Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2008, 18:06   #1
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Hallo!

Ich hatte gestern zwei Meldungen über oben genannten Trojaner! Hab beide entfernt und nach erneutem Scan sagt AntiVir nichts mehr.

Zitat:
'C:\Programme\CryptLoad\cl08seCu10\plugins\123share.org.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/MSIL.Dedem.I'
und

Zitat:
In der Datei 'C:\System Volume Information\_restore{42A504E0-21FB-407A-86A6-CBE40910B485}\RP221\A0031645.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/MSIL.Dedem.I'
CryptLoad ist mir bekannt. Ist ein Programm um bei ShareHostern mehre Files laden zu können ohne selber eingreifen zu müssen. Hatte es schon ewig drauf, jetzt erst kam aber eine Meldung. Könnte mir eine mögliche Falschmeldung vorstellen, da das Programm auch dafür da ist, das Internet zu resetten um Wartezeiten zu verkürzen.

Hier nun mein HJT Scan. Wäre nett wenn sich das Teil mal jemand anschaut. Danke!

---

Logfile of HijackThis v1.99.1
Scan saved at 17:55:41, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\HiJackThis\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 25.03.2008, 18:13   #2
Usagi
Gast
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Hallo und Herzlich Willkommen
Nun wollen Wir uns um dein Problem kümmern.
In deinen HiJackThis-Log sehe ich nichts schädliches. Zur Sicherheit mache bitte einen Online-Virenscan z.B bei Kapersky oder TrendMicro und poste die Ergebnisse. Hast Du die Anwendung HijackThis schon umgenannt ? Nenne die Anwendung HijackThis in ABC.com um und mache nochmal ein frisches HiJackThis-Logfile. Sollte AntiVir meckern , einfach ignorieren.
__________________


Alt 25.03.2008, 20:37   #3
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Danke für die Begrüßung und die schnelle Antwort

Umbenannt ist die .exe, darüber hatte ich schon gelesen

Habe nun einen Kaspersky Online Scan gemacht, auch dieser hat nichts gefunden.

Ich habe den PC seit dem Befall nicht mehr neugestartet. Sollte ich das tun, dann vielleicht nochmal scannen oder zumindest nochmal ein HJT posten?

Edit: Mein Firefox baut übrigens seit ca. 1-2 Tagen teilweise Seiten nicht mehr richtig auf, bzw. lädt manche Bilder nicht mehr. So das ich die immer nachladen muss. Keine Ahnung obs damit zusammenhängt, ich habe vorgestern meinen Router neu aufgesetzt, daher kann das jetzt auch einfach nur Zufall sein und es ist ne Fehleinstellung.
__________________

Alt 25.03.2008, 20:43   #4
Usagi
Gast
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Hallo! Starte den PC neu. Führe HijackThis noch einmal neu aus und mache noch einen Onlinescan. Poste bitte das Ergebniss vom Onlinescan und ein frisches HiJackThis-Logfile.
Zur Sicherheit führe bitte Spybot Search & Destroy durch.
Die Seite von Spybot-S&D!
Poste die Ergebnisse von Spybot-S&D.

Alt 25.03.2008, 21:37   #5
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Soo, dann wollen wir mal.

Folgendes alles nach dem Reboot.

Kaspersky Online Scan:

Zitat:
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 16874
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:08:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\MANIAC.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\MEMORY.DMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{38D05137-5C16-4A90-A889-8634648CA2B0}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT02bfe.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT030e2.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Dabei stutzig gemacht hat mich "C:\WINDOWS\Debug\PASSWD.LOG", oder ist das was normales?

Spybot Search & Destroy:

Zitat:
--- Search result list ---
HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)


HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)


HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)
Und hier noch ein brandaktueller HTJ Scan:


Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 21:33:29, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\HiJackThis\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Alt 25.03.2008, 22:41   #6
Usagi
Gast
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Hm , die geschlossenen Dateien gefallen mir auch nicht. Die Cookies sind weiter nicht schlimm , die fängt sich jeder mal ein. Einfach auf "Probleme beheben" klicken und gut ist.
Das HJT-Logfile scheint sauber zu sein. Ich würd sagen das alles in Ordnung ist.
Probier mal folgendes: Versuche alle gesperrten Dateien mal auf VirusTotal - Free Online Virus and Malware Scan hochzuladen.

Alt 26.03.2008, 11:54   #7
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Ich hab mal ein wenig gegoogled. Das die gelisteten Files nicht gelesen werden können ist normal, da es System Dateien und/oder Dateien sind die gerade in Verwendung sind. Ich sitze gerade an meinem PC auf der Arbeit und habe mal verglichen: Bis auf wenige (Systembedingte) Ausnahmen sind alle Files aus meinem Log auch hier auf dem Rechner, an den selben Orten. Zusätzlich habe ich nach den Prozessen/Ordnern/Files gegoogled und eigtl. dürfte nichts davon von einem Schädling stammen.
Ich werde heute Abend noch mal alle durch VirusTotal jagen. Die PASSWD.log konnte ich da übrigens nicht hochladen, da sie zu klein ist.

Kann ich ansonsten davon ausgehen das mein System sauber ist?

Alt 26.03.2008, 17:31   #8
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Ich habe eben mal in die Firefox Fehler-Konsole geschaut, da tauchen ein paar Sachen auf, bin denen ich nichts anfangen kann. Hab mal nen Screenshot gemacht:

http://www.abload.de/img/fffehler1wv.jpg

Alt 26.03.2008, 17:50   #9
myrtille
/// TB-Ausbilder
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Zitat:
Ich hab mal ein wenig gegoogled. Das die gelisteten Files nicht gelesen werden können ist normal, da es System Dateien und/oder Dateien sind die gerade in Verwendung sind.
Danke!

