Troj-SpyDldr-B absolut am Ende mit Ideen
 

Hallo,
hab schon einiges probiert, aber ich schaffs einfach nicht.
Immer wieder die meldung "Your computer might be at risk" in einem Ballon rechts unten. Im Web hab ich gefunden es wäre diese Ding "Troj-SpyDldr-B".

Ich poste meinen HJT-file. Denke der sieht nicht so übel und recht kurz aus.

Wäre phantastisch wenn mir jemand BITTE helfen könnte. DANKE.

Logfile of HijackThis v1.99.1
Scan saved at 21:30:16, on 17.10.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\locator.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\Programme\Ad-Aware\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijacThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (file missing)
O23 - Service: Sophos Anti-Virus (SAVService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe

Servus, christian8
Außer dass Du mit einem nicht aktuellen Betriebssystem unterwegs bist, kann ich aus diesem Logfile nichts herauslesen - es erscheint nicht vollständig! In welchem Modus hast Du es erstellt? Wenn im abgesicherten Modus, dann mache ein neues im "normalen" Modus, nachdem Du Dein System aktualisiert hast!
Sonst lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus laufen und poste anschließend das Ergebnis von Hauis45´s "find.bat" (in der Anleitung ebenfalls beschrieben). Halte Dich genau an die Anleitung, sonst funktioniert die find.bat nicht!
bis dann, stupormundi

danke dir für deine zeilen.

hab die link angeklickt. komme dann auf die escan homepage.

hmm, was soll ich runterladen?
escan virus controll edition oder pro edition oder security suite?

danke für deine hilfe im voraus

TSCHULDIGE - habe es gefunden. alles ausgeführt. hab einiges rauslöschen können. auch in der regedit genau nach anleitung

nach dem letzten scan sind nur mehr die 3 einträge da, da aber beim logfile nicht genau die adresse in der regedit dabeisteht bekomm ich die nicht weg.

was meinst du sollte ichtun? kannst dubitte helfen.

hier die 3:

Tue Oct 18 21:49:11 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken.
Tue Oct 18 21:49:13 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken.
Tue Oct 18 21:49:15 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken.

Servus, christian8!
Es wäre schön, wenn Du meine Fragen beantworten würdest und meinen Anregungen nachkommen würdest!
Hier steht noch nichts von d´rauf los löschen, oder?
stupormundi

hallo stupormundi,
also, hab jetzt nach einiger zeit das so hingekriegt wie du sagtest. die datei startete immer automatisch. hab sie jetzt in bases_x entpackt und im abgesicherten modus das ganze escan gemacht.

die find.rar lässt sichnicht entpacken. da ist der "header broken".

im log von escan gibts 3 funde:

Thu Oct 20 23:02:42 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken.
Thu Oct 20 23:02:44 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken.
Thu Oct 20 23:02:45 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken.

ansonsten nichts.

was soll ich nun tun?
wie gesagt die find.rar geht nicht zum entpacken.
würdest dumir bitte noch mal helfen?

ach, noch ne info -eigenartig:

bei ewido im abges. modus kommt nichts. beim normalen scan kommt immer wieder trojan.small.fb found

danke dir herzlichst

christian

Wenn bei der find.rar etwas nicht funktioniert ("header broken" ?) lösche sie einfach und lade Sie dir erneut herunter!
Sie funktioniert!
Ohne ordentliches Logfile ist die Auswertung für mich wertlos!
P2P networking (entsprechende Software suchen) in Systemsteuerung-->Software deinstallieren!
stupormundo

servus,


glauib nir, die find.rar ist kaputt.

neu runtergeladen - entpacken mit winrar => meldung

find.bat header broken
unknown method in find.bat

gibts es noch eine andere find.bat irgendwo?

Dazu hilft ein Blick in Cidres Anleitung (die habe ich Dir nicht zum Spaß gepostet). Da hat Cidre eine Alternative aufgezeigt, falls es doch nicht funktioniert
Ich würde zusätzlich auch nach "offending" suchen. Kopiere auch den Schlussteil des Logs (...elapsed time ... scanned files ... viruses found etc...) hierher.
stupormundi

servus stupormundi,

hab alles nach deiner anleitun gemacht. folgendes ergebnis:

21 19:12:23 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken.
Fri Oct 21 19:12:25 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken.
Fri Oct 21 19:12:26 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken.
Fri Oct 21 19:12:28 2005 => Offending Key found: HKLM\Software\kazaa !!!
Fri Oct 21 19:12:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Oct 21 19:12:28 2005 => Offending Key found: HKCU\Software\kazaa !!!
Fri Oct 21 19:12:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\4ta7oxer\ads[1].htm
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\sxk749w3\show_ads[2].js
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\wdc1ajc1\ads[1].htm
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\4ta7oxer\ads[1].htm
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\sxk749w3\show_ads[2].js
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\wdc1ajc1\ads[1].htm
Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

schlusszeilen:

Fri Oct 21 19:56:27 2005 => ***** Scanning complete. *****

Fri Oct 21 19:56:27 2005 => Total Objects Scanned: 28310
Fri Oct 21 19:56:27 2005 => Total Virus(es) Found: 11
Fri Oct 21 19:56:27 2005 => Total Disinfected Files: 0
Fri Oct 21 19:56:27 2005 => Total Files Renamed: 0
Fri Oct 21 19:56:27 2005 => Total Deleted Objects: 0
Fri Oct 21 19:56:27 2005 => Total Errors: 29
Fri Oct 21 19:56:27 2005 => Time Elapsed: 00:45:23
Fri Oct 21 19:56:27 2005 => Virus Database Date: 2005/10/21
Fri Oct 21 19:56:27 2005 => Virus Database Count: 155453

Fri Oct 21 19:56:27 2005 => Scan Completed.

Fri Oct 21 19:56:32 2005 => Virus Database Date: 2005/10/21
Fri Oct 21 19:56:32 2005 => Virus Database Count: 155453
Fri Oct 21 19:56:34 2005 => AV Library Unloaded (3)...

ich glaube:

die 8 einträge in den temp. intern. files könnt ichlöschen????

bleiben die 3 mit cydoor (2x) und p2p.

was soll ichjetzt tun?

freu mich auf deine hilfe.

christian

Servus, christian8!
Die meisten der Einträge bekommst Du weg, indem Du deine Temporärdaten löscht. Das geht ganz gut zb. mit Clearporg 1.4.1 final http://www.clearprog.de/ im abgesicherten Modus mit der Option "clear all" links unten im Programmfenster von clearprog.
Für den anderen Ad/Spywaremitst: kazaa würde ich persönlich in die Tonne verfrachten (wenn unbedingt p2p, dann wenigstens was ad/spywarefreies, aber da kenne ich mich nicht aus).
P2P Networking Ad/Spyware zuerst versuchen, via Systemsteuerung-->Software so zu deinstallieren.
Hole Dir Spybot S&D http://www.safer-networking.org/en/download/ und/oder adaware http://www.lavasoft.de/ beide zuerst updaten und dann lass beide im abgesicherten Modus laufen und entferne, was vorgeschlagen wird.
Anschließend ein neues HJT-Logfile im "normalen" Modus erstellen und hier posten.
Und last but not least Hol Dir SP4 + Sicherheitspachtes von M$.
stupormundi