Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Keenval.B.3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.09.2004, 00:28   #1
daniella
 
TR/Dldr.Keenval.B.3 - Unglücklich

TR/Dldr.Keenval.B.3



Hallo ihr lieben,

ihr könntet meine große Rettung sein.

Ich bin nur eine blöde Studentin , die von Computern nicht sooo viel Ahnung hat.
Mein Virenscanner (AntiVir version6) hat nun ein trojanisches Pferd erkannt, dass aber nicht gelöscht werden kann,w eil es sich in einem sogenannten Archiv befindet. (Typ CAB). Ich kann diese Datei auch nicht selbst löschen. ich habe ausserdem adaware(findet das Pferd aber nicht).
Was braucht ihr sonst noch für Angaben, um mir evtl helfen zu können?
Ich hab Windows ME drauf.
Das Pferd befindet sich in einer Datei in "_Restore/Archive".
Fragt einfach nach (bitte in Normalsprache - ich versteh teilweise gar nicht, wovon computercracks reden )

Ich wäre euch sehr dankbar wenn ihr mir irgendwie helfen könnt.
hab hier ein bißchen quergelesen und HijackThis jetzt runtergealden.
Ich hab so nen scan gemacht.
was soll ich da unkenntlich machen?
kann das dann ja hier reinkopieren (aber will vorher sichergehen, dass ich nicht was hier reinkopier was keiner lesen sollte)

Vielen Dank wem auch immer, der sich meiner erbarmt und mir helfen kann.
Liebe Grüße,
Dani

Alt 26.09.2004, 00:44   #2
MountainKing
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



Hallo Dani,

deaktiviere zunächst mal wie hier beschrieben:

http://www.bsi.de/av/texte/wiederher_me.htm

die Systemwiederherstellung. Starte dann den Rechner einmal neu und aktiviere sie wieder, damit sollte zumindest diese Meldung bzw. der grund dafür weg sein.
Dann kopierst du das Log von HijackThis bitte herein, du kannst persönliche Daten unkenntlich machen, wobei es sich hier eigentlich lediglich um deinen Namen handeln könnte, etwa bei der Pfadangabe C\eigenedateien\dein_name\ oder so.
Wobei wir die Hälfte davon ja vielleicht schon wissen. Ansonsten bitte nichts weiter unkenntlich machen und den gesamten inhalt kopieren.
__________________


Alt 26.09.2004, 00:48   #3
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



Ich bins gleich nochmal.

hab das jetzt mal durchgekuckt und da sah nix nach passwort aus und ausserdem hab ich beim hier querlesen gesehen, dass die meisten das auch einfach reinkopieren...

richtig krass, das seh ja sogar ich, ist, dass da so "sexzeug" dabei ist. Ich bin NIE auf Sexseiten. Wie kommt sowas? (Vielleicht war ein Freund oder Bruder, der am Rechner war ja ohne mein Wissen? )




Logfile of HijackThis v1.98.2
Scan saved at 01:42:21, on 26.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.0000.2693\DE\MSNAPPAU.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\PROGRAMME\1&1 INTERNET\PROFI-DIALER\PROFIDIALER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0000.2693\en-xu\stmain.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Updater] "C:\Programme\MSN Apps\Updater\01.02.0000.2693\de\msnappau.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://TryToImproveSecurity.com/fa/x.chm::/load.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253






so. um ehrlich zu sein weiß ich gar nicht, was das jetzt genau ist, dieses log. wenn ich etwas machen soll, dann gebt mir bitte genaue anweisungen. ich hab echt keine ahnung...
Vielen Dank,
Daniella
__________________

Alt 26.09.2004, 00:50   #4
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



Vielen Dank Mountain King. das probier ich gleich mal. hoffentlich stell ich mich nicht doof an.

lol. mir ist das ja ein Rätsel wie ihr euch alle mit dem zeug so gut auskennen könnt... allergrößten respekt echt.

bis bald
dani

Alt 26.09.2004, 01:02   #5
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



so.

hab das getan. jetzt wieder aktiviert. (was hat das denn nun gebracht?) naja. ich muss es ja nicht checken solang wir dieses mistding wegbringen.

den virenscan mach ich jetzt nicht nochmal gleich oder?oder soll ich? sollte das pferd dann nicht mehr auftauchen?
werds evtl morgen machen. is ja schon später jetzt...
u.wart mal ab was du(ihr) zu dem log sagt..

Vielen Dank für deine Hilfe.
daniella


Alt 26.09.2004, 01:04   #6
MountainKing
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



NIIIIIIIEEEEEMAND geht je auf Sexseiten!!

