Hi!
Habe clearprog heruntergeladen und Haken auf "alles löschen" gesetzt. Bei einem war ich mir nicht sicher, da ich mich auch nicht so auskenne!
Muß ich bei jedem Punkt von clearprog wie IE, Opera, Netscape/Mozilla, usw. auf "alles löschen" gehen oder reicht es, wie ich es auch gemacht habe, beim starten von clearprog Haken auf "alles löschen" setzen und löschen??
Die von Dir angebenenen Punkte habe ich auch mit HJT gefixed!
Nach einem Neustart war der Trojaner immer noch da!!
AntiVir hat ihn zwar beim Systemstart nicht entdeckt, aber durch einen zusätzlichen Scan von Datei system32!

Hier mein neues Logfile von HJT:


Logfile of HijackThis v1.99.1
Scan saved at 12:13:10, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\DitExp.exe
C:\Programme\GhostSurf Express\GhostSurf.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Downloads\Privat\Programme\Antispionagep\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.coolwwwsearch.com/z/a/x1.cgi?101 (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.*.*.*:****
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GhostSurf Express.lnk = C:\Programme\GhostSurf Express\GhostSurf.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Allow personal info to reach this site - file://C:\Programme\GhostSurf Express\info.allow.html
O8 - Extra context menu item: Allow popups on this site - file://C:\Programme\GhostSurf Express\popup.allow.html
O8 - Extra context menu item: Allow this advertisement - file://C:\Programme\GhostSurf Express\menu.allowimg.html
O8 - Extra context menu item: Block personal info from this site - file://C:\Programme\GhostSurf Express\info.block.html
O8 - Extra context menu item: Block popups on this site - file://C:\Programme\GhostSurf Express\popup.block.html
O8 - Extra context menu item: Block this advertisement - file://C:\Programme\GhostSurf Express\menu.blockimg.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe
O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O15 - Trusted Zone: *.msn.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{773FE68F-F01C-4780-902D-F886D435B476}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Gruss
Sorsa

Wo genau (Pfadangabe) hat Antivir ihn gefunden?
cacatoa

Hallo!
Bin leider nicht so oft online, deshalb dauerts bei mir immer eine wenig bis ich antworte!
Die Trojanerdatei ist in Windows/System32 z.B. LD687E.TMP, wobei sich der Name dieser Datei beim Neustart des PC´s immer ändert!
Im abgesicherten Modus kan ich diese Datei schon löschen, aber irgendwie erschafft sie sich immer wieder neu nach jedem Start. Keine Ahnung evtl. steckt noch irgendwo eine Datei oder sonstiges die diese wieder zurückholt!
AntiVir findet aber nur diese eine im System32!

Gruss Sorsa

Hi, Sorsa,
dann arbeite bitte mal das hier ab.
cacatoa

Hallo!
Wollte mich noch bedanken! Ohne deine super Hilfe hätte ich diesen fiesen Trojaner nicht losbekommen!
Habe die Punkte 1-5 genau abgearbeitet und der Trojaner war entfernt!
Den Online Virusscanner habe ich auch durchgeführt.
Kaspersky hat noch weitere infizierte Trojanerdateien gefunden, die ich manuell gelöscht habe. Die infizierten Dateien C:\RECYCLER\.... kann ich leider nicht finden. Habe auch versteckte Dateien anzeigen aktiviert. Wo bzw. wie komme ich an diese Dateien??
Gruss
Sorsa

Hi,
die gesuchten Dateien liegen in der Systemwiederherstellung.
Folgendes ist zu tun:
Systemwiederherstellung ausschalten. Rechner ausschalten. Rechner anschalten. Systemwiederherstellung wieder anschalten.
Weg sind sie.
cacatoa

HAllo,

ich habe wie einige andere hier wohlauch, ein kleines Problem.
Ich hab schonseit ein paar Tagen den Trojaner TR/Dldr.small.buu drauf und kann den nicht löschen =(

ich hab mal unter start und ausführen cleanmgr gemacht aber nix ist. Andere user schreiben hier wüste tabellen von eiganartigen worten und ziffern damit ihr da was machen könnt. was ist das ?

kann mir jemand helfen ?
hab windows XP und AntiVir

Und wie ihr wohl mekrt, hab ich 0 Ahnung von dem Thema ;-)