Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: neuer TR? TR/Dldr.Sisdot

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.04.2007, 17:48   #1
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Hallöle,

bin neu hier und habe natürlich ein Problem mit einem TR.

Google findet unter dem o.g. Namen nur einen Treffer und der geht zu einer Liste von AntiVir auf der er nur unter vielen Anderen aufgelistet ist.

Die Suche im Forum hat leider gar keinen Treffer ergeben.

Der TR wirkt sich wie folgt aus:
Er öffnet selbstätig Fenster des IE die wie Windows Systemmeldungen aussehen. Die Meldungen fordern stets dazu auf eine bestimmte Software zur Virenbekämpfung zu installieren. Lehnt man dies ab, so werden weitere Fenster geöffnet, mit denen man auf Pornoseiten landet.

AntiVir hat erst mit dem ersten Öffnen eines Fensters den TR erkannt. Nach der Anweisung den TR zu löschen brachte AntiVir eine weitere Meldung, dass eine bestimmte .exe nicht zu finden sei. Dieses Spiel lief viermal hintereinander ab (wobei die exe jedesmal einen anderen Namen hatte) bevor der Spuck zu enden war.

In der Folge habe ich sofort ein Update meines AntiVir gemacht, den Rechner vom Netz getrennt und dann einen Scann aller ereiche vorgenommen. Dabei wurde in nur einem Bereich ein TR entdeckt, dass Protokoll dafür sieht so aus:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 23. April 2007 22:05

Es wird nach 748106 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Egal
Computername: ist nicht wichtig

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 18:52:20
AVSCAN.DLL : 7.0.4.0 41000 Bytes 20.04.2007 18:52:20
LUKE.DLL : 7.0.4.11 143400 Bytes 20.04.2007 18:52:22
LUKERES.DLL : 7.0.4.0 10792 Bytes 20.04.2007 18:52:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:21:01
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 12:58:03
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 18:48:21
ANTIVIR3.VDF : 6.38.1.26 101888 Bytes 23.04.2007 19:15:50
AVEWIN32.DLL : 7.4.0.14 2404864 Bytes 20.04.2007 18:52:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 18:52:20
AVPREF.DLL : 7.0.2.1 24616 Bytes 20.04.2007 18:52:20
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 18:52:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 03.04.2007 11:39:54
AVREG.DLL : 7.0.1.2 31784 Bytes 20.04.2007 18:52:20
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 20.04.2007 18:52:18
AVARKT.DLL : 1.0.0.12 274472 Bytes 20.04.2007 18:52:15
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 18:52:23
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 20.04.2007 18:52:06
RCTEXT.DLL : 7.0.45.0 86056 Bytes 20.04.2007 18:52:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Montag, 23. April 2007 22:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vwsrv.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\vwsrv.exe'
Durchsuche Prozess 'abc5014def.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'v7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG511WLU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LAUNCH~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'vwsrv.exe' wird beendet
C:\WINDOWS\system32\vwsrv.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Sisdot
[INFO] Die Datei wurde gelöscht.

Es wurden '55' Prozesse mit '54' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 23. April 2007 23:49
Benötigte Zeit: 1:44:45 min

Der Suchlauf wurde vollständig durchgeführt.

9236 Verzeichnisse wurden überprüft
626573 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
626571 Dateien ohne Befall
9725 Archive wurden durchsucht
2 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden


Trotz des angeblichen Löschens ist der TR weiter aktiv. Daraufhin habe ich heute Morgen AntiVir nochmals upgedatet, alle Temp und TempInternet Dateien gelöscht und einen weiteren Scann durch geführt, der zu keinem Ergebniss führte.

Auffällig ist aber das mein Rechner immer wieder das typische Klackgeräuch macht, dass sonst nur beim öffnen einer Webseite kommt und dies obwohl der IE gar nicht gestartet wurde.

Nach ca. 4 Stunden kam dann eine der zuvor beschriebenen Meldungen wieder. Auffällig war nur, dass diesmal nach dem Ablehnen der Aufforderung zum Download, keine Webseite geöffnet wurde.

Danach habe ich im "Task-Manager" alle Prozesse beendet die mir seltsam vorkamen. Seit dem ist zwar Ruhe aber ich befürchte, dass nach einem Neustart die Prozesse wieder laufen und das alte Problem erneut auftritt.

