Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wie krieg ich die weg? (https://www.trojaner-board.de/18175-krieg-weg.html)

fuchsmaster 23.05.2005 19:28
Wie krieg ich die weg?
 
Hi hab mehrere Trojaner im Home-Netz:

TR/Dldr.Dyfuca.ds

TR/DLdr.Dyfuca.BH.1

DR/180Solutions.B

TR/Spy.likesurf.1

TR/Dldr.IstBar.ID

TR/Ist.Bar.AQ.2

Wie krieg ich die weg?

Zohrab 23.05.2005 19:30
hab selbst tausend mal escan angehört bekomen von andren also mach mal auch ein escan scan LÖL

Haui45 23.05.2005 19:50
Hallo,

poste mal ein HijackThis-Logfile. Vielleicht kannst du dir einen Scan mit eScan sparen...

fuchsmaster 23.05.2005 19:58
Hier. Ich hab davon keine ahnung. Hoffe mir kann wer helfen. Escan läuft grad durch.

Logfile of HijackThis v1.99.1
Scan saved at 19:13:33, on 23.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
C:\eMule.de\emule.exe
D:\WINDOWS\system32\cidaemon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
D:\WINDOWS\system32\Notepad.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\Basti\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Basti\LOKALE~1\Temp\kavss.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Trojan Guarder Gold Version.lnk = D:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: D:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c46.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097853534536
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - h**p://secure.goodthinxx.com/vcloadgt.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE

Haui45 23.05.2005 20:02
Zitat:
D:\DOKUME~1\Basti\LOKALE~1\Temp\mwavscan.com
Brich die Überprüfung bitte ab!
Lies die Anleitung aufmerksam durch und wiederhole den Scan.

Edit:
Die folgenden Einträge kannst du fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c46.cab
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - h**p://secure.goodthinxx.com/vcloadgt.cab


Zitat:
D:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
Das ist mir nicht bekannt! Dir? Du kannst die Datei mal online überprüfen.

fuchsmaster 23.05.2005 20:22
dieses trojaner guarder hab ich bei downloads.com runter gezogen. hat aber nicht viel gebracht. mach gleich nochmal nen neuen log mit hijackthis. ok?

