bitte helfen! Trojaner & Droppers
 

Hi, ich hoffe mir kann jemand helfen. Habe mit AntiVir XP Ver 6 meinen PC gescanned. Mehrere Funde TR/...... und DR/........ Ich weiß damit gar nichts anzufangen. Sind das Trojaner? Wenn ja, warum habe ich sie mir eingefangen, wenn ich neben der Windows Firewall auch noch Zone Alarm auf höchster Stufe und AntiVir laufen habe?
Hab die Datein auch erst mal nicht gelöscht. Kann mir vielleicht jemand sagen was ich machen kann?
Wer guckt sich das mal an:

Logfile of HijackThis v1.99.1
Scan saved at 11:40:50, on 05.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Alarm\zlclient.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.adorons.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102603186304
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DE14C9F-5EE6-46DE-ADF1-F0FEB8184052}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{98AE784A-1963-44B5-A707-42B69203EA44}: NameServer = 192.168.1.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus

huber
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Hallo, huber,
erst mal ist festzustellen, daß Dein System uralt und nicht gepatcht ist:
Zweitens würde mich interessieren, wo genau (Pfadangabe) was gefunden wurde.
Außerdem bitte in Deinem post die aktiven Links editieren, so:
h**p://playroom.icq.com/odyssey_web11.cab
damit sie nicht mehr aufrufbar sind.
cacatoa

Danke dass sich einer so schnell meldet.
OK! Lasse grad noch mal alles scannen, dann kann ich dir Pfadangaben geben und welche Trojaner das genau sind.
Was meinst du mit system nicht gepatcht? Mag ne dumme Frage sein aber ich kenn mich damit nicht aus.
Ja ok das mit den links werde ich in Zukunft vermeiden
huber

Ja, nicht gepatcht heißt, Du hast überhaupt keine Sicherheitsupdates druaf, geschweige denn das Service-pack 2. Auf zu windowsupdate, SP2 runterladen (wenn du DSL hast, ansonsten CD bei Microsoft anfordern) und installieren (dauert etwas) und die Sicherheitsupdates machen (auch für den Internet-Explorer) und diesen dann nur noch für windows-updates benutzen, ansonsten auf einen anderen (kostenlosen und wesentlich sichereren Browser) umsteigen, wie z.B.: Firefox oder opera
cacatoa

Also, ich habe die Funktion aktiviert, automatisch benachritigen wenn neue updates verfügbar sind und installiere diese dann natürlich auch. Das SP2 habe ich vor einiger Zeit deinstalliert, weil mein Scanner und mein W-Lan Router deswegen nicht funktioniert haben. Desweiteren benutze ich firefox als browser.
Das SP2 erneut zu installieren würde doch mir Sicherheit die selben Probleme wieder hervorheben oder nicht?

PS: poste dir gleich die infizierten datein + Pfadangabe und Trojaner und so

huber

Oder kann ich nur Sicherheitsupdates installieren mit dem SP2? Aber dann würde mir mein PC doch nicht anzeigen, wenn neue Updates verfügbar sind oder?

huber

Also, ich habe, wie die meisten anderen auch, keine Probs mit dem SP2.
Wenn Du es nicht haben willst, dann mach wenigstens alle Sicherheitsupdates (hast du bisher nicht getan!), aber vermutlich werden wir uns dann öfter hier sehen... ;)
Den firefox habe ich bei Dir gesehen, ihn aber beim letzten post wieder übersehen... sorry.
cacatoa

OK kein Problem, so lang du mir sagen kannst was ich jetzt machen kann :) , hier jetzt alle Pfads (Pfäde? Pfade?, auch egal)
die betrofen sind und wovon. Hab ich aus dem file von antivir kopiert.

C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temp
remove.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Keenval.F
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWVSBCZ
games4[1].cab
ArchiveType: CAB (Microsoft)
--> games.exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300694 (Dialer) und wurde vom Benutzer unterdrückt.
ger_nopop[1].exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/302029 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DA7K92N
0006_movies[1].cab
ArchiveType: CAB (Microsoft)
--> ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Click.Delf.AH.3
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4RIPAT03
better_new[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
thnall1m[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89UJ856N
dial[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.JZ.4
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDM5AR2L
install[1].exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Installer
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDSTMP01
istbar[1].dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.U
Nach Rückfrage nicht gelöscht!
istdownload[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.ES
Nach Rückfrage nicht gelöscht!
optimize[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUBW5EZ
prompt[1].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O143MH2H
actalert[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.cr
Nach Rückfrage nicht gelöscht!
bdl14122[1].exe
[FUND!] Ist das Trojanische Pferd TR/Revop.C
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S96BWX6Z
sbar[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.zd.2
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLOP2NWL
prompt[1].htm
[FUND!] Ist das Trojanische Pferd TR/JS.IstBar.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Eigene Dateien\Nützliches & Verschiedenes
geil und so.exe
Die Datei enthält Signatur des Scherzprogrammes Joke/Button.B und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temp
~DF2B76.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8H23GH6F
protect[1].htm
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.d
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LLQZWP2V
prompt[2].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9E7CDQ3
a775a8[1].js
[FUND!] Enthält Signatur des Java-Scriptvirus JS/Small.AF
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YQ4OCRFW
wiki[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\Verschiedenes
P2P
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301179 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Verschiedenes\Setups
ss_stopsign.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Wren.I
Nach Rückfrage nicht gelöscht!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\drivers
atapi.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
ZLT0345d.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