Frage:
Kennt wer den TR oder hat jemad Informationen darüber?

Vorab schon mal besten Dank.

Alt 24.04.2007, 18:01   #2
undoreal
/// AVZ-Toolkit Guru
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Halli hallo.

Mache mal als erstes eine Schadensbekämpfung:

-Konfiguriere AnitVir aggressiv, wechsel in den abgesicherten Modus (F8 beim Hochfahren) und mache einen kompletten Systemscan. Entferne ALLES was gefunden wird.

-Danach bootest du ganz normal und machst einen eScan. Anleitung findest du in meiner Signatur.

Gruß

Undoreal
__________________

__________________

Alt 24.04.2007, 18:07   #3
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Danke,

ich gehe sofort ran.

Hatte mir in der Zwischenzeit noch HijackThis geholt und einen Scan gemacht.

Protokoll von Hijackthis:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Geändert von lodda nee nich der... (24.04.2007 um 18:15 Uhr)

Alt 25.04.2007, 07:54   #4
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Guten Morgen.

Vorab Danke für die Tipps.

AntiVir habe ich gestern Abend noch eine agressive Konfiguration verpasst, dann den Rechner im abgesicherten Modus mit Av gescannt und jede Menge alte Pish/TR uws. in eigentlich bereits gelöschten Mails gefunden.

Danach habe ich gestern Nacht noch eScann (im normal Modus) gestartet. Der Scann ist aber heute Nacht stehen geblieben, da AntiVir das System durch einen Fund angehalten hatte.