Das Log gibt uns einen Überblick über gestartete Programme und bestimmte Einstellungen, die mit dem IE zu tun haben, da kann man einige Schädlinge erkennen und erhält wichtige Informationen über dein System, da wir ka leider nicht vor deinem Rechner sitzen.

Soooooo, dann wollen wir mal.

Zunächst mal entpacke HijackThis in ein eigenes Verzeichnis und starte es von dort aus, denn so erstellt das Programm einen Backup-Ordner zur Sicherheit, da kannst du alles wiederherstellen bei Problemen.


Besorge dir dann dieses Programm:

http://www.cexx.org/lspfix.htm

Ist nur zur Sicherheit, falls irgendwas mit dem Netz dann nicht gehen sollte, kannst du das verwenden, dürfte aber nichts passieren.


E-Scan herunterladen und wie beschrieben updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://TryToImproveSecurity.com/fa/x.chm::/load.exe
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yah.../ymmapi_416.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab


Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Edit: Der Restore-Ordner sollte jetzt leer sein und die entsprechende Datei darin verschwunden, ja.

Alt 26.09.2004, 01:18   #7
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



oh, das ist super!!!

sogar "fast" verständlich für mich.

eine frage hab ich noch: was ist genau "entpacken"
da steht was von winzip und winwar. ich hab beides nicht auf dem PC. aber müsste doch irgendsowas haben. wie entpck ich das?soll ja HijackThis und dann escan entpacken. wie ghet das?

sorry wenn die fragen allzu blöd klingen. lol

Liebe Grüße,
dani

PS: Ich bin tatsächlich nie auf sexseiten.lol

Alt 26.09.2004, 01:24   #8
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



hm.

also ich hab winzip heruntergeladen.

aber wie ich jetzt entpcke weiß ich trotzdem nicht so recht. probier noch ein bißchen rum. vielen dank erstmal. schau morgen wieder vorbei.

Daniella

Alt 26.09.2004, 01:44   #9
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



nochmal ich....

also, auf der URL die du mir für escan gegeben hast, steht, ich solle die datei mwav.exe entpacken in c:/bases????
also, deine erklärungen waren wunderbar, die auf der seite lassen für nullchecker wie mich zu wünschen übrig.

also c:/bases. was ist das? unter c: hab ich keine "bases"...
oh je, ist es arg schlimm mit meiner nichtahnung???
und dieses mwav. exe. naja, ich versuch das runterzuladen, aber da kommt "can't create outoputfile :c:/windows/Temp/ipc.dll"
ich versteh nix mehr.
ok, jetzt hab ichs "auf dem PC speichern"runtergeladen.

hab das "extrahieren gecheckt". *freu*
habs jetzt unter C:/programme.
ist das denn richtig? oder wie is das mit bases?

also ich schau morgen nochmal rein und mach dann weiter.
Vielen Dank.
Gute Nacht,
daniella

Alt 26.09.2004, 01:49   #10
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



hahahaha



werd ja noch zum checker noch hier...lol

hab jetzt escan aktualisiert, sehr cool!!! war gar nicht so schwer.
also, jetzt werd ich also den rest versuchen. sollte jetzt aber echt mal ins bett und morgen weitermachen.

gute nacht zum 100.Mal

daniella

Alt 26.09.2004, 02:14   #11
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



so, nun zum allerletzten Mal für heute Nacht.

Also, wie meinst du das mit "lösche die in den Einträgen genannten Dateien"? sind die nicht durch highjackthis dann gelöscht? also, da hab ich das gemacht wie du gesagt hast.
dann hab ich im abgesicherten modus gebootet und wustte dann aber nicht , was ich jetzt genau machen sollte. wollte dieses escan laufen lassen, aber da hat wohl auch was noch nicht gescnackelt in meinem Kopf...
ach ich idiot. muss mwavscan.com dann finden und kann damit scannen, richtig?
na das hab ich leider im abgesicherten modus nicht gecheckt.

kann ich das morgen einfach wieder machen oder muss ich nochmal bei highjackthis fixen bevor ich reboote?
dann wär ich ja schon fast fertig und kann die escanergebnisse und ein neues log reinstellen.

