Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Dldr.dyfuca.DB-Opfer (https://www.trojaner-board.de/15906-tr-dldr-dyfuca-db-opfer.html)

Opfer05 26.03.2005 17:16
TR/Dldr.dyfuca.DB-Opfer
 
Hallo
Brauche dringend Hilfe mit diesem Trojaner. :snyper:
Hab schon die in diesem Forum vorgeschlagenen Tipps versucht, allerdings die zu löschenden Dateien im Hijack-Log nicht gefunden. Kann sich mal jemand das log anschauen und mir helfen?
Vielen Dank im voraus :bussi:


mfg
Opfer05

Mein Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:14, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\spoolsrv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\iesetup2.exe
C:\lc.pr1d.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGNT.EXE
C:\WINDOWS\wkqrsa.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\KMaestro\Key_g.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\wuauclt.exe
F:\Antivir\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\games\cAR´NAGE\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [REGRUN_2] C:\iesetup2.exe
O4 - HKLM\..\Run: [Update Scheduler] C:\lc.pr1d.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\Run: [tvgH9DCD] C:\WINDOWS\wkqrsa.exe
O4 - HKLM\..\Run: [tvùõš/‚²ÆßfÏNb*»1C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wkqrsa.exe
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\RunServices: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do.../bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43F72952-517D-4C12-A0DE-4772F5BAA460}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AntiVir\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: License Procedure Messaging (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

Haui45 26.03.2005 17:25
Hallo,
setze die Ordneroptionen im Windows-Explorer bitte wie folgt:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Beende die folgenden Prozesse im Taskmanager oder direkt in HijackThis (-> Config-> Misc Tools-> Open Process Manager-> Prozess(e) auswählen-> Kill Process-> Ja) und lass sie online bei http://virusscan.jotti.org/de/ überprüfen:
Zitat:
C:\iesetup2.exe
C:\lc.pr1d.exe
C:\WINDOWS\wkqrsa.exe
C:\WINDOWS\System32\winsupdater.exe
C:\KMaestro\Key_g.EXE
C:\WINDOWS\System32\spoolsrv.exe
Lade die Dateien bitte zusätzlich bei www.malwareupload.com hoch, damit sie zukünftig von allen Virenscannern erkannt werden.

Melde die mit dem "jotti-Ergebnis" wieder.

P.S.: Mach dir keine allzu großen Hoffnungen, das System ist total verseucht! -> "System neu aufsetzen und vor der ersten Internetverbindung absichern"

Rene-gad 26.03.2005 17:32
@Opfer05
Zitat:
Brauche dringend Hilfe mit diesem Trojaner.
Ich glaube, du brauchst Hilfe nicht nur zu diesem Trojaner.
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
1. Temporary Internet Files -Ordner leeren
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2.Papierkorb leeren
3. Systemwiederherstellung abschalten http://www.bsi.bund.de/av/texte/wiederher_xp.htm
4.Bitte nach der Anleitung vorgehen: http://www.trojaner-board.de/42731-escan-anleitung.html, Ergebnis-Log Posten (Was und Wo (mit Pfadangaben) wurde gefunden).
EDIT: s. PS im Beitrag von Haui45.

dartus 26.03.2005 18:39
Hallo Opfer05,

http://castlecops.com/startuplist-5269.html = unmt.exe
Schon alleine der ist Grund genug neu zu installieren.

Halte Dich an die Tipps von Haui, bezüglich Neuinstallation (loade bitte die genannten Dateien auch ab), und Rene-gad zum Thema "SP2".

dartus

Opfer05 27.03.2005 00:18
Hy!

Mann, mann! Das ist starker Tobac!! :headbang:

Aber vielen Dank für die Hilfe. Da muss ich mich wohl mal dahinterklemmen.

Gruß,

Opfer05


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131