so das wars :)

huber

So, jetzt lädst Du dir erst mal clearprog 1.4.1 final runter.
Dann alle Haken setzen bei: Internet-explorer und Windows. Dann diese Einstellungen speichern (ganz oben, zweiter Button von links).
Dann auf "löschen" clicken; wenn fertig auf beenden.
Damit sind alle temporary internet files und alle tempfiles erst mal weg.
Dann nochmal mit dem Virenscanner im abgesicherten Modus scannen und das Ergebnis posten.
cacatoa

Hab clear prog runtergeladen und durchgeführt wie du gesagt hast und geh jetzte in den abgesicherten Modus. Also der Scan eben hat ca. 50 Minuten gedauert (mit anti vir). Bin also in etwa inner Stunde wieder da und poste dir das Ergebnis dann, bis dann

huber

Das ist gut so.
cacatoa

So da bin ich wieder. Also wie du vielleicht siehst gab es diesmal 3 Funde weniger, es wurden allerdings auch weniger Dateien durchsucht (vielleicht 15.000 weniger). Hier also das Ergebnis, hat sich aber ansonsten nicht viel verändert oder?

C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temp
remove.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Keenval.F
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWVSBCZ
games4[1].cab
ArchiveType: CAB (Microsoft)
--> games.exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300694 (Dialer) und wurde vom Benutzer unterdrückt.
ger_nopop[1].exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/302029 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DA7K92N
0006_movies[1].cab
ArchiveType: CAB (Microsoft)
--> ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Click.Delf.AH.3
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4RIPAT03
better_new[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
thnall1m[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89UJ856N
dial[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.JZ.4
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDM5AR2L
install[1].exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Installer
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDSTMP01
istbar[1].dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.U
Nach Rückfrage nicht gelöscht!
istdownload[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.ES
Nach Rückfrage nicht gelöscht!
optimize[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTUBW5EZ
prompt[1].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O143MH2H
actalert[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.cr
Nach Rückfrage nicht gelöscht!
bdl14122[1].exe
[FUND!] Ist das Trojanische Pferd TR/Revop.C
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S96BWX6Z
sbar[1]
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.zd.2
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLOP2NWL
prompt[1].htm
[FUND!] Ist das Trojanische Pferd TR/JS.IstBar.A
Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Eigene Dateien\Nützliches & Verschiedenes
geil und so.exe
Die Datei enthält Signatur des Scherzprogrammes Joke/Button.B und wurde vom Benutzer unterdrückt.
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\Verschiedenes
P2P
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301179 (Dialer) und wurde vom Benutzer unterdrückt.
C:\Verschiedenes\Setups
ss_stopsign.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Wren.I
Nach Rückfrage nicht gelöscht!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\drivers
atapi.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

huber

Hi,
so wie es aussieht, hast du bei clearprog nicht alle Häkchen gesetzt, denn Deine temporary Internetfiles sind immer noch nicht leer!
Leere auch den cache des Mozilla.
cacatoa

Hi, jo hab auch en Haken bei Cache-Ordner gemacht und dann gelöscht, und weiter? noch mal scannen mit anti vir?

huber

Also, damit wir gar nix vergessen oder verkehrt machen:
Temp. Internet files manuell löschen:
Extras, Internetoptionen, Verlauf leeren und bei Firefox Extras, Einstellungen, Datenschutz alles löschen.
Kannst bei clearprog auch auf den button "alles löschen" gehen.
Dann sei so gut und scanne noch mal. Dürfte dann nix mehr da sein.
cacatoa

Also Folgendes!
So viel versteh ich ja auch noch, was bringt es wenn ich irgendwelche cookies lösche oder der gleichen, wenn ganz andre Dateien betroffen sind, Ich hab dir doch die ganzen Pfadangaben gemacht und du siehst doch dass da Dateien von einem Trojanischen Pferd befallen sind oder diese Dateien sind das Trojanische Pferd. Ich bin dabei noch einmal zu scannen und habe jetzt in den ersten 5 minutem die selben Funde und infizierten dateien wie eben auch. Ich dachte du kannst mir sagen wie ich diese trojaner wegbekomm. Was bringt es dabei cookies zu löschen und temoräre i. dateien?

huber

Das sind eben temporäre Dateien. Du kannst die Ordner auch einfach mal leeren...

also kann ich diese beiden orner einfach komplett leeren ohne das mein system dabei geschadet wird
wenn ja, dann hätte man das mir doch eher sagen könnenich wusste ja nicht ob man die dateien einfach so löschen kann ohne das was passiert
aber danke das du mir das sagst, ich hätte ja noch 10 mal en virenprogramm laufen lassen können denk ich

huber

uups sorry an dieser stelle, ich denke das hab ich überlesen dass ich die ordner manuell löschen oder leeren soll, ich dachte es reicht aus wenn ich auf extras gehen und so weiter wie es mir gesagt wurde

huber

Hat er doch getan.
->
Ich leere diese Ordner reglmäßig, bis auf den TIF-Ordner, da ist so gut wie nie was drin, weil ich Firefox verwende. Solltest du auch machen.

