TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer

taz

AV-logfile (nur ein auszug, teilweise mehrfach aufgetreten und entweder versuch zu deny oder delete):

16.02.05,00:24:38 WARNING: The Trojan horse TR/Dldr.Delf.DG!
C:\..\TEMPORARY INTERNET FILES\CONTENT.IE5\..\DKTIBS[1].HTM
File has been deleted!
16.02.05,00:25:31 WARNING: The Trojan horse TR/StartPage.IG!
C:\WINDOWS\SEHLP.DLL
File has been deleted!
16.02.05,00:25:43 WARNING: The Trojan horse TR/Dldr.Delf.DG!
C:\WINDOWS\SYSTEM32\DKTIBS.EXE
16.02.05,00:26:44 WARNING: The Trojan horse TR/Dldr.Small.YX.1!
C:\WINDOWS\TOOLBAR.EXE
File has been renamed to *.VIR
16.02.05,00:37:12 WARNING: Contains signature of the HTML script virus HTML/Exploit.Mhtml!
C:\..\TEMPORARY INTERNET FILES\CONTENT.IE5\..\T-6306[1].HTM
16.02.05,00:51:43 WARNING: Contains the signature of a cost-incurring dialer DIAL/301177 (Dialer)!
C:\WINDOWS\__P9HEPQKBJ.EXE

################################################

nun das logfile von hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 01:17:39, on 16.02.05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cfos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\LASTMI~1\plmg.exe
C:\WINDOWS\system32\CTFMON32.EXE
C:\WINDOWS\system32\CSRSSU.EXE
C:\WINDOWS\system32\systime.exe
C:\Programme\CoolMenu\CoolMenu.exe
C:\Programme\Maxthon\Maxthon.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\msmsgrxp.exe
C:\WINDOWS\system32\notepad.exe
D:\My_Files\Install_exe\Progs\nicht archiviert\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [_Cat3] C:\WINDOWS\msmsgrxp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MirandaIM] "C:\Programme\Miranda IM\miranda32.exe" "C:\Programme\Miranda IM\taz"
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\LASTMI~1\plmg.exe
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\system32\CSRSSU.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - Startup: CoolMenu.lnk = C:\Programme\CoolMenu\CoolMenu.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{325AC1F7-7CC6-424A-9DE7-51CE5CF29F7C}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

###################################################

bitte hilf mir jemand. ich hab heute gebrowst und aufeinmal kamen trotz popupblocker diese scheiss pornopopups. obwohl ich nichts zugelassen habe, weder OK noch ähnliches gedrückt habe, sondern nur meinen browser geschlossen habe, kamen kurz darauf die meldungen, die ihr im av-log sehen könnt. dann lud ich HijackThis runter und .... nunja hier das logfile, bitte sagt mir, was ich am besten machen soll.

ich hab die sygate personal firewall pro und AntiVir je auf dem neuesten stand und immer am laufen, habe SP2 für XP drauf, sogar noch WinBoard.org_UpdatePack_2.2_XP.exe (beide patches noch vor dem ersten onlinegang ausgeführt) ... nutze auch thunderbird, hier war noch nie outlook an.

sonst weiss ich allerdings nicht, was ich machen kann bzw was ich falsch gemacht habe.

FRAGEN:

1. nach dem lesen einiger ähnlicher posts, sollte ich schleunigst meinen IE patchen, da ich MAXTHON nutze, der ja über IE läuft. sehe ich das richtig ? wenn ja, welche updates muss ich denn überhaupt ausführen bei meiner systemkonfiguration ?

2. kann es sein, dass der ganze scheiss nur am MAXTHON bzw IE liegt, so dass ich in zukunft lieber FIREFOX nutzen sollte ODER reicht es regelmässig den IE zu updaten/patchen ? maxthon gefällt mir nämlich besser als FIREFOX.

3. muss ich nochmal mit highjackthis arbeiten ? wenn ja, bitte gebt mir ein wenig hilfestellung, da ich es nur zur logerzeugung nutzte, sonst aber nicht kenne.

4. sollte mir der obige dialer trotz DSL-FLAT-ZUGANG von netcologne (lokaler provider köln) gedanken machen ??? habe mal gehört, dialer seien für DSL-USER ungefährlich !!!??? IST DAS RICHTIG ???

5. hab durch zufall neulich (13.02.05) meine komplette registry gesichert. mir fiel auf, daß hijackthis auch die reg durchsucht hat. sollte ich einfach mal die alte reg wieder herstellen ???

6. wie kann ich vor dem ausführen diverser anwendungen herausfinden, ob diese trojaner, spy- und/oder adware enthalten ?

7. wo bekomme ich gute trojaner- und spywarescanner her, die regelmässig updatebar sind ? wenn sie freeware wären, wäre es noch besser, versteht sich. am liebsten wäre mir ein programm für alles mit einem echtzeitguard wie bei AV. freue mich über tipps

8. bietet hier nur "format c:" 100%-ige sicherheit ? wenn ja, dann sagt mir das bitte so schnell wie möglich. ich möchte vermeiden, dass noch mehr daten verseucht werden, die ich dann u.U. unbedingt zur sicherung benötige.

vielen dank schonmal für eure hilfe

taz

PS.: BITTE leute, wenn ihr ähnliche probleme habt, dann postet es nicht hier, sondern erstellt einen eigenen thread, so wie ich es mache. ich bin fest der überzeugung, dass es in solchen fällen (ausser format c: ) keine allgemeingültige lösung gibt.