Hi, ich hoffe mir kann jemand helfen. Habe mit AntiVir XP Ver 6 meinen PC gescanned. Mehrere Funde TR/...... und DR/........ Ich weiß damit gar nichts anzufangen. Sind das Trojaner? Wenn ja, warum habe ich sie mir eingefangen, wenn ich neben der Windows Firewall auch noch Zone Alarm auf höchster Stufe und AntiVir laufen habe?
Hab die Datein auch erst mal nicht gelöscht. Kann mir vielleicht jemand sagen was ich machen kann?
Wer guckt sich das mal an:

Logfile of HijackThis v1.99.1
Scan saved at 11:40:50, on 05.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Alarm\zlclient.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.adorons.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102603186304
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DE14C9F-5EE6-46DE-ADF1-F0FEB8184052}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{98AE784A-1963-44B5-A707-42B69203EA44}: NameServer = 192.168.1.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus

huber
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Hallo, huber,
erst mal ist festzustellen, daß Dein System uralt und nicht gepatcht ist:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Zweitens würde mich interessieren, wo genau (Pfadangabe) was gefunden wurde.
Außerdem bitte in Deinem post die aktiven Links editieren, so:
h**p://playroom.icq.com/odyssey_web11.cab
damit sie nicht mehr aufrufbar sind.
cacatoa

Danke dass sich einer so schnell meldet.
OK! Lasse grad noch mal alles scannen, dann kann ich dir Pfadangaben geben und welche Trojaner das genau sind.
Was meinst du mit system nicht gepatcht? Mag ne dumme Frage sein aber ich kenn mich damit nicht aus.
Ja ok das mit den links werde ich in Zukunft vermeiden
huber

Ja, nicht gepatcht heißt, Du hast überhaupt keine Sicherheitsupdates druaf, geschweige denn das Service-pack 2. Auf zu windowsupdate, SP2 runterladen (wenn du DSL hast, ansonsten CD bei Microsoft anfordern) und installieren (dauert etwas) und die Sicherheitsupdates machen (auch für den Internet-Explorer) und diesen dann nur noch für windows-updates benutzen, ansonsten auf einen anderen (kostenlosen und wesentlich sichereren Browser) umsteigen, wie z.B.: Firefox oder opera
cacatoa

Also, ich habe die Funktion aktiviert, automatisch benachritigen wenn neue updates verfügbar sind und installiere diese dann natürlich auch. Das SP2 habe ich vor einiger Zeit deinstalliert, weil mein Scanner und mein W-Lan Router deswegen nicht funktioniert haben. Desweiteren benutze ich firefox als browser.
Das SP2 erneut zu installieren würde doch mir Sicherheit die selben Probleme wieder hervorheben oder nicht?

PS: poste dir gleich die infizierten datein + Pfadangabe und Trojaner und so

huber

Also, ich habe, wie die meisten anderen auch, keine Probs mit dem SP2.
Wenn Du es nicht haben willst, dann mach wenigstens alle Sicherheitsupdates (hast du bisher nicht getan!), aber vermutlich werden wir uns dann öfter hier sehen...
Den firefox habe ich bei Dir gesehen, ihn aber beim letzten post wieder übersehen... sorry.
cacatoa

Oder kann ich nur Sicherheitsupdates installieren mit dem SP2? Aber dann würde mir mein PC doch nicht anzeigen, wenn neue Updates verfügbar sind oder?

huber

Also Folgendes!
So viel versteh ich ja auch noch, was bringt es wenn ich irgendwelche cookies lösche oder der gleichen, wenn ganz andre Dateien betroffen sind, Ich hab dir doch die ganzen Pfadangaben gemacht und du siehst doch dass da Dateien von einem Trojanischen Pferd befallen sind oder diese Dateien sind das Trojanische Pferd. Ich bin dabei noch einmal zu scannen und habe jetzt in den ersten 5 minutem die selben Funde und infizierten dateien wie eben auch. Ich dachte du kannst mir sagen wie ich diese trojaner wegbekomm. Was bringt es dabei cookies zu löschen und temoräre i. dateien?

