ZU
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (2)
  12. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  13. TR/StartPage.QC.1 und TR/Dldr.Small.OR unter WinXP
    Log-Analyse und Auswertung - 26.10.2004 (14)
  14. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  15. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer - AV-logfile (nur ein auszug, teilweise mehrfach aufgetreten und entweder versuch zu deny oder delete): 16.02.05,00:24:38 WARNING: The Trojan horse TR/Dldr.Delf.DG! C:\..\TEMPORARY INTERNET FILES\CONTENT.IE5\..\ DKTIBS[1].HTM File has been deleted! 16.02.05,00:25:31 WARNING: - TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer...
Archiv
Du betrachtest: TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.