Heute Früh habe ich den Scann dann fortgesetzt, hier jetzt das Log File dazu:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Apr 25 00:02:36 2007 => Version 9.1.9
Tue Apr 24 22:30:04 2007 => Virus-Datenbank Datum: 4/23/2007
Tue Apr 24 23:04:49 2007 => Virus-Datenbank Datum: 4/23/2007
Tue Apr 24 23:04:58 2007 => Virus-Datenbank Datum: 4/23/2007
Wed Apr 25 00:01:47 2007 => Virus-Datenbank Datum: 4/23/2007
Wed Apr 25 07:13:10 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 22:33:14 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:33:37 2007 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:33:37 2007 => System found infected with precisionpop Spyware/Adware (starter.exe)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:33:37 2007 => System found infected with statblaster Spyware/Adware (me.dll)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:33:52 2007 => System found infected with hacktool.win32.hkit PSWTool (pm.exe)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:35:08 2007 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:35:08 2007 => System found infected with precisionpop Spyware/Adware (starter.exe)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:35:08 2007 => System found infected with statblaster Spyware/Adware (me.dll)! Action taken: Keine Aktion vorgenommen.
Tue Apr 24 22:35:09 2007 => System found infected with hacktool.win32.hkit PSWTool (pm.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:03:12 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:03:14 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:03:49 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:04:12 2007 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:04:12 2007 => System found infected with precisionpop Spyware/Adware (starter.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:04:12 2007 => System found infected with statblaster Spyware/Adware (me.dll)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:04:26 2007 => System found infected with hacktool.win32.hkit PSWTool (pm.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:05:19 2007 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:05:19 2007 => System found infected with precisionpop Spyware/Adware (starter.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:05:19 2007 => System found infected with statblaster Spyware/Adware (me.dll)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:05:20 2007 => System found infected with hacktool.win32.hkit PSWTool (pm.exe)! Action taken: Keine Aktion vorgenommen.
Wed Apr 25 00:05:21 2007 => System found infected with sillyworm.vo Worm (hkey_local_machine\software\microsoft\windows\currentversion\run/system)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Tue Apr 24 22:57:35 2007 => Datei C:\DOKUME~1\******\LOKALE~1\TEMPOR~1\Content.IE5\ULWJ6L25\counter21[1].htm infiziert von "Trojan-Downloader.VBS.Agent.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 00:08:21 2007 => Datei C:\WINDOWS\system32\vexga3me2.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 00:17:00 2007 => Datei C:\DOKUME~1\*******\LOKALE~1\TEMPOR~1\Content.IE5\ULWJ6L25\counter21[1].htm infiziert von "Trojan-Downloader.VBS.Agent.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 02:11:49 2007 => Datei {Ebay-Rechnung.pdf.exe} infiziert von "Trojan-Downloader.Win32.Nurech.bg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 02:15:10 2007 => Datei {} infiziert von "Trojan-Spy.HTML.Bankfraud.od" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 03:02:55 2007 => Datei C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULWJ6L25\counter21[1].htm infiziert von "Trojan-Downloader.VBS.Agent.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed Apr 25 03:02:55 2007 => Datei C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULWJ6L25\counter21[1].htm infiziert von "Trojan-Downloader.VBS.Agent.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Apr 24 22:33:14 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Favoriten\familie\ebay.url
Tue Apr 24 22:33:37 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\ahead\nero\image.dll
Tue Apr 24 22:33:37 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\cbsinstall\starter.exe
Tue Apr 24 22:33:37 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\gemeinsame dateien\mapserv\me.dll
Tue Apr 24 22:33:52 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\spiele für kinder\puzzle-spiele\puzzlemania\pm.exe
Tue Apr 24 22:35:08 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\ahead\nero\image.dll
Tue Apr 24 22:35:08 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\cbsinstall\starter.exe
Tue Apr 24 22:35:08 2007 => Offending file found: C:\Dokumente und Einstellungen\********\Eigene Dateien\sicherung zeus\programme\gemeinsame dateien\mapserv\me.dll
Tue Apr 24 22:35:09 2007 => Offending file found: C:\Dokumente und Einstellungen\*******\Eigene Dateien\sicherung zeus\programme\spiele für kinder\puzzle-spiele\puzzlemania\pm.exe
Wed Apr 25 00:03:12 2007 => Offending file found: C:\WINDOWS\xpupdate.exe
Wed Apr 25 00:03:14 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Anwendungsdaten\install.dat
Wed Apr 25 00:03:49 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Favoriten\familie\ebay.url
Wed Apr 25 00:04:12 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\ahead\nero\image.dll
Wed Apr 25 00:04:12 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\cbsinstall\starter.exe
Wed Apr 25 00:04:12 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\gemeinsame dateien\mapserv\me.dll
Wed Apr 25 00:04:26 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\spiele für kinder\puzzle-spiele\puzzlemania\pm.exe
Wed Apr 25 00:05:19 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\ahead\nero\image.dll
Wed Apr 25 00:05:19 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\cbsinstall\starter.exe
Wed Apr 25 00:05:19 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\gemeinsame dateien\mapserv\me.dll
Wed Apr 25 00:05:20 2007 => Offending file found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\spiele für kinder\puzzle-spiele\puzzlemania\pm.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue Apr 24 22:33:39 2007 => Offending Folder found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\microsoft games\fs2002\adv
Tue Apr 24 22:35:08 2007 => Offending Folder found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\microsoft games\fs2002\adv
Wed Apr 25 00:04:14 2007 => Offending Folder found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\microsoft games\fs2002\adv
Wed Apr 25 00:05:19 2007 => Offending Folder found: C:\Dokumente und Einstellungen\******\Eigene Dateien\sicherung zeus\programme\microsoft games\fs2002\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Apr 24 22:32:19 2007 => Offending Key found: HKLM\Software\magnet !!!
Tue Apr 24 22:32:19 2007 => Offending Key found: HKCU\\magnet !!!
Tue Apr 24 22:32:19 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Tue Apr 24 22:32:19 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Tue Apr 24 22:32:19 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Wed Apr 25 00:03:09 2007 => Offending Key found: HKLM\Software\magnet !!!
Wed Apr 25 00:03:10 2007 => Offending Key found: HKCU\\magnet !!!
Wed Apr 25 00:03:10 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Wed Apr 25 00:03:10 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Wed Apr 25 00:03:10 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 22:51:31 2007 => C:\DOKUME~1\******\LOKALE~1\TEMPOR~1\Content.IE5\EZ6FU5AF\ErrorSafeGermanNewReleaseInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Wed Apr 25 00:11:36 2007 => C:\DOKUME~1\******\LOKALE~1\TEMPOR~1\Content.IE5\EZ6FU5AF\ErrorSafeGermanNewReleaseInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Wed Apr 25 02:57:00 2007 => C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZ6FU5AF\ErrorSafeGermanNewReleaseInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 23:04:48 2007 => Gefundene Viren: 17
Wed Apr 25 07:13:10 2007 => Gefundene Viren: 24
Tue Apr 24 23:04:48 2007 => Anzahl Fehler: 162
Wed Apr 25 07:13:10 2007 => Anzahl Fehler: 166
Tue Apr 24 23:04:48 2007 => Dauer des Scans bisher: 00:33:47
Wed Apr 25 07:13:10 2007 => Dauer des Scans bisher: 07:10:25
Tue Apr 24 23:04:48 2007 => Gescannte Dateien: 39754
Wed Apr 25 02:17:33 2007 => Scanne Ordner: C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Bilder\Adobe\Gescannte Fotos\*.*
Wed Apr 25 07:13:10 2007 => Gescannte Dateien: 195258
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 24 22:30:43 2007 => Specherüberprüfung: Aktiviert
Wed Apr 25 00:02:36 2007 => Specherüberprüfung: Aktiviert
Tue Apr 24 22:30:43 2007 => Registry Überprüfung: Aktiviert
Wed Apr 25 00:02:36 2007 => Registry Überprüfung: Aktiviert
Tue Apr 24 22:30:43 2007 => System-Ordner Überprüfung: Aktiviert
Wed Apr 25 00:02:36 2007 => System-Ordner Überprüfung: Aktiviert
Tue Apr 24 22:30:43 2007 => Überprüfung der Systembereiche: Deaktiviert
Wed Apr 25 00:02:36 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Apr 24 22:30:43 2007 => Überprüfung der Dienste: Aktiviert
Wed Apr 25 00:02:36 2007 => Überprüfung der Dienste: Aktiviert
Tue Apr 24 22:30:43 2007 => Überprüfung der Festplatten: Deaktiviert
Wed Apr 25 00:02:36 2007 => Überprüfung der Festplatten: Aktiviert
Tue Apr 24 22:30:43 2007 => Überprüfung aller Festplatten : Aktiviert
Wed Apr 25 00:02:36 2007 => Überprüfung aller Festplatten : Deaktiviert



