Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Dyfuca.DB

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.11.2004, 19:18   #1
BBK
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Hi, habe gesehen, dass es schon einige Threads zu dem Thema gibt, deswegen wiederhole ich mich wahrscheinlich!
Also, habe auch den im Titel beschriebenen Trojaner, sorgt dafür, dass diverse Fenster bei der Internetverbindung aufpopen (sowohl unter Mozilla wie auch beim IE, den ich eigentlich gar nicht mehr benutze)

Habe auch schon das eine Programm benutzt, dass immer empfohlen wird und das folgende Log-File entstand:

Logfile of HijackThis v1.98.2
Scan saved at 19:15:38, on 22/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\winxp2.exe
C:\msex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
c:\393.exe
c:\ybsex.exe
c:\ybsex.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Tilo Kruse\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winupdate Service] winxp2.exe
O4 - HKLM\..\Run: [SXUCKME] C:\sex.exe
O4 - HKLM\..\Run: [REGRUN3] C:\msex.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NEWSEX] C:\msex.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093212183765
O17 - HKLM\System\CCS\Services\Tcpip\..\{93C20F94-E54A-4380-BF4E-BB2EA5D50171}: NameServer = 62.52.50.195 193.189.244.205

Öhm...ja...das war es...kann mir einer helfen?

Alt 22.11.2004, 20:15   #2
cacatoa
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Hi,
Du hast einen Wurm mit Backdoortrojaner-Qualität drauf; es ist dieser.

Wie kommst du auf den TR/Dldr.Dyfuca.DB?

cacatoa
__________________

__________________

Alt 22.11.2004, 20:37   #3
BBK
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Öhm, weil mir das AntiVir sagt...hmm..ach ich habe noch einen...das ist ja...schlecht...wie bekomme ich dann den im Threadtitel stehenden weg?
Und wie bekomme ich diesen Backdoorvirus weg, wenn ich nur die AntiVir-Software habe?
__________________

Alt 22.11.2004, 20:50   #4
cacatoa
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Sinnvoll ist es bei Backdoorern, das System neu aufzusetzen.
Mach mal vorerst einen eScan im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Poste dann das Ergebnis (nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) hier rein.
Außerdem System updaten!

Ergebnis eScan und neues Logfile rein posten.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 22.11.2004, 20:52   #5
Shadowdance
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



@ BBK,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - ungeupdatetes System/ungepatchter IE: www.windowsupdate.com

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\winxp2.exe
C:\msex.exe
c:\393.exe
c:\ybsex.exe
C:\sex.exe
C:\msex.exe

teile uns das Ergebnis der Überprüfung mit.

Zitat:
Und wie bekomme ich diesen Backdoorvirus weg
durch formatieren. -->Beachte hierzu den Rat von Cidre:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

-->und Lutz' Datensicherung

Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD


Alt 23.11.2004, 10:15   #6
BBK
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Danke schon mal für die Hilfe!

Ähm, Shadowdance meinte, mein System sei nicht mehr vertrauenswürdig! Beziehst du dich darauf, dass evtl. schon ordentlich Informationen von mir an den "Ersteller" des Backdoortrojaners geflossen sind?

Problem ist nämlich, dass mein Brenner z.Zt. ein paar Probleme macht, ich aber Daten sichern müsste, bevor ich formatieren kann. Gibt es keine andere Möglichkeit, diesen Trojaner wegzubekommen, evtl. auch mit gewissem Risiko?

Dann zu dem anderen: Da ich z.Zt. an der Uni bin, kann ich die Scans der Dateien noch nicht durchführen, werde dies dann heute Abend nachholen.

Als Hinweis (ich weiß nicht, ob das irgendwie wichtig ist): Ich benutze ein normales 56k-Modem, also nix DSL oder so ähnliches...

Alt 23.11.2004, 15:48   #7
Shadowdance
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



@ BBK,

ich warte das Ergebnis der Scans ab, aber ich befürchte, dass es nicht gut ausfallen wird.

SD

Alt 24.11.2004, 14:33   #8
BBK
 
TR/Dldr.Dyfuca.DB - Standard

TR/Dldr.Dyfuca.DB



Am Sonntag kommt ein Kumpel bei mir vorbei, der will sich den mal selber anschauen...deswegen wird es vorerst von mir keine Neuigkeiten geben!

Vielen Dank schon einmal für die Hilfe!

Antwort

Themen zu TR/Dldr.Dyfuca.DB
.inf, adobe, bho, diverse, einstellungen, explorer, hijack, hijackthis, icq, internet explorer, log-file, messenger, microsoft, mozilla, nvidia, programm, programme, rundll, software, sun java, system, system32, tcpip, temp, trojaner, unter, windows, windows xp, winxp



Ähnliche Themen: TR/Dldr.Dyfuca.DB


  1. HILFEEEE TR/Dldr.Dyfuca.BH.1
    Plagegeister aller Art und deren Bekämpfung - 19.03.2006 (1)
  2. HTJ-Log + TR/Dldr.Dyfuca.ds
    Log-Analyse und Auswertung - 18.10.2005 (6)
  3. Problem mit Tr/Dldr.Dyfuca!!!
    Plagegeister aller Art und deren Bekämpfung - 18.08.2005 (19)
  4. FR/Dldr.dyfuca.ds logfile 1:
    Log-Analyse und Auswertung - 10.06.2005 (2)
  5. tr.dldr.dyfuca.bh.1
    Log-Analyse und Auswertung - 29.05.2005 (1)
  6. TR/Dldr.Dyfuca.ds hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 17.04.2005 (4)
  7. Trojaner TR/Dldr:Dyfuca.BM
    Plagegeister aller Art und deren Bekämpfung - 08.04.2005 (8)
  8. TR/Dldr.dyfuca.DB-Opfer
    Log-Analyse und Auswertung - 27.03.2005 (4)
  9. Trojaner Dldr. Dyfuca.BM
    Log-Analyse und Auswertung - 15.03.2005 (4)
  10. Trojaner TR/Dldr.Dyfuca.DB
    Log-Analyse und Auswertung - 22.02.2005 (2)
  11. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 15.02.2005 (21)
  12. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (4)
  13. Trojaner: TR/Dldr.Dyfuca.DB
    Log-Analyse und Auswertung - 09.01.2005 (5)
  14. TR/Dldr.Dyfuca.DB
    Log-Analyse und Auswertung - 16.11.2004 (1)
  15. TR/dldr.dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (6)
  16. Dldr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 30.09.2004 (2)
  17. Trojaner Dldr.dyfuca.db!
    Antiviren-, Firewall- und andere Schutzprogramme - 28.09.2004 (4)

Zum Thema TR/Dldr.Dyfuca.DB - Hi, habe gesehen, dass es schon einige Threads zu dem Thema gibt, deswegen wiederhole ich mich wahrscheinlich! Also, habe auch den im Titel beschriebenen Trojaner, sorgt dafür, dass diverse Fenster - TR/Dldr.Dyfuca.DB...
Archiv
Du betrachtest: TR/Dldr.Dyfuca.DB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.