Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.180Instal.1 kommt nach jedem Start wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.08.2005, 21:57   #1
glupto
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo, bin neu hier und kein Windows "Experte". Nach jedem Neustart kriege ich von antivir den Hinweis, dass hinter einer temporären Datei der Trojaner TR/Dldr.180Instal.1 steckt. Ich lösche ihn dann, verschiebe ihn usw. nichts nützt, er ist immer wieder da. Habe hier im Forum einen Hinweis gefunden "Systemwiederherstellung deaktivieren/Neustart/dann wieder aktivieren" - aber wenns das ist, wie macht man das, mal blöd gefragt.

Danke für jeden Tip

glupto

Alt 18.08.2005, 22:40   #2
chaosman
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



@glupto
http://www.trojaner-board.de/63335-w...s-starten.html
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

poste doch bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493


chaosman
__________________

__________________

Alt 21.08.2005, 20:31   #3
glupto
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo, habe jetzt HijackThis laufen lassen und hier das logfile, mit dem ich nichts anzufangen weiß:

Logfile of HijackThis v1.99.1
Scan saved at 21:27:24, on 21.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\TELES\ISDN Tools\tisdnmon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\STAMPIT\BINARY\STRAY.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 4.0\Acrobat\Acrobat.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.metacrawler.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = titan.sfb.de:3128
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TISDNMonitor] C:\Programme\TELES\ISDN Tools\tisdnmon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\BINARY\STRAY.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\Programme\Search-Assistant\stubinstaller.exe"
O4 - Startup: outlook_pst.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: Yahoo! Freecell Solitaire - http://h**p://yog55.games.scd.yahoo....g/y/fs10_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - h**ps://mail.rbb-online.de:8440/iNotes6.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://h**p://tools.ebayimg.com/eps/..._v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://h**p://software-dl.real.com/1...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://h**p://tools.ebayimg.com/eps/...l_v1-0-3-0.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


Danke für Eure Hilfe
glupto
__________________

Alt 21.08.2005, 20:57   #4
Wildone
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo,
gehe mal in die Systemsteuerung und schaue unter Software ob da ein Eintrag von "Search-Assistant" zufinden ist, wenn ja deinstallieren.
Ist dir diese Datei bekannt?
O4 - Startup: outlook_pst.cmd
Besorge dir mal die Programme Adaware und Spybot, gehe in den abgesicherten Modus (F8 beim booten) fixe mit Hilfe von HijackThis diese Einträge:
O4 - HKCU\..\Run: [180ClientStubInstall]
"C:\Programme\Search-Assistant\stubinstaller.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
dann läßt du die beiden Programme laufen, und löschst danach die Datei/Ordner:
C:\WINNT\web\related.htm
C:\Programme\Search-Assistant
dann gehst du wieder in den normalen Modus, erstellst erneut ein HijackThis Logfile und postest es hier her.


Grüße Wildone

Alt 22.08.2005, 09:44   #5
glupto
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo, habe alles so gemacht und offenbar hat es hervorragend gewirkt und der Trojaner ist weg. VIELEN VIELEN DANK!!!!! Ohne Eure und speziell Wildones Hilfe wäre ich aufgeschmissen gewesen!
Hier das neue logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:41:37, on 22.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\TELES\ISDN Tools\tisdnmon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\STAMPIT\BINARY\STRAY.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = titan.sfb.de:3128
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TISDNMonitor] C:\Programme\TELES\ISDN Tools\tisdnmon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\BINARY\STRAY.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: outlook_pst.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: Yahoo! Freecell Solitaire - http://h**p://yog55.games.scd.yahoo....g/y/fs10_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - h**ps://mail.rbb-online.de:8440/iNotes6.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://h**p://tools.ebayimg.com/eps/..._v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://h**p://software-dl.real.com/1...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://h**p://tools.ebayimg.com/eps/...l_v1-0-3-0.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Ach ja: Die Outlook-Datei ist eine automatische Sicherung beim Systemstart.