Im zeitlichen Loch zwischen 23:?? und 00:?? war der Rechner aus, da ich vom Büro nach Hause gefahren bin.

Da nach dem Neustart wieder ständig Meldungen hochkamen, habe ich im Task Manager einige Prozesse angehalten. Nachdem ich einen Prozess angehalten habe der den gleichen Namen wie die nachfolgende Fehlermeldung trug, kamen keine Meldungen mehr hoch (TR's hat AV aber weiterhin gefunden).

Wed Apr 25 00:03:12 2007 => Offending file found: C:\WINDOWS\xpupdate.exe

Das HijackThis Protokoll von Gestern hatte ich nicht editiert (sorry völlig übersehen) ich werde jetzt noch einmal HijackThis starten und dann das Protokoll einstellen.

Vorab schon mal besten Dank an alle.

Geändert von lodda nee nich der... (25.04.2007 um 07:59 Uhr)

Alt 25.04.2007, 08:17   #5
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



So und hier das hoffentlich komplett editierte Logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:01:53, on 25.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\kernels32.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\vexg4am1et2.exe
C:\DOKUME~1\******\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.sli****g.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer

7.0\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter

Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [VaCtrls] v7
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg]

C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader

8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader

8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ControlCenter.lnk = C:\Programme\T-Com\Eumex 800 V1.00\ControlCenter.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O15 - Trusted Zone: h**p://w*w.sch**rg.de
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) -

h**ps://com*onents.view*oint.c*m/MTSInstallers/MetaStream3.cab?url=h**p://w*w.ast*nm*rt*n.c*m/con

figurator/v8vantage_load.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h**p://g*.m*cr*s*ft.c*m/fwlink/?linkid=39**4
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h**p://*pd*t*.m*cr*s*ft.c*m/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?11**61**92

468
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) -

h**ps://tr*nsf*rs.ds.m*cr*s*ft.c*m/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

h**p://fl*r*d*k*ysm*d**.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) -

h**ps://m*d**.p*n*c*n*r*s**rch.c*m/ActiveX/downloadcontrol.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATLWpServer - lambdaTEC GmbH Wiesbaden - C:\Programme\lambdaTEC\WINPLAN

3.0\ATLWpServer.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. -

C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google

Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame

Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: vwservice - Unknown owner - C:\WINDOWS\system32\vwsrv.exe (file missing)

Danke für Eure Hilfe.