@ huber:
Also noch mehr verklamüsern, wie man tifs und temps löscht, kann ich nicht mehr. Kann mich aber auch nicht erinnern, daß ich je einen thread hatte, wo man dafür 20 posts braucht...
Und Deine Pfade führen halt mal zu diesen temporären Ordnern.
cacatoa

Sorry Jungs ich wollt euch wirklich nicht nerven oder so, es ist halt so, dass ich mich halt nich ganz so gut mit pc's auskenne, da fragt man schon mal öffter nach und ich hatte mich halt nur gewundert, dass ich die selben Meldungen wieder hatte nachdem ich Clear Prog habe laufen lassen. Scheinbar wurde da noch nicht alles entfernt, obwohl ich alle Häkchen richtig gesetzt hatte. Habe aber jetzt dei beiden Ordner so gelöscht bzw. geleert und scheinbar ist jetzt alles wieder in Ordnung. Ansonsten danke schön an dieser Stelle

mfg huber

Ist o.k., aber in Ordnung ist noch lang nicht alles. Wir müssen noch ein paar Sachen aus Deinem Logfile klären.
Ich kann aber leider erst morgen wieder, sorry.
cacatoa

Is ok, bin morgen (oder wenn das liest müsst ich heute sagen) erst um vier am rechner, kannst ja aber schon ma reinposten was noch nich in Ordnung is
cu

huber

Guten Morgen,
bitte folgendes mit HJT fixen:

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000

Dann lade Dir LSPFix runter und lasse es laufen. Dieses Prog repariert evtl. beschädigte Winsocks, was durch diesen Eintrag:

O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing

verursacht werden kann.

Kennst/willst du das:
O15 - Trusted Zone: *.adorons.com
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
Wenn nicht, dann ebenfalls fixen.
Den spywarestormer würde ich von Haus aus erst mal deinstallieren (Systemsteuereung/Software) und dann fixen.
Anschließend neues Logfile posten.
cacatoa
_____________
Anm.
Aktive Links editiert! ;)


LG Cidre
S-Mod TB

Hi @, so da bin ich
hab alles soweit gemacht

Logfile of HijackThis v1.99.1
Scan saved at 16:29:52, on 06.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Alarm\zlclient.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\VVSN\VVSN.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Eigene Dateien\Nützliches & Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102603186304
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DE14C9F-5EE6-46DE-ADF1-F0FEB8184052}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{98AE784A-1963-44B5-A707-42B69203EA44}: NameServer = 192.168.1.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

huber

@ huber:
Na, wo waren wir wieder im Netz unterwegs?
Die folgenden Einträge waren vorher nicht da, deshalb jetzt im abgesicherten Modus mit HJT fixen:
C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
Dann die Datei:
C:\Programme\VVSN\VVSN.exe
manuell löschen und neues Logfile posten. Sollte dann sauber sein.
cacatoa

Hi, ja mmmhhh, hab im abgesicherten Modus und im ganz normale HJT laufen lassen, die beiden Punkte sind aber plötzlich wieder aus dem logfile verschwunden. Keine Ahnung was das war, auf jeden Fall habe ich die Datei manuell gelöscht und das logfile sieht jetzt so aus

Logfile of HijackThis v1.99.1
Scan saved at 20:45:08, on 06.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Alarm\zlclient.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Schmitty.SEBASTIAN\Eigene Dateien\Nützliches & Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102603186304
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DE14C9F-5EE6-46DE-ADF1-F0FEB8184052}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{98AE784A-1963-44B5-A707-42B69203EA44}: NameServer = 192.168.1.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

huber

ach noch was,
bist du echt der Meinung, dass ich das SP2 wieder installieren sollte? Ist es nicht wahrscheinlich, dass ich dann die Probleme mit Router und Scanner wieder habe wie vorher als ich es drauf hatte?

huber

Guten Morgen!
Das Logfile ist jetzt sauber.
Ich vermisse allerdings Deinen Antivir im Log.
SP2 hat bei mir noch nie Probs gemacht. Probiers doch nochmal. Runterladen, installieren und dann mit dingens.org konfigurieren, firewalls (die dann unnötig sind) abschalten und fertig.
cacatoa

So ich bins noch mal, denke ein letztes mal, hab SP 2 installiert und bis jetzte nich keine Probleme, hoffe das bleibt so. Aber danke für deine Hilfe, ich werd mich melden wenn ich wieder irgendwelche probleme hab. ALso: hoffentlich auf nimmer wieder sehen :-P

huber

Was macht den der Trojaner "TR/Dldr.Wren.I" ?
MFG