Liebe Grüße.
jetzt geh ich echt schlafen.
daniella

Alt 26.09.2004, 02:27   #12
Cidre
Administrator, a.D.
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



Zitat:
kann ich das morgen einfach wieder machen oder muss ich nochmal bei highjackthis fixen bevor ich reboote?
Ja, kannst du machen.
Du stellst ja eh nochmal ein Log-File rein und dann wird man sehen, ob wieder alles sauber ist.
__________________
Gruß, Cidre


Alt 26.09.2004, 14:39   #13
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



hi.

ich hab das jetzt mal gemacht.
bin mir aber nicht sicher. hatte irgendwie doch die alte version von escan, das mit dem aktualisieren hat also aus irgendeinem grund nicht geklappt.
also, das ist mein log von escan:



moment, das schick ich gleich..........


mein neues hijackthislog:

Logfile of HijackThis v1.98.2
Scan saved at 15:32:20, on 26.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.0000.2693\DE\MSNAPPAU.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\PROGRAMME\1&1 INTERNET\PROFI-DIALER\PROFIDIALER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982[1]\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0000.2693\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Updater] "C:\Programme\MSN Apps\Updater\01.02.0000.2693\de\msnappau.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

ziemlich lang diesmal...alles ok da drin????


hallo, was geht?????
hab bei c:/ jetzt dateien z.B. mit namen trojan.avc und pornware.avc

was geht jetzt?
und plötzlich hab ich so ein "bases" ordner und da ist aber auch das gleiche drin, also z.b. trojan.avc

also jetzt krieg ich langsam angst...

seid ihr auch sicher liebe leute, die einem helfen wollen und einem nicht nur helfen, noch mehr shit draufzumachen?

hilfeeeeeeeeee

Alt 26.09.2004, 14:43   #14
daniella
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



ein freund sagte mir jetzt ich solle den kostenlosen scan bei www.pandasoftware.com machen. der würde alles finden und löschen. das probier ich jetzt auch mal.
was haltet ihr davon?

Verdammte Scheiße. Ich muss ne hausarbeit schreiben und mein PC muss so n shit haben jetzt....

liebe grüße
daniella

Alt 26.09.2004, 14:54   #15
*Christian*
Gast
 
TR/Dldr.Keenval.B.3 - Standard

TR/Dldr.Keenval.B.3



Kein Virenscanner findet alles ...

Wenn die MSN-Toolbar gewollt installiert ist, sehe ich eigentlich nichts beunruhigendes in deinem Log.

Antwort

Themen zu TR/Dldr.Keenval.B.3
adaware, ahnung, antivir, archiv, blöde, brauch, computer, computern, datei, einfach, erkannt, gelöscht, helfen, heulen, hijack, hijackthis, kopieren, lieben, pferd, scan, scanner, trojanisches, trojanisches pferd, unkenntlich, version, virenscan, virenscanner, windows



Ähnliche Themen: TR/Dldr.Keenval.B.3


  1. Norton Internet Security meldet Keenval in Malwarebytes ...
    Antiviren-, Firewall- und andere Schutzprogramme - 26.07.2014 (3)
  2. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  3. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  4. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  5. bekomme Trojan.Downloader.Keenval.F nicht in den Griff...HILFE
    Plagegeister aller Art und deren Bekämpfung - 03.06.2005 (23)
  6. birnge trojan.downloader.keenval.f nicht mehr weg
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (1)
  7. trojan.downloader.keenval.f
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (4)
  8. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  9. TR/Dldr.Keenval.F.1
    Plagegeister aller Art und deren Bekämpfung - 14.04.2005 (4)
  10. Trojan-Downloader.Win32.Keenval.j
    Plagegeister aller Art und deren Bekämpfung - 16.03.2005 (1)
  11. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  12. Hilfe gegen TR/Dldr.Keenval.3
    Log-Analyse und Auswertung - 26.02.2005 (5)
  13. Trojan.Downloader.Keenval.F
    Antiviren-, Firewall- und andere Schutzprogramme - 04.02.2005 (1)
  14. TR/Dldr.Keenval.1? kennt den jemand ?
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (21)
  15. Was ist zu tun gegen den trojaner Keenval????????
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (10)
  16. Gibt es noch Hilfe?? Würmer, Trojaner (Keenval, Alchemic...), Spyware, Dialer auf PC!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2004 (2)
  17. TrojanerDownloader.Win32.Keenval.f
    Plagegeister aller Art und deren Bekämpfung - 29.08.2004 (1)

Zum Thema TR/Dldr.Keenval.B.3 - Hallo ihr lieben, ihr könntet meine große Rettung sein. Ich bin nur eine blöde Studentin , die von Computern nicht sooo viel Ahnung hat. Mein Virenscanner (AntiVir version6) hat nun - TR/Dldr.Keenval.B.3...
Archiv
Du betrachtest: TR/Dldr.Keenval.B.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.