Alt 25.04.2007, 10:47   #6
undoreal
/// AVZ-Toolkit Guru
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Morgen..

Dein Rechner ist ganz gut zugeballert..

-Lasse folgende Programme laufen:
-CWS
-SmidtfraudFix
-SSW
-AdAware
-Spybot
-PrevX
-Blacklight -> poste bitte das log..

Danach lässt du cCleaner arbeiten. Die Registry musst du mehrmals aufräumen..

Und dann machst du bitte einen erneuten eScan. Nur diesmal bitte im abgesicherten Modus... -> Poste das logFile.

Gruß

Undoreal
__________________
--> neuer TR? TR/Dldr.Sisdot

Alt 25.04.2007, 15:22   #7
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Der ist so zugeknallt weil ich Ihn zum einen beruflich brauche und dann noch meine Familie damit im Netz surft.

Die Programme habe ich alle geholt.

Wird wohl seine Zeit dauern bis alles durch ist.

Vorab schon mal Danke, ich melde mich wenn ich fertig bin.

Alt 26.04.2007, 17:30   #8
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Guten Abend,

so die Liste ist abgearbeitet.

CWS, SmidtFraudFix und SSW liefen hervorragend. Alle hatten Funde und haben Dateien beseitigt, wobei einer (ich meine es war SmidtFraudFix) von den 4 Hundert und noch Fehlern in der Regestrie nur 20 beiseitigt sofern man nicht die Vollversion erwirbt.

AdAware lies sich erst gar nicht aktivieren. Angeblich sei die Periode abgelaufen. Das waren extrem kurze 30Tage, da auf dem Rechner noch nie zuvor irgend etwas von AdAware war.

Spybot lief wieder hervorragend. Ich habe es nach dem Scan aller anderen Programme als Resident installiert und die Immunisierung durchgeführt.

Prevx teilte mir beim Versuch der Installierung mit das es nicht auf meinem System funktioniert und hatte fertig.

Blacklight hat keine Treffer gefunden, siehe auch Logfile.

cCleaner hat alle Tempdateien gelöscht und noch satte 20 Feheler in der Regestrie behoben.

Danach habe ich das Defragmentierungsprogramm von MS gestartet und im Anschluss noch einmal Blacklight und CCleaner laufen lassen.

Blacklight wieder ohne Befund, cCleaner mit 6 Fehlern in der Regestrie.

Über Nacht lief dann der eScan im abgesicherten Modus, die Zusammenfassung des Logfiles ist anbei.

Zu guter letzt habe ich heute Morgen noch ein Programm mit dem Namen VACtrl V7 aus dem Autostart genommen, da ich keine Ahnung habe wofür es gut sein soll und nach einer Google Suche nur Kommentare wie: "runter damit" gefunden habe.

Bis jetzt ist mein Arbeitstag ohne Störungen durch den TR/Dldr Sisdot abgelaufen. Hin und wieder meldet sich AntiVir (2 od 3 mal heute) mit Funden obwohl ich bis vor 2 Stunden nur offline gearbeitet habe.

Aus meiner Sicht würde ich sagen der Rechner ist jetzt wieder sauber aber noch nicht ganz rein.

Somit erst einmal meinen besten Dank an "undoreal" für die tolle Unterstützung und an alle Anderen die dieses Board jeden Tag wieder zu einer erstklassigen Adresse im Netz machen.

