Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bekomme TR/Dldr.Small.hwc nicht weg !!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2008, 12:34   #1
roketstar
 
bekomme TR/Dldr.Small.hwc nicht weg !!! - Standard

bekomme TR/Dldr.Small.hwc nicht weg !!!



hi,
habe mir im Netz trotz aktiven Virenscanner und SuperAntiSpy den genannten Trojaner eingefangen der nicht wegzubekommen ist.
Beim Start von Xp meldet Antivir die Datei:
ftpdll.dll
als infiziert-siehe Überschrift- und das an zwei Orten; in System32 und in eigene...Dokumente bla bla bla
Die Dateien werden erst beim starten erstellt, kann die auch mit Antivir löschen will aber die Ursache endlich finden damit das nicht mehr passiert.
Habe schon einiges an scannern ausprobiert:
SuperAntiSpy
AntiVir Komplettscan
Vundo-Fix
ComboFix
cccleaner
ATF-Cleaner
SmitfraudFix- mehrfach probiert
hier die logs:
ComboFix 08-02-15.2 - holi 2008-02-24 12:40:56.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.708 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-24 bis 2008-02-24 ))))))))))))))))))))))))))))))
.

2008-02-24 12:38 . 2008-02-24 12:38 85,542 ---hs---- C:\WINDOWS\system32\drivers\spools.exe
2008-02-24 12:16 . 2008-02-24 12:16 <DIR> d-------- C:\VundoFix Backups
2008-02-24 12:01 . 2005-07-27 19:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-24 12:01 . 2008-02-20 01:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-24 11:47 . 2008-02-24 12:13 <DIR> d-------- C:\SmitfraudFix
2008-02-24 03:49 . 2008-02-24 02:46 1,301,316 --a------ C:\SmitfraudFix.exe
2008-02-24 02:51 . 2008-02-24 12:10 1,964 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-20 02:04 . 2008-02-20 02:04 <DIR> d-------- C:\Programme\CCleaner
2008-02-19 12:54 . 2008-02-19 12:54 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-19 12:54 . 2006-05-25 10:29 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-19 12:43 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-19 12:42 . 2008-02-19 12:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-02-17 14:41 . 2008-02-17 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 14:40 . 2008-02-23 20:34 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 06:56 . 2008-02-17 06:56 <DIR> d-------- C:\Programme\Trend Micro
2008-02-11 17:19 . 2008-02-11 17:19 <DIR> d-------- C:\Programme\iPhoneBrowser
2008-02-10 16:07 . 2008-02-10 16:07 <DIR> d-------- C:\Programme\BreakPoint Software
2008-02-09 14:47 . 2008-02-09 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\klickTel
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Programme\DU Meter
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-21 21:02 --------- d-----w C:\Programme\TVgenial
2008-02-20 01:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 11:43 --------- d-----w C:\Programme\Java
2008-02-17 06:28 --------- d-----w C:\Programme\RegCleaner
2008-02-06 08:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 07:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-12 18:59 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Apple Computer
2008-01-08 01:44 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Computer Aces
2008-01-01 04:31 --------- d-----w C:\Programme\ReflexiveArcade
2006-02-19 16:57 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-03-12 00:10 14336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-02-02 14:32 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-26 18:34 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-05 18:03 267064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-03-12 00:10 14336]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 C:\WINDOWS\system32\NeroCheck.exe

R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys [2005-10-02 14:14]
R1 fwdrv;Tiny Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys [2001-10-12 15:25]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]
S3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 15:34]
S3 DTT200U;DTT200U DVB-T USB receiver Driver;C:\WINDOWS\system32\Drivers\DTT200U.sys [2004-09-06 05:40]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;C:\WINDOWS\system32\Drivers\DTT200ULD.sys [2004-12-14 20:42]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe []
S3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2007-07-27 09:38]
S3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 12:42:10
Windows 5.1.2600 Service Pack 2, v.2096 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-24 12:42:37


SmitFraudFix v2.294

Scan done at 12:10:47,06, 24.02.2008
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




VundoFix V6.7.8

Checking Java version...

Sun Java not detected
Scan started at 12:16:27 24.02.2008

Listing files found while scanning....

No infected files were found.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:19, on 24.02.2008
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4259 bytes


was kann ich noch machen damit ich diese Plage loswerde?

plz help

Antwort

Themen zu bekomme TR/Dldr.Small.hwc nicht weg !!!
administrator, adobe, analysis, antivir, attention, avg, avgnt, avgnt.exe, avira, bho, ctfmon.exe, drivers, einstellungen, excel, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, jusched.exe, malware, registry, s-1-5-18, scan, starten, system, temp, trojaner, trojaner eingefangen, unknown file in winsock lsp, usb, windows, windows xp, windows\system32\drivers



Ähnliche Themen: bekomme TR/Dldr.Small.hwc nicht weg !!!


  1. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  2. TR/Dldr.Small.baxe und TR/Dldr.Small.baxg. Ich krieg sie nicht mehr los!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  3. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  4. TR/Dldr.Tiny.brm - Trojan ich bekomme ihn einfach nicht runter
    Plagegeister aller Art und deren Bekämpfung - 16.08.2008 (3)
  5. Infiziert mit TR/Dldr.small.cnh.14 und TR/Trop.Small.XL, was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (1)
  6. Hilfe bei 2 Trojanern:Small.GQ.4 und Dldr.Small.buy
    Log-Analyse und Auswertung - 15.06.2006 (3)
  7. TR/Dldr.small.ayl.0 - er will nicht gehen!
    Log-Analyse und Auswertung - 08.05.2006 (6)
  8. wie bekomme ich win32.small.ev weg??
    Plagegeister aller Art und deren Bekämpfung - 31.07.2005 (1)
  9. TR/Dldr.Small.alr.1 will nicht weg
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (5)
  10. Bekomme TR/Dldr.Agent.BQ nicht weg!!!
    Log-Analyse und Auswertung - 28.05.2005 (1)
  11. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  12. Trojaner Dldr.Small.UV.3 und Small.AR.1.C
    Log-Analyse und Auswertung - 14.03.2005 (6)
  13. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  14. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  15. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema bekomme TR/Dldr.Small.hwc nicht weg !!! - hi, habe mir im Netz trotz aktiven Virenscanner und SuperAntiSpy den genannten Trojaner eingefangen der nicht wegzubekommen ist. Beim Start von Xp meldet Antivir die Datei: ftpdll.dll als infiziert-siehe Überschrift- - bekomme TR/Dldr.Small.hwc nicht weg !!!...
Archiv
Du betrachtest: bekomme TR/Dldr.Small.hwc nicht weg !!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.