Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Dldr.Dyfuca.db hilfe..

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.11.2004, 14:49   #1
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Hallo,

ich hab ein Problem mit dem im Titel benannten trojanischem Pferd. Es beeinträchtigt meine Internetgeschwindigkeit beträchtlich und ruft automatisch Seiten auf die ich zuvor nie eingegeben habe.

Zur Abhilfe habe ich mir HijackThis runtergeladen und eine log Datei erstellt, welche ich mit Hilfe von der Seite "http://www.hijackthis.de/index.php" ausgewertet habe. Dabei habe ich alle Meldungen befolgt, jedoch taucht das Problem dennoch wieder auf!

Daher wende ich mich nochmal an dieses Forum und poste meine Log in der Hoffnung, dass Ihr vielleicht noch was findet, was die hijackthis.de/index seite nicht identifizieren konnte.

Hier meine Log.

Logfile of HijackThis v1.98.2
Scan saved at 14:01:16, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msconfig.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [msdev] msconfig.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE


Vielen Dank für Eure Hilfe im Vorraus!

Gruß
tunguy

Alt 17.11.2004, 15:18   #2
ZERO
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Hallo


Also dein log sieht soweit sauber aus!

Nur die datei ist unbekannt
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

Las sie bitte mal auf Maleware überprüfen und poste das ergebnis hier wieder!
http://virusscan.jotti.dhs.org

Und du solltest dein system auf sp2 updaten
__________________

__________________

Alt 17.11.2004, 15:30   #3
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Hallo nochmal,

vielen Dank für die schnelle Antwort!! habe die Datei mal prüfen lassen..Ich kopiere mal das Ergebnis:

Service load: 0% 100%

File: DevDetect.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.85 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.StartPage.fw in rpcnt4.dll, detected by:

Scanner Malware name Time taken
AntiVir X 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.StartPage.FW 0.33 seconds
ClamAV X 0.31 seconds
Dr.Web Trojan.StartPage.192 0.48 seconds
F-Prot Antivirus W32/Startpage.EV 0.06 seconds
Kaspersky Anti-Virus Trojan.Win32.StartPage.fw 0.59 seconds
mks_vir X 0.20 seconds
NOD32 X 0.35 seconds
Norman Virus Control X 0.12 seconds



Service statistics:

5494 files (4186 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
1272 of those 4186 files contained a virus or any other form of malware.
This page has been visited 12043 times in this time period.
This service managed to spot 82 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 538 suspicious files without any help from scanner results.
However, 39 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.07% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 123 times cvc.exe
2 backdoor.agobot.3.gen 58 times msvc32.exe
3 tr/drop.delf.fd.1 37 times FFF.SP2.Cleaner.v3.0.exe
4 tr/spam.avafx 34 times vbsys2.dll
5 tr/dldr.small.uv.3 32 times s1p1y.exe
6 backdoor.wootbot.gen 23 times Kopie van 1.exe.exe
7 trojan.downloader.inservice.i 23 times assassin-254.exe
8 win32:trojan-gen. {other} 22 times auto.exe
9 win32.p2p.spybot.gen 16 times svhost.exe
10 bds/beastdoor.205.a 16 times server.exe
11 win32.hllw.forbot.based 15 times winzipsys.exe
12 win32:trojan-gen. 15 times cia_upx.exe
13 backdoor.win32.agobot.gen 15 times ges.exe
14 trojan.downloader.zlob.d 14 times a1-search.zip
15 win32.hllw.mybot.based 14 times iexplore.exe.mwt


Vielen Dank nochmal!!
Gruss
Tunguy
__________________

Alt 17.11.2004, 15:33   #4
ZERO
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Das ist gut !

Kennst du die datei?
__________________
MFG ZERO

Gelten für Trojaner die Genfer Konventionen?

Alt 17.11.2004, 15:42   #5
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Ja die Datei ist von dem Programm ACD See.. Zumindest ist sie in dem Verzeichnis. "Gerätedetektor" steht da.