Hier jetzt die Logfiles:

Nr.1 vom Blacklight:

04/25/07 21:13:00 [Info]: BlackLight Engine 1.0.61 initialized
04/25/07 21:13:00 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/25/07 21:13:01 [Note]: 7019 4
04/25/07 21:13:01 [Note]: 7005 0
04/25/07 21:13:14 [Note]: 7006 0
04/25/07 21:13:14 [Note]: 7011 212
04/25/07 21:13:14 [Note]: 7026 0
04/25/07 21:13:14 [Note]: 7026 0
04/25/07 21:13:18 [Note]: FSRAW library version 1.7.1021
04/25/07 21:20:09 [Note]: 2000 1012
04/25/07 21:21:01 [Note]: 7007 0


Nr. 2 vom Blacklight:

04/25/07 23:19:48 [Info]: BlackLight Engine 1.0.61 initialized
04/25/07 23:19:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/25/07 23:19:48 [Note]: 7019 4
04/25/07 23:19:48 [Note]: 7005 0
04/25/07 23:20:01 [Note]: 7006 0
04/25/07 23:20:01 [Note]: 7011 212
04/25/07 23:20:01 [Note]: 7026 0
04/25/07 23:20:01 [Note]: 7026 0
04/25/07 23:20:03 [Note]: FSRAW library version 1.7.1021
04/25/07 23:26:09 [Note]: 2000 1012
04/25/07 23:41:08 [Note]: 7007 0


Zusammenfassung des Logfiles vom eScann im abgesicherten Modus:

Thu Apr 26 04:06:37 2007 => ***** Scan vollständig. *****

Thu Apr 26 04:06:37 2007 => Gescannte Dateien: 135891
Thu Apr 26 04:06:37 2007 => Gefundene Viren: 4
Thu Apr 26 04:06:37 2007 => Anzahl der desinfizierten Dateien: 0
Thu Apr 26 04:06:37 2007 => Umbenannte Dateien: 0
Thu Apr 26 04:06:37 2007 => Anzahl der gelöschten Dateien: 0
Thu Apr 26 04:06:37 2007 => Anzahl Fehler: 10
Thu Apr 26 04:06:37 2007 => Dauer des Scans bisher: 04:20:23
Thu Apr 26 04:06:37 2007 => Virus-Datenbank Datum: 4/23/2007
Thu Apr 26 04:06:37 2007 => Virus-Datenbank Zähler: 300615

Thu Apr 26 04:06:37 2007 => Scan vollständig.

Alt 26.04.2007, 19:21   #9
undoreal
/// AVZ-Toolkit Guru
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Halli hallo. Das war die Grundreinigung.. Jetzt müssen wir in der **** wühlen

Magst du den eScan log mit Hilfe der find.bat auswerten und das Ergebnis posten.. Hilfe dazu ist in meiner Signatur verlinkt.

Ein neues HijackThis log wäre auch super..

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 26.04.2007, 21:34   #10
lodda nee nich der...
 
neuer TR? TR/Dldr.Sisdot - Reden

neuer TR? TR/Dldr.Sisdot



Guten Abend,

also lust in der ******* zu wühlen habe ich eigentlich nicht aber es wird sich wohl nicht umgehen lassen.

Hier erst einmal der eScan LOG von letzter Nacht, den ich zuvor mit Hilfe der find.bat erstellt habe:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Apr 25 23:46:06 2007 => Version 9.1.9
Wed Apr 25 23:45:49 2007 => Virus-Datenbank Datum: 4/23/2007
Thu Apr 26 04:06:37 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Apr 26 01:11:54 2007 => Datei {Ebay-Rechnung.pdf.exe} infiziert von "Trojan-Downloader.Win32.Nurech.bg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Thu Apr 26 01:14:41 2007 => Datei {} infiziert von "Trojan-Spy.HTML.Bankfraud.od" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Apr 26 02:00:07 2007 => File C:\Programme\Download\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 02:00:10 2007 => File C:\Programme\Download\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 04:06:37 2007 => Gefundene Viren: 4
Thu Apr 26 04:06:37 2007 => Anzahl Fehler: 10
Thu Apr 26 04:06:37 2007 => Dauer des Scans bisher: 04:20:23
Thu Apr 26 01:15:32 2007 => Scanne Ordner: C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Bilder\Adobe\Gescannte Fotos\*.*
Thu Apr 26 04:06:37 2007 => Gescannte Dateien: 135891
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 25 23:46:07 2007 => Specherüberprüfung: Aktiviert
Wed Apr 25 23:46:07 2007 => Registry Überprüfung: Aktiviert
Wed Apr 25 23:46:07 2007 => System-Ordner Überprüfung: Aktiviert
Wed Apr 25 23:46:07 2007 => Überprüfung der Systembereiche: Deaktiviert
Wed Apr 25 23:46:07 2007 => Überprüfung der Dienste: Aktiviert
Wed Apr 25 23:46:07 2007 => Überprüfung der Festplatten: Deaktiviert
Wed Apr 25 23:46:07 2007 => Überprüfung aller Festplatten :Aktiviert