Virustotal ist zwar nen tolles Angebot und häufig auch echt hilfreich, aber wenn man anfängt jeden Scheiß dort hochzuladen wird sich der Service nicht lange halten können.
Bitte nur bei konkretem Verdacht und Anhaltspunkten dort Dateien hochladen. (und nie mehr als 3-4 am Stück)

Ein solcher Anhaltspunkt wäre zum Beispiel ein vermuteter Fehlalarm, daher vllt mal die Datei:
Zitat:
'C:\Programme\CryptLoad\cl08seCu10\plugins\123share.org.dll
dort hochladen.

Was die Fehlerkonsole betrifft: Wie gut sind deine HTML- und Spanischkenntnisse? Das sind Fehlermeldungen, Webseiten die nicht einwandfrei geschrieben sind, Befehle die Firefox nicht interpretieren kann.
Wenn du Lust und Laune hast, kannst du die Leute ja mal anschreiben und fragen ob du es ihnen neuschreiben sollst.


Aktualisier bitte noch dein Java, aktuell ist 6.5 nicht 6.2 (alte Version bitte erst deinstallieren).
Was hast du denn über MSConfig deaktiviert? Dir bekannte Einträge? Oder hast du versucht unbekanntes aus dem Autostart zu nehmen?

lg myritlle

Alt 26.03.2008, 18:02   #10
boston
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



hi myrtille,
so wie ich verstanden habe, ist die fragliche datei bereits gelöscht.
ich hatte in einem ähnlichen fall um eine vt-prüfung gebeten, da gabs aber
bis jetzt keine antwort. ich gehe auch davon aus, daß es ein fehlalarm ist,
Zitat:
Hatte es schon ewig drauf, jetzt erst kam aber eine Meldung
die aktuelle 123share.org.dll von dieser download-quelle
CryptLoad - Download - CHIP Online
wird von keinem av-scanner bei virustotal als schädlich eingestuft.
aber vielleicht kommt die aufklärung ja durch den anderen thread.

Geändert von boston (26.03.2008 um 18:07 Uhr)

Alt 26.03.2008, 18:21   #11
beyondfear
 
Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Standard

Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!



Ich habe jetzt 3-4 Files geprüft, alles negativ.

Richtig, die befallene .dll habe ich nicht mehr, da ich im Affekt auf löschen geklickt habe.

@Fehlerkonsole: Ok, hatte ich mir gedacht, aber man weiß ja nie. Danke

Java aktualisier ich gleich.

Ich habe in msconfig ein paar Sachen aus dem Autostart geholt die unwichtig sind, Nero Check und so nen blödsinn. Habe vorher gegoogled was die betreffenden Prozesse tun. Habe da also nichts rausgeholt was ich nicht kenne.

Edit: So, Java ist auch aktuell.

Geändert von beyondfear (26.03.2008 um 18:29 Uhr)

Antwort

Themen zu Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!
ad-aware, adobe, antivir, avira, bho, bonjour, computer, excel, explorer, hijack, hijackthis, internet, internet explorer, magix, monitor, nvidia, rundll, scan, senden, server, software, system, trojaner, unknown file in winsock lsp, virus, windows, windows xp




Ähnliche Themen: Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!


  1. Noch Einer mit der 100€ Frage!
    Log-Analyse und Auswertung - 03.04.2012 (7)
  2. Und noch einer mit Bundespolizei Trojaner...
    Plagegeister aller Art und deren Bekämpfung - 23.02.2012 (8)
  3. Bundespolizei Trojaner (und noch einer...)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (14)
  4. Noch einer mit dem BKA Virus
    Plagegeister aller Art und deren Bekämpfung - 10.07.2011 (1)
  5. noch einer mit TR kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (26)
  6. Virus TR/Kazy.mekml.1 und noch einer
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (33)
  7. und noch einer: Trojaner TR/kazy.mekml.1
    Log-Analyse und Auswertung - 27.04.2011 (6)
  8. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  9. TR/MSIL.Dedem.I auf einmal in der System Volume Information gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.08.2008 (1)
  10. TR/MSIL.Dedem Problem
    Log-Analyse und Auswertung - 11.06.2008 (4)
  11. Trojaner TR/MSIL.Dedem.I
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (2)
  12. Trojaner TR/MSIL.Dedem.I
    Plagegeister aller Art und deren Bekämpfung - 29.03.2008 (12)
  13. Nochmal TR/MSIL.Dedem.I Problem - incl. HijackThis Log
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (2)
  14. Ich brauche bitte einen Rat bei einer Infektion
    Plagegeister aller Art und deren Bekämpfung - 01.02.2007 (3)
  15. TR/Click.526 - noch einer
    Log-Analyse und Auswertung - 17.09.2005 (2)

Zum Thema Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! - Hallo! Ich hatte gestern zwei Meldungen über oben genannten Trojaner! Hab beide entfernt und nach erneutem Scan sagt AntiVir nichts mehr. Zitat: 'C:\Programme\CryptLoad\cl08seCu10\plugins\123share.org.dll' wurde ein Virus oder unerwünschtes Programm 'TR/MSIL.Dedem.I' - Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!...
Archiv
Du betrachtest: Und noch einer: TR/MSIL.Dedem.I - Brauche Rat! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.