fuchsmaster 23.05.2005 23:17
Hier die Ergebnisse der find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 23 21:30:18 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 21:37:49 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 21:41:00 2005 => Total Disinfected Files: 0
Mon May 23 21:41:48 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 21:48:15 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 21:56:27 2005 => Scanning File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37PJFTCS\infected6xz[1].gif [**]
Mon May 23 21:58:46 2005 => File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EJK5MZ\index[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 23 22:01:23 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon May 23 22:28:35 2005 => Total Disinfected Files: 0
Mon May 23 22:38:29 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 22:44:59 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 23:13:27 2005 => Scanning File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37PJFTCS\infected6xz[1].gif
Mon May 23 23:17:14 2005 => File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EJK5MZ\index[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 23 23:20:41 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Tue May 24 00:00:53 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 23 21:34:06 2005 => File C:\Downloads\ (German) Herr der Ringe - Schlacht um Mittelerde NOCD-Crack(1).zip tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Mon May 23 21:37:37 2005 => File C:\eMule.de\Incoming\2_Trojan.Guarder(Golden.Version).zip tagged as not-a-virus:RiskWare.Tool.Gendel.b. No Action Taken.
Mon May 23 21:44:46 2005 => File C:\Downloads\ (German) Herr der Ringe - Schlacht um Mittelerde NOCD-Crack(1).zip tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Mon May 23 21:48:05 2005 => File C:\eMule.de\Incoming\2_Trojan.Guarder(Golden.Version).zip tagged as not-a-virus:RiskWare.Tool.Gendel.b. No Action Taken.
Mon May 23 22:15:35 2005 => File D:\WINDOWS\Downloaded Program Files\WinFormX.dll tagged as "not-a-virus:AdWare.WinAD.w". Action Taken: No Action Taken.
Mon May 23 22:42:16 2005 => File C:\Downloads\ (German) Herr der Ringe - Schlacht um Mittelerde NOCD-Crack(1).zip tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Mon May 23 22:42:54 2005 => File C:\Downloads\DivXPro511Adware.exe tagged as "not-a-virus:AdWare.Gator.3202". Action Taken: No Action Taken.
Mon May 23 22:44:47 2005 => File C:\Downloads\[PC German No CD]Der Herr der Ringe Die Schlacht um Mittelerde.zip tagged as not-a-virus:RiskWare.Tool.PsKill.110. No Action Taken.
Mon May 23 22:44:50 2005 => File C:\eMule.de\Incoming\2_Trojan.Guarder(Golden.Version).zip tagged as not-a-virus:RiskWare.Tool.Gendel.b. No Action Taken.
Mon May 23 23:41:02 2005 => File D:\WINDOWS\Downloaded Program Files\WinFormX.dll tagged as "not-a-virus:AdWare.WinAD.w". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 23 21:41:00 2005 => Total Virus(es) Found: 5
Mon May 23 22:28:35 2005 => Total Virus(es) Found: 7
Tue May 24 00:00:53 2005 => Total Virus(es) Found: 9
Mon May 23 21:41:00 2005 => Total Errors: 34
Mon May 23 22:28:35 2005 => Total Errors: 37
Tue May 24 00:00:53 2005 => Total Errors: 43
Mon May 23 21:41:00 2005 => Time Elapsed: 00:11:35
Mon May 23 22:28:35 2005 => Time Elapsed: 00:45:08
Tue May 24 00:00:53 2005 => Time Elapsed: 01:23:09
Mon May 23 21:41:00 2005 => Total Objects Scanned: 15366
Mon May 23 22:28:35 2005 => Total Objects Scanned: 53835
Tue May 24 00:00:53 2005 => Total Objects Scanned: 57762
Mon May 23 21:28:53 2005 => Virus Database Date: 2005/05/23
Mon May 23 21:41:00 2005 => Virus Database Date: 2005/05/23
Mon May 23 22:28:35 2005 => Virus Database Date: 2005/05/23
Mon May 23 22:37:13 2005 => Virus Database Date: 2005/05/23
Tue May 24 00:00:53 2005 => Virus Database Date: 2005/05/23
Tue May 24 00:01:36 2005 => Virus Database Date: 2005/05/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Die Ergebnisse aus mwav:

Mon May 23 21:30:18 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 21:37:49 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 21:41:48 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 21:48:15 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 21:56:27 2005 => Scanning File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37PJFTCS\infected6xz[1].gif [**]
Mon May 23 21:58:46 2005 => File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EJK5MZ\index[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 23 22:01:23 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon May 23 22:38:29 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon May 23 22:44:59 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.
Mon May 23 23:13:27 2005 => Scanning File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37PJFTCS\infected6xz[1].gif
Mon May 23 23:17:14 2005 => File D:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EJK5MZ\index[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 23 23:20:41 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*


Danke für jede Hilfe

gruß sebastian

fuchsmaster 23.05.2005 23:20
Und hier noch mal nen aktueller hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 00:17:48, on 24.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\Notepad.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\cidaemon.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PowerReg SchedulerV2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: D:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c46.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097853534536
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - h**p://secure.goodthinxx.com/vcloadgt.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE

felix1 24.05.2005 07:46
Das sieht nicht gut aus:
Mon May 23 21:48:15 2005 => File C:\My Files\Brothers in Arms - NoCd Crack.zip infected by "Trojan.BAT.Zapchast" Virus! Action Taken: No Action Taken.Siehe hier:
http://www.sophos.de/virusinfo/analyses/trojlazza.html
Man sollte Dir zu einem Neuaufsetzen des Systems raten.
Nutze dazu die Anweisungen von Cidre.
http://www.trojaner-board.de/showthread.php?t=12154


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55