So jetzt noch den neusten HijackThis von gerade:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:33, on 26.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\svchost.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\DOKUME~1\******\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.sl*c*-*g.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ******
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139613592468
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} -
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATLWpServer - lambdaTEC GmbH Wiesbaden - C:\Programme\lambdaTEC\WINPLAN 3.0\ATLWpServer.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

So das war es für mich für heute, ich fahr jetzt erst mal nach Hause und leg mich schlafen.

Nochmals besten Dank für Deine Hilfe, morgen habe ich ein Meeting und werde wohl erst gegen Abend wieder reinschauen können und dann sollte mein Elan um in der ******* zu wühlen auch wieder da sein.


Alt 27.04.2007, 01:21   #11
undoreal
/// AVZ-Toolkit Guru
 
neuer TR? TR/Dldr.Sisdot - Standard

neuer TR? TR/Dldr.Sisdot



Gut, zippen den SmidtfraudFix Ordner bitte und belege ihn mit einem Passwort.

Dann machst du noch einen eScan und lässt das Häkchen bei "Scan only" weg.

Danach lasse bitte CCleaner arbeiten und erstelle ein neues HJT log.

Bis denn

Undoreal

PS: Den verstehe ich nicht
Zitat:
Datei {} infiziert

[EDIT] Und mir ist grad' aufgefallen das etwas mit deinem log nicht stimmt..

Zitat:
Thu Apr 26 04:06:37 2007 => Gefundene Viren: 4
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Apr 26 01:11:54 2007 => Datei {Ebay-Rechnung.pdf.exe} infiziert von "Trojan-Downloader.Win32.Nurech.bg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Thu Apr 26 01:14:41 2007 => Datei {} infiziert von "Trojan-Spy.HTML.Bankfraud.od" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
^^ Marc ?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu neuer TR? TR/Dldr.Sisdot
.dll, 0 bytes, 1.exe, antivir, avg, avgnt.exe, avira, ctfmon.exe, dateien gelöscht, einstellungen, iexplore.exe, immer wieder, infiziert, jusched.exe, launch, logon.exe, löschen, modul, monitor.exe, neustart, nt.dll, problem, prozesse, quara, registry, rundll, scan, selbstätig, services.exe, software, suchlauf, svchost.exe, task-manager, temp, versteckte objekte, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, öffnet



Ähnliche Themen: neuer TR? TR/Dldr.Sisdot


  1. Neuer Rechner; Neuer Virenschutz & Windows 8 Secure-Einstellungen
    Antiviren-, Firewall- und andere Schutzprogramme - 12.10.2014 (21)
  2. Neuer Pc, neuer Anfang - Notwendige Schutzprogramme
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2013 (3)
  3. Java-Virus JAVA/Dldr.Dermit.C, JAVA/Dldr.Kara.AB.1, JAVA/Dldr.Karame.AI
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  4. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  5. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  6. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  7. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  8. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  9. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  10. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  11. TR/Dldr.Calac.dmg und Dldr.Elly.L gefunden. Und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (25)
  12. neuer verdacht auf Backdoorprogrammes BDS/VB.bkc.183 und TR/Dldr.Zlob.Gen
    Mülltonne - 24.08.2008 (0)
  13. TR/Agent.AY, TR/Dldr.Delmed.B, TR/Dldr.Stubby.C
    Log-Analyse und Auswertung - 15.09.2006 (1)
  14. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  15. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  16. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  17. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)

Zum Thema neuer TR? TR/Dldr.Sisdot - Hallöle, bin neu hier und habe natürlich ein Problem mit einem TR. Google findet unter dem o.g. Namen nur einen Treffer und der geht zu einer Liste von AntiVir auf - neuer TR? TR/Dldr.Sisdot...
Archiv
Du betrachtest: neuer TR? TR/Dldr.Sisdot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.