Nochmals vielen Dank!

glupto


Alt 22.08.2005, 09:50   #6
Wildone
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Standard

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo,
ja sieht jetzt sauber aus. Noch zwei Sachen für die Zukunft, das System immer aktuell halten und du solltest dir mal Gedanken über einen Alternativbrowser machen (Firefox, Opera). Ansonsten fröhliches surfen.


Grüße Wildone

Alt 22.08.2005, 22:30   #7
glupto
 
TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Icon24

TR/Dldr.180Instal.1 kommt nach jedem Start wieder



Hallo, Wildone, Tja, ich hatte eigentlich immer die letzten Windows-2000-Servicepacks, patches usw. installiert, aber.... Ich fürchte, ich habe mir das ganze mit einem Programm geholt, das den Rechner auf Wunsch zu einer bestimmten Zeit runterfuhr. Die freeware-Seite hat es inzwischen aus dem Verkehr gezogen, kennst Du zufällig ein gutes sauberes Programm dafür?

Firefox und opera hatte ich beide vor einiger Zeit schon mal, leider habe ich vergessen, was mir daran nicht gefiel oder was nicht klappte.

Danke nochmals
glupto

Antwort

Themen zu TR/Dldr.180Instal.1 kommt nach jedem Start wieder
antivir, blöd, datei, ellung, experte, forum, gefunde, hinweis, immer wieder, kriege, neu, neustart, nichts, start, systemwiederherstellung, temporäre, tr/dldr., troja, trojaner, windows



Ähnliche Themen: TR/Dldr.180Instal.1 kommt nach jedem Start wieder


  1. Nach Windows-Start kommt ein weißer Sperrbildschirm
    Plagegeister aller Art und deren Bekämpfung - 21.08.2013 (31)
  2. wssetup von perion network ltd kommt immer nach Start des PC
    Plagegeister aller Art und deren Bekämpfung - 16.06.2013 (7)
  3. Malware tr/dldr.dofoil.d.303 gefunden und sie kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (38)
  4. Backdoor.Bot ist nach jedem Neustart wieder da
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (29)
  5. systempropertiesperformance.exe fragt nach Adminrechten bei jedem Start
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (0)
  6. 2 mal Firefow.exe und ein bild kommt nach jedem Windows Start
    Plagegeister aller Art und deren Bekämpfung - 15.06.2010 (35)
  7. Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (2)
  8. Nach jedem Neustart wieder spyware
    Log-Analyse und Auswertung - 27.07.2008 (4)
  9. Internet Explorer startet nach jedem Windows-Start automatisch.
    Plagegeister aller Art und deren Bekämpfung - 27.06.2008 (2)
  10. TR/Dldr.IstBar.BM - kommt immer wieder !?
    Plagegeister aller Art und deren Bekämpfung - 03.12.2006 (4)
  11. Nach jedem Neustart sind sie wieder da !?!
    Log-Analyse und Auswertung - 16.03.2006 (7)
  12. HJT Log-File (TR/Dldr.180Instal.1)
    Log-Analyse und Auswertung - 24.11.2005 (5)
  13. Nail.exe TR/Dldr.180Instal.1 und Worm/IRCBot.GT
    Plagegeister aller Art und deren Bekämpfung - 03.10.2005 (1)
  14. Der Trojaner TR/Dldr.180Instal.1
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (30)
  15. MSWKKLF32.exe (TR/Dldr.Small.acv) kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 06.02.2005 (1)
  16. MSN Messager kommt bei jedem PC Start
    Plagegeister aller Art und deren Bekämpfung - 26.05.2004 (5)
  17. bei jedem start Laufwerke wieder freigegeben
    Plagegeister aller Art und deren Bekämpfung - 15.11.2003 (2)

Zum Thema TR/Dldr.180Instal.1 kommt nach jedem Start wieder - Hallo, bin neu hier und kein Windows "Experte". Nach jedem Neustart kriege ich von antivir den Hinweis, dass hinter einer temporären Datei der Trojaner TR/Dldr.180Instal.1 steckt. Ich lösche ihn dann, - TR/Dldr.180Instal.1 kommt nach jedem Start wieder...
Archiv
Du betrachtest: TR/Dldr.180Instal.1 kommt nach jedem Start wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.