|
Benötige Hilfe beim entfernen von TR/Dldr.Peerat.A Hallo Leute, seit einigen Tage meldet mein AntiVir sehr häufig das Trojanische Pferd TR/Dldr.Peerat.A. Ich bekomme es einfach nicht auf Dauer gelöscht. Hier mal ein Auszug aus meinem AntiVir Logfile. Und das ist nur von heute... 28.07.2005,08:44:29 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUMENTE UND EINSTELLUNGEN\DINI&TOMMY\LOKALE EINSTELLUNGEN\TEMP\WINTIB32.EXE [INFO] Die Datei wurde gelöscht! 28.07.2005,08:40:07 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000002 - Das System kann die angegebene Datei nicht finden. 28.07.2005,08:54:40 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE 28.07.2005,09:04:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [INFO] Die Datei wurde gelöscht! 28.07.2005,09:15:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUMENTE UND EINSTELLUNGEN\DINI&TOMMY\LOKALE EINSTELLUNGEN\TEMP\WINTIB32.EXE [INFO] Die Datei wurde gelöscht! 28.07.2005,09:14:46 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000002 - Das System kann die angegebene Datei nicht finden. 28.07.2005,13:43:12 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [INFO] Die Datei wurde überschrieben und gelöscht! 28.07.2005,17:15:22 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [INFO] Die Datei wurde gelöscht! 28.07.2005,17:25:31 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben! 28.07.2005,17:35:48 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE [INFO] Die Datei wurde gelöscht! 28.07.2005,17:46:02 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Peerat.A! C:\DOKUME~1\DINI&T~1\LOKALE~1\TEMP\WINTIB32.EXE Hier zusätzlich noch mein HiJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 22:18:11, on 28.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\dit.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\DitExp.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Vorlesen! - C:\WINDOWS\Web\toyagd.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120046124203 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Bin für jede Hilfe dankbar. Grüße coconut |
Hallo, lade bitte das Programm Clearprog herunter und installiere es. Außerdem bitte Spybot Search&Destroy und Ad-Aware runterladen. Beide installieren und updaten. Starte den PC im abgesicherten Modus. Melde dich mit deinem normalen Accout an. Starte Clearprog und setze alle Haken beim Internet-Explorer und bei Windows (Papierkorb evtl. deaktivieren). Fixe mit HjT: O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll O8 - Extra context menu item: Vorlesen! - C:\WINDOWS\Web\toyagd.htm (kennst du das? Ich nicht.) Lösche manuell: C:\WINDOWS\system32\msiev32.dll C:\WINDOWS\system32\winvbie.dll Scanne mit Spybot S&D und Ad-Aware. Lass' die Probleme beheben. Neustart. Wähle einen alternativen Browser. Lies das durch. Neues HjT-Log posten. Problem gelöst? |
Hallo Haui! Hat super geklappt! :daumenhoc Vielen Dank. Nun hab ich direkt ein nächstes Problem. Mein Lappi hat sich den Trojaner Smitfraud.c aka Troj/FakeAle-c eingefangen. Mit Hilfe dieses Threads hab ich soweit alles entfernt bekommen. Außer das hier: http://img14.imageshack.us/img14/847...aner2io.th.jpg Bitte also nochmal um hilfe... ;) €: Hier noch mein Hijackthis-Log: Logfile of HijackThis v1.99.1 Scan saved at 17:04:41, on 31.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Fujitsu\Application Panel\QuickTouch.exe C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\intel32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\DINI&T~1\LOKALE~1\Temp\Rar$EX00.011\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Programme\Fujitsu\Application Panel\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [IndicatorUtility] C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107366066815 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Grüße Coconut |
Überprüfe das System bitte zunächst mit eScan und poste die Funde. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:41 Uhr. |
Copyright ©2000-2024, Trojaner-Board