huber

Zitat:

C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temp

Das sind eben temporäre Dateien. Du kannst die Ordner auch einfach mal leeren...

also kann ich diese beiden orner einfach komplett leeren ohne das mein system dabei geschadet wird
wenn ja, dann hätte man das mir doch eher sagen könnenich wusste ja nicht ob man die dateien einfach so löschen kann ohne das was passiert
aber danke das du mir das sagst, ich hätte ja noch 10 mal en virenprogramm laufen lassen können denk ich

huber

uups sorry an dieser stelle, ich denke das hab ich überlesen dass ich die ordner manuell löschen oder leeren soll, ich dachte es reicht aus wenn ich auf extras gehen und so weiter wie es mir gesagt wurde

huber

OK kein Problem, so lang du mir sagen kannst was ich jetzt machen kann , hier jetzt alle Pfads (Pfäde? Pfade?, auch egal)
die betrofen sind und wovon. Hab ich aus dem file von antivir kopiert.

C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temp
remove.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Keenval.F
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWVSBCZ
games4[1].cab
ArchiveType: CAB (Microsoft)
--> games.exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300694 (Dialer) und wurde vom Benutzer unterdrückt.
ger_nopop[1].exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/302029 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DA7K92N
0006_movies[1].cab
ArchiveType: CAB (Microsoft)
--> ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Click.Delf.AH.3
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4RIPAT03
better_new[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
thnall1m[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89UJ856N
dial[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.JZ.4
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDM5AR2L
install[1].exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Installer
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDSTMP01
istbar[1].dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.U
Nach Rückfrage nicht gelöscht!
istdownload[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.ES
Nach Rückfrage nicht gelöscht!
optimize[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUBW5EZ
prompt[1].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O143MH2H
actalert[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.cr
Nach Rückfrage nicht gelöscht!
bdl14122[1].exe
[FUND!] Ist das Trojanische Pferd TR/Revop.C
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S96BWX6Z
sbar[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.zd.2
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLOP2NWL
prompt[1].htm
[FUND!] Ist das Trojanische Pferd TR/JS.IstBar.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Eigene Dateien\Nützliches & Verschiedenes
geil und so.exe
Die Datei enthält Signatur des Scherzprogrammes Joke/Button.B und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temp
~DF2B76.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8H23GH6F
protect[1].htm
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.d
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LLQZWP2V
prompt[2].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9E7CDQ3
a775a8[1].js
[FUND!] Enthält Signatur des Java-Scriptvirus JS/Small.AF
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YQ4OCRFW
wiki[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\Verschiedenes
P2P
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301179 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Verschiedenes\Setups
ss_stopsign.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Wren.I
Nach Rückfrage nicht gelöscht!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\drivers
atapi.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
ZLT0345d.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

so das wars

huber

So, jetzt lädst Du dir erst mal clearprog 1.4.1 final runter.
Dann alle Haken setzen bei: Internet-explorer und Windows. Dann diese Einstellungen speichern (ganz oben, zweiter Button von links).
Dann auf "löschen" clicken; wenn fertig auf beenden.
Damit sind alle temporary internet files und alle tempfiles erst mal weg.
Dann nochmal mit dem Virenscanner im abgesicherten Modus scannen und das Ergebnis posten.
cacatoa

Zitat:

wenn ja, dann hätte man das mir doch eher sagen können

Hat er doch getan.
->

Zitat:

Zitat von cacatoa

So, jetzt lädst Du dir erst mal clearprog 1.4.1 final runter.
Dann alle Haken setzen bei: Internet-explorer und Windows.

Ich leere diese Ordner reglmäßig, bis auf den TIF-Ordner, da ist so gut wie nie was drin, weil ich Firefox verwende. Solltest du auch machen.

@ huber:
Also noch mehr verklamüsern, wie man tifs und temps löscht, kann ich nicht mehr. Kann mich aber auch nicht erinnern, daß ich je einen thread hatte, wo man dafür 20 posts braucht...
Und Deine Pfade führen halt mal zu diesen temporären Ordnern.
cacatoa