TR/Dldr.dyfuca.DB-Opfer

Opfer05 · 26.03.2005, 17:16

Hallo
Brauche dringend Hilfe mit diesem Trojaner.

Hab schon die in diesem Forum vorgeschlagenen Tipps versucht, allerdings die zu löschenden Dateien im Hijack-Log nicht gefunden. Kann sich mal jemand das log anschauen und mir helfen?
Vielen Dank im voraus

mfg
Opfer05

Mein Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:14, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\spoolsrv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\iesetup2.exe
C:\lc.pr1d.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGNT.EXE
C:\WINDOWS\wkqrsa.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\KMaestro\Key_g.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\wuauclt.exe
F:\Antivir\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\games\cAR´NAGE\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [REGRUN_2] C:\iesetup2.exe
O4 - HKLM\..\Run: [Update Scheduler] C:\lc.pr1d.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\Run: [tvgH9DCD] C:\WINDOWS\wkqrsa.exe
O4 - HKLM\..\Run: [tvùõš/‚²ÆßfÏNb*»1C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wkqrsa.exe
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\RunServices: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do.../bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43F72952-517D-4C12-A0DE-4772F5BAA460}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: License Procedure Messaging (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

Haui45 · 26.03.2005, 17:25

Hallo,
setze die Ordneroptionen im Windows-Explorer bitte wie folgt:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Beende die folgenden Prozesse im Taskmanager oder direkt in HijackThis (-> Config-> Misc Tools-> Open Process Manager-> Prozess(e) auswählen-> Kill Process-> Ja) und lass sie online bei http://virusscan.jotti.org/de/ überprüfen:

Zitat:

C:\iesetup2.exe
C:\lc.pr1d.exe
C:\WINDOWS\wkqrsa.exe
C:\WINDOWS\System32\winsupdater.exe
C:\KMaestro\Key_g.EXE
C:\WINDOWS\System32\spoolsrv.exe

Lade die Dateien bitte zusätzlich bei www.malwareupload.com hoch, damit sie zukünftig von allen Virenscannern erkannt werden.

Melde die mit dem "jotti-Ergebnis" wieder.

P.S.: Mach dir keine allzu großen Hoffnungen, das System ist total verseucht! -> "System neu aufsetzen und vor der ersten Internetverbindung absichern"

Rene-gad · 26.03.2005, 17:32

@Opfer05

Zitat:

Brauche dringend Hilfe mit diesem Trojaner.

Ich glaube, du brauchst Hilfe nicht nur zu diesem Trojaner.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
1. Temporary Internet Files -Ordner leeren
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2.Papierkorb leeren
3. Systemwiederherstellung abschalten http://www.bsi.bund.de/av/texte/wiederher_xp.htm
4.Bitte nach der Anleitung vorgehen: http://www.trojaner-board.de/42731-escan-anleitung.html, Ergebnis-Log Posten (Was und Wo (mit Pfadangaben) wurde gefunden).
EDIT: s. PS im Beitrag von Haui45.

dartus · 26.03.2005, 18:39

Hallo Opfer05,

http://castlecops.com/startuplist-5269.html = unmt.exe
Schon alleine der ist Grund genug neu zu installieren.

Halte Dich an die Tipps von Haui, bezüglich Neuinstallation (loade bitte die genannten Dateien auch ab), und Rene-gad zum Thema "SP2".

dartus

Opfer05 · 27.03.2005, 00:18

Hy!

Mann, mann! Das ist starker Tobac!!

Aber vielen Dank für die Hilfe. Da muss ich mich wohl mal dahinterklemmen.

Gruß,

Opfer05

TR/Dldr.dyfuca.DB-Opfer

Log-Analyse und Auswertung: TR/Dldr.dyfuca.DB-Opfer