|
tr/dldr.small.or Guten Tag, mein <AntiVir> meldete eben den Trojaner "tr/dldr.small.or". Ich habe diesen als zip.Datei auf C:\ gefunden und die Datei per <Winzip> in einen zipOrdner abgelegt. Danach habe ich per <AntiVir> diese beiden Dateien (explorer.cab & eine ini.Datei?) überschreiben und löschen lassen. War das im Ansatz richtig? Ich habe Euch eben erst kennen gelernt und zu meinem Thema eine Menge Beiträge gefunden, die mich doch jetzt etwas unsicher machen. MfG Kalle |
Wo genau wurde denn der Trojaner gefunden? Lösche auf jeden Fall mal deinen Temp. Internet Files. |
Zitat:
Habe ich per <ClearProg> gemacht! Kalle |
Wo genau auf c? Pfadangabe! |
Zitat:
Kalle |
Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
Zitat:
Der Hijacher ist schon weg! Zumindest melden mir <AntiVir & Spybot & Ad-aware> i.M. keinen Alarm. Ich wollte nur wissen ob ich generelle Fehler gemacht habe, da ich Euch erst nach meiner Prozedur gefunden habe. Da ich es mit englisch nicht so gut drauf habe, hier noch mal eine Frage. In Euren Beiträgen wird viel von "fixen" geschrieben, kannst Du mir das noch kurz erklären? Gehe aber trotzdem zu <www.klaffke.de>, weil ich mittlerweile gaube das braucht man hier! :-) Erstmal danke für Deine Hilfe Kalle |
Zitat:
Scan saved at 14:26:43, on 03.10.2004 Ich glaube da kommt was auf mich zu? Gib es eine deutsche Anleitung für das Programm? Danke im voraus Kalle |
Fixe dies mit HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.power-search.info/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.power-search.info/sp.html R3 - Default URLSearchHook is missing O1 - Hosts: 3466709097 sitefinder-idn.verisign.com O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O2 - BHO: (no name) - {F3C35F31-DCAA-23E8-21EA-00AC5AD3470E} - (no file) O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6 O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binari...tia32_EN_XP.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binari.../EGDHTML_XP.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...StatsClient.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...ireShowdown.cab O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - O19 - User stylesheet: (file missing) Hier ist eigentlich alles ganz schön erklärt: http://grinko.gr.funpic.de/html/hijackthis.html Auswertung von HijackThis: www.hijackthis.de |
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Unbedingt windowsupdate besuchen und alle wichtigen Patches für XP und den IE installieren! |
Hallo Christian, danke für Deine Mühe! Ich habe aber noch ein paar Fragen. Nachdem ich über HijackThis mein Logfile gescant und gespeichert habe, muss ich jetzt diese Datei per <Fix checked> auf HijackThis löschen lassen? Oder (Und?) wie von "Grinko" beschrieben, per Hand (über <Suchen>) löschen? Was bedeutet jetzt aber Dein Beitrag vom 03.10.2004 19:50? Kannst Du mir noch mal helfen? Kalle |
Zitat:
Kalle |
Hallo Kalle, Zitat:
Wenn Du offline bist, geh' bitte in den abgesicherten Modus, öffne dort das Programm Hijack This, klicke auf Scan. Nun erscheinen all die Einträge in dem Hijack This-Fensterchen, die wir in Deinem Logfile gesehen haben. Vor jedem Eintrag ist ein Kästchen. Dort kann man mit der Maus ein Häkchen setzen. Du nimmst nun die Liste der zu fixenden Einträge von *Christian* vom 03.10.2004 19:50 zur Hand, vergleichst sie mit den Einträgen in Deinem Hijack This-Fensterchen und setzt überall dort ein Häk'chen, wo *Christian* geschrieben hat, dass ein Eintrag zu fixen ist. Wenn Du das gemacht hast, also vor alle zu fixenden Einträge ein Häk'chen gesetzt hast, klickst Du auf Fix checked. Kann sein, dass Dich das Programm HiJack This dann fragt, ob Du den Eintrag wirklich löschen willst. Klicke mit der Maus auf 'yes'. Wichtig ist, dass Du genau hinschaust, was Du tust und die Liste von *Christian* vom 03.10.2004 19:50 sehr genau mit Deinen Einträgen vergleichst und die richtigen Einträge fixt. Mit ein bißchen Konzentration auf die Sache sollte das eigentlich ohne Probleme möglich sein. Viel Erfolg SD |
Hallo Shadowdance so weit habe ich das verstanden, werde aber mit jedem weiteren Beitrag unsicherer! Werden denn z.B. der Internet Browser und der MS Messenger bei dieser Aktion komplett gelöscht oder laufen die dann noch? MfG Kalle |
Nein, es werden mit HJT keine Programme gelöscht, du löscht lediglich deren Einträge in der registry, so dass sie nicht mehr gestartet werden. Es gibt außerdem eine Backupfunktion, so dass du die Änderungen auch wieder rückgängig machen könntest. Wobei es um den IE sowieso nicht schade wäre. :) Ein Alternativbrowser wie opera oder firefox wäre immer zu empfehlen. |
hi, hatte genau den selben virus, was nur antivir erkennen konnte, das virus war in explorer.cab (15KB gross) ich habs einfach nur gelöscht, wollt nur mal fragen ob ich das richtig gemacht habe, nachdem ich mir paar beiträge hier durchgelesen hab bin ich mir nicht so sicher... hier is die hijack txt datei, hoffe ihr könnt mir helfen, danke im vorraus: Logfile of HijackThis v1.98.2 Scan saved at 03:03:15, on 16.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Admin\Eigene Dateien\hijackthis1982\HijackThis.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CPub Object - {CA70AF0D-0D07-4b80-9ECE-B0F1BEFC5822} - C:\Program Files\Byteswarm\DLInterceptor.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {FDF6378C-7B5D-4ABF-BA1F-92748305FFAC} (DownloadManagerInstall Control) - http://beta.byteswarm.com/agent/1.3.0.1/DMInstall.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C33A06C6-9F5A-4A78-8891-1890686E662E}: NameServer = 217.9.42.98 217.9.47.254 |
Hallo BeSmart, kopiere Dein Logfile in die automatische Auswertung. Die Einträge, die mit einem gelben Fragezeichen versehen sind, kannst Du im abgesicherten Modus fixen, wenn Du sie nicht kennst/brauchst. Scanne mit dem online-scan von Kaspersky folgende Datei: -->C:\Program Files\Byteswarm\DLInterceptor.dll Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com SD |
hi shadowdance, habe dir datei überfrüfen lassen: Zu überprüfende Datei: DLInterceptor.dll DLInterceptor.dll Ok dann war ich auf er auswertungsseite für das logfile, war alles grün, bis auf: O2 - BHO: CPub Object - {CA70AF0D-0D07-4b80-9ECE-B0F1BEFC5822} - C:\Program Files\Byteswarm\DLInterceptor.dll Unbekannt Einige Programme sind hier schlecht. Das eingegebene Programm ([CA70AF0D-0D07-4b80-9ECE-B0F1BEFC5822] - Treffer: ) wurde überprüft. Trefferquote: -1 % und die eventuell bösen: O16 - DPF: {FDF6378C-7B5D-4ABF-BA1F-92748305FFAC} (DownloadManagerInstall Control) - http://beta.byteswarm.com/agent/1.3.0.1/DMInstall.cab Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{C33A06C6-9F5A-4A78-8891-1890686E662E}: NameServer = 217.9.42.98 217.9.47.254 Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '217.9.42.98 217.9.47.254 ' nicht, fixen. jetzt hole ich mir erstmal service pack 2 und dann die beiden bösen dingens erstma fixen..oder umgekehrt? und muss ich noch etwas beachten? danke für die hilfe mfg trying to be smart |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board