Hi.

Eben tauchte bei mir plötzlich die Meldung von meinem Norotn 2003 auf, dass die Datei Dractx.exe von nem Trojaner befallen soll. Norton versucht dann immer die Datei zu löschen aber sie stellt sich direkt danach wieder her.

Hier die Fehlermeldung von Norton:


Natürlich hab ich gegoogelt, aber nicht wirklich ein gutes Ergebnis dabei erzielt. Ich scanne grade das System mit "eScan", wo er bisher erst dies hier gefunden hat. Macht mir alles Angst

File C:\WINDOWS\mxTarget.dll infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted.
File C:\WINDOWS\poltt.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.
File C:\WINDOWS\preInsTT.exe infected by "not-a-virus:AdvWare.BiSpy.f" Virus. Action Taken: File Renamed.
File C:\WINDOWS\wsem218.dll infected by "TrojanDownloader.Win32.Dyfuca.cn" Virus. Action Taken: File Deleted.

---
In der normalen Windows Ansicht kann ich im Windows/system/ordner leider auch keine Dractx.exe finden, vielleicht ausgeblendet?, ansonsten hätte ich es schon probiert manuell zu löschen...

Irgendwelche Ideen?

Luke

Hallo,

Wechsle in den abgesicherten Modus und führe dies aus:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Danach sollte sich die Datei finden und löschen lassen.

btw:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Im Abgesicherten Modus was gelöscht hab ich jetzt noch nicht, hier die Log

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 15:25:45, on 07.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\WINDOWS\System32\oohperoe.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\...\Desktop\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.96.113.99:80
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [iqkjugilc] C:\WINDOWS\System32\oohperoe.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [FFIX32] C:\WINDOWS\system32\Dractx.exe
O4 - HKCU\..\Run: [FFIX32] C:\WINDOWS\system32\Dractx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potd_x.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef804...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{52593CE3-3472-44B5-8AA6-A2FA21C557D4}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{89484128-26F5-4C2A-A604-3046E7E0FB7C}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE1098AA-87D5-4C13-BDA9-C7E25821FB14}: NameServer = 192.168.1.1

Irgendwie hab ich das gefühl, das da zu viel Prozesse im Hintergrund laufen?!

Naja, wenn nichts anderes mehr kommt mach ich mich mal ans manuelle löschen...

Fixe auch diese Einträge im abg. Modus:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 213.96.113.99:80 => Wenn er von dir so konfiguriert wurde, dann nicht fixen!
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O4 - HKLM\..\Run: [iqkjugilc] C:\WINDOWS\System32\oohperoe.exe
O4 - HKLM\..\Run: [FFIX32] C:\WINDOWS\system32\Dractx.exe
O4 - HKCU\..\Run: [FFIX32] C:\WINDOWS\system32\Dractx.exe
Alle O16 Einträge

Lösche zusätzlich diese Dateien:
C:\WINDOWS\system32\Dractx.exe
C:\WINDOWS\System32\oohperoe.exe

Ok, Danke.

ja den proxyserver hatte ich selbst eingerichtet.
wie dieses oohperoe.exe dahin kommt keine Ahnung

Wenns weitere probleme gibt, meld ich mich, sieht aber gut aus bisher, thx :aplaus:

Luke