Backdoorprogramme BDS/Dindi! + TR/Dldr.QDown.L!

Hallo erstmal !! bin zum ersten mal hier
vielleicht kann mir ja einer helfen folgendes
anti vir zeigt mir vor kurzem an
10.11.2004,23:06:16 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.QDown.L!
C:\DOKUME~1\PASCAL~1\LOKALE~1\TEMP\NSE27.TMP\EDOW.EXE
was hat das zu bedeuten ??

gestern kam dann

15.11.2004,21:53:51 [WARNUNG] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Dindi!
C:\WINDOWS\SYSTEM32\OPE35.EXE
15.11.2004,21:54:18 [WARNUNG] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Dindi!
C:\WINDOWS\SYSTEM32\OPE3E.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

und heute

16.11.2004,11:48:17 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\PASCAL PICK\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8X83GJ03\LIEBHABäREN1[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!
16.11.2004,11:48:18 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\PASCAL PICK\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8X83GJ03\LIEBHABäREN1[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!
16.11.2004,11:48:51 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\PASCAL PICK\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\GPWPMFGP\LIEBHABäREN1[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!
16.11.2004,11:48:51 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\PASCAL PICK\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\GPWPMFGP\LIEBHABäREN1[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!
16.11.2004,11:49:22 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\PASCAL PICK\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8X83GJ03\LIEBHABäREN1[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!

desweiteren bringt er mir immer beim starten er kann dxsetu.exe nicht finden und es gaebe einