Trojaner TR/Dldr.VB.EZ
 

Hi,
bekomme o.g. Trojaner nicht vom Hals!
siehe Reportauszug aus Antivir Personal Edition 6:
C:\Dokumente und Einstellungen\Andreas Klar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7ESMPFHK
alien[1].cab
ArchiveType: CAB (Microsoft)
--> mm21.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.VB.EZ
diamond[1].cab
ArchiveType: CAB (Microsoft)
--> mm21.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.VB.EZ

Auch das kpl. Löschen des Ordners Temporary Internet Files bringt nichts!
Den Ordner Content.IE5 siehrt man im Explorer nicht.

Anmerkung: Nutze seit 2 Wochen ausschließlich Mozilla's Firefox!

Mit HiJackThis habe ich folgendes Auszug erstellt:

Logfile of HijackThis v1.99.0
Scan saved at 19:11:07, on 23.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virenscanner\AntiVir PE\AVGUARD.EXE
C:\Programme\Virenscanner\AntiVir PE\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Utilities\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Utilities\WinAmp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\Utilities\Internet\ZoneAlarm\zlclient.exe
C:\PROGRA~1\UTILIT~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Virenscanner\AntiVir PE\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Utilities\Packer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Utilities\T-DSL Speedmanager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virenscanner\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Utilities\WinAmp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Utilities\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\UTILIT~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Virenscanner\AntiVir PE\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Creative Surround Mixer.lnk = C:\Programme\Creative\SBLive\SurMix2\SurMix2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Utilities\Packer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\Utilities\FlashGet\jc_all.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\Utilities\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\UTILIT~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\UTILIT~1\FlashGet\flashget.exe (file missing)
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\Virenscanner\AntiVir PE\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Virenscanner\AntiVir PE\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Utilities\T-DSL Speedmanager\tsmsvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Utilities\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bitte um Hilfe!

whitealbum

Fixe mit HijackThis dies:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\UTILIT~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\UTILIT~1\FlashGet\flashget.exe (file missing)
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe


Leere deine TIF mit Clearprog: http://www.clearprog.de/programme/clearprog/index.php

Außerdem: SP2 + alle anderen verfügbaren Updates und Patches installieren: www.windowsupdate.com

:) Danke Christian,
mit clearprog habe ich die Plagegeister vom Hals bekommen.
Trotzdem habe ich die angegebenen HiJackThis-Zeilen auch gefixt.

Jetzt werde ich um den SP2-Update plus Patches wohl nicht mehr herum kommen.

Noch was, aus "Übervorsicht" habe ich hier im Board zwei Zeilen aus meinem HiJackThis-Logfile gelöscht, hier im Nachtrag aber ohne IP-Adressen
O17 - HKLM\System\CCS\Services\Tcpip\..\{17DCAF92-8A48-49BD-B2AF-79E2CB2C0681}: NameServer = <IP-Adresse von mir gelöscht>
O17 - HKLM\System\CS1\Services\Tcpip\..\{17DCAF92-8A48-49BD-B2AF-79E2CB2C0681}: NameServer = <IP-Adresse von mir gelöscht>

Sind die Einträge ok, oder sollte ich die auch fixen.

btw, zum Verständnis der gefixten Zeilen, der Eintrag Flashget war mir eigentlich klar, der wurde von mir vor 2 Monaten gelöscht. Aber der Rest? Wo kann man nachlesen, was diese Einträge bedeuten!

Christian, nochmal vielen Dank, schön das es dieses Forum gibt! Danke!

Grüße
whitealbum

Hier kannst du die IP Adressen überprüfen http://www.iks-jena.de/cgi-bin/whois
und hier siehst du, was die einzelnen Einträge bedeuten http://www.trojaner-board.de/51130-a...ijackthis.html .