Alt 17.11.2004, 15:46   #6
ZERO
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



dann ist ok

Ich kann in deinem log nichts auffälliges erkennen

Du solltest aber auf sp2 updaten

und wenn du sicher sein willst das du keinen virus hast lad dir
hier
escan runter und folge der anleitung.

Scannen mußt du im abgesicherten modus und du mußt scan all files und scan all local drives aktivieren
__________________
--> TR/Dldr.Dyfuca.db hilfe..

Alt 17.11.2004, 16:08   #7
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Vielen Dank nochmals für die nette Hilfe,
ich werde mal gucken ob das Problem nun endlich gelöst ist. Werde mich melden wenn es doch hartnäckiger ist als ich dachte..

Gruß
tunguy

Alt 18.11.2004, 16:01   #8
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Hallo.. ich bin es wieder. Leider ist das Problem erneut aufgetaucht..
ich poste nochmal ein neues Log.

Logfile of HijackThis v1.98.2
Scan saved at 15:57:07, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [msnmsgs.exe] C:\WINDOWS\sitebar.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE


Ich verzweifle langsam..

Gruß
tunguy

Alt 18.11.2004, 16:20   #9
Shadowdance
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



@ tunguy,

dann befolgen wir eben ZERO's letzten Tip .. mit anderen Worten ;-)

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Alt 22.11.2004, 16:41   #10
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Guten Abend!

Leider konnte ich dieses leidige Problem noch immer nicht lösen. Nachdem ich die Logs hier gepostet habe und alle "bösen" einträge gefixt habe, sollte ich mit Hilfe des Programms "escan" den Rechner nochmals auf restliche Viren prüfen. Die Problematik dabei ist, das sobald ich eine Internetverbindung aufbauen möchte, diese Virus/Trojaner Warnung wieder auftaucht, obwohl ich alles gefixt habe was "böse" ist.

Somit kann ich das Virenprogramm "escan" nicht updaten und danach laufenlassen.
Meine Frage: Gibt es eine Möglichkeit das Programm auf einen anderen Rechner upzudaten, dann auf cd zu brennen und dann auf dem infizierten Rechner laufen zu lassen?

Vielleicht gibt es auch eine andere, unkompliziertere Möglichkeit diese hartnäckigen Trojaner und Viren los zu werden?

Gruß
tunguy

Alt 22.11.2004, 21:35   #11
Shadowdance
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



@ tunguy

Zitat:
Zitat von tunguy
Meine Frage: Gibt es eine Möglichkeit das Programm auf einen anderen Rechner upzudaten, dann auf cd zu brennen und dann auf dem infizierten Rechner laufen zu lassen?
Das ist selbstverständlich möglich, wenn Du einen zweiten Rechner hast und CD's brennen kannst .. oder jemanden aus dem Bekanntenkries, der dies für Dich tut.

Zitat:
Zitat von tunguy
Vielleicht gibt es auch eine andere, unkompliziertere Möglichkeit diese hartnäckigen Trojaner und Viren los zu werden?
Leider nein, vorallem wissen wir nicht, welche Malware Du auf dem System hast. Das heisst, ja es gibt eine Möglichkeit: formatieren und die Tips von Cidre und Lutz beachten:

Lutz' Datensicherung und Cidre, hier zitiert:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

SD

Alt 23.11.2004, 11:54   #12
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Hallo,
ich habe nochmal eine Log erstellt. könntet ihr mir diese nochmal auswerten bitte?
Danke:

Logfile of HijackThis v1.98.2
Scan saved at 11:37:59, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\TEMP\steam.exe
C:\WINDOWS\TEMP\mirc.exe
C:\WINDOWS\upx.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\realplay.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Böhme Pannes\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msdev] msconfig.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\TEMP\steam.exe
O4 - HKLM\..\Run: [taskmgr.exe] C:\WINDOWS\TEMP\mirc.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\upx.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [msdev] msconfig.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunOnce: [msdev] msconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msdev] msconfig.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [msdev] msconfig.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE



gruß
tunguy

Alt 23.11.2004, 14:53   #13
Haui45
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



@tunguy
aufgrund der aktiven Backdoors (-> http://www.sophos.de/virusinfo/analyses/w32rbotnk.html)
solltest du Cidres Rat befolgen.

Geändert von Haui45 (14.07.2005 um 20:55 Uhr)

Alt 23.11.2004, 15:15   #14
tunguy
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Also das System neu aufzusetzen wäre wirklich das allerletzte was ich tun würde. Ist es wirklich schon so schlimm, das es wirklich keine andere Möglichkeit mehr gibt?
also escan hab ich nun auch schon durchlaufen lassen..und er hat mir leider 64 Meldungen ausgespuckt.........

Gruß
tunguy

Alt 23.11.2004, 15:23   #15
Haui45
 
TR/Dldr.Dyfuca.db hilfe.. - Standard

TR/Dldr.Dyfuca.db hilfe..



Zitat:
Also das System neu aufzusetzen wäre wirklich das allerletzte was ich tun würde. Ist es wirklich schon so schlimm, das es wirklich keine andere Möglichkeit mehr gibt?
also escan hab ich nun auch schon durchlaufen lassen..und er hat mir leider 64 Meldungen ausgespuckt.........
Was hat er denn gefunden? Ich schätze mal auch einige Backdoors und da ist formatieren die einzig vernünftige Lösung. Post mal was gefunden wurde.
PS: die Loginfo bekommst du so:
Zitat:
"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (Cidre)

Antwort

Themen zu TR/Dldr.Dyfuca.db hilfe..
adobe, bho, boot, dateien, einstellungen, excel, explorer, forum, hijack, hijackthis, internet explorer, log, log datei, log in, messenger, microsoft, problem, programme, seite, seiten, software, system, system32, update, usb, windows, windows messenger, windows xp



Ähnliche Themen: TR/Dldr.Dyfuca.db hilfe..


  1. HILFEEEE TR/Dldr.Dyfuca.BH.1
    Plagegeister aller Art und deren Bekämpfung - 19.03.2006 (1)
  2. HTJ-Log + TR/Dldr.Dyfuca.ds
    Log-Analyse und Auswertung - 18.10.2005 (6)
  3. tr.dldr.dyfuca.bh.1
    Log-Analyse und Auswertung - 29.05.2005 (1)
  4. TR/Dldr.Dyfuca.ds hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 17.04.2005 (4)
  5. TR/Dldr.dyfuca.DB-Opfer
    Log-Analyse und Auswertung - 27.03.2005 (4)
  6. Brauche dringend Hilfe bitte "TR/Dldr.Dyfuca.DB"
    Plagegeister aller Art und deren Bekämpfung - 16.03.2005 (3)
  7. Trojaner Dldr. Dyfuca.BM
    Log-Analyse und Auswertung - 15.03.2005 (4)
  8. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 15.02.2005 (21)
  9. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (4)
  10. brauche dringend hilfe tr dldr.dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 02.12.2004 (1)
  11. TR/Dldr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 24.11.2004 (7)
  12. TR/Dldr.Dyfuca.DB
    Log-Analyse und Auswertung - 16.11.2004 (1)
  13. Hilfe: TR/Dldr.Dyfuca.W
    Plagegeister aller Art und deren Bekämpfung - 12.11.2004 (1)
  14. TR/dldr.dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (6)
  15. Problem mit Dldr.Dyfuca.DB *Hilfe*
    Plagegeister aller Art und deren Bekämpfung - 30.09.2004 (4)
  16. Dldr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 30.09.2004 (2)
  17. Trojaner Dldr.dyfuca.db!
    Antiviren-, Firewall- und andere Schutzprogramme - 28.09.2004 (4)

Zum Thema TR/Dldr.Dyfuca.db hilfe.. - Hallo, ich hab ein Problem mit dem im Titel benannten trojanischem Pferd. Es beeinträchtigt meine Internetgeschwindigkeit beträchtlich und ruft automatisch Seiten auf die ich zuvor nie eingegeben habe. Zur Abhilfe - TR/Dldr.Dyfuca.db hilfe.....
Archiv
Du betrachtest: TR/Dldr.Dyfuca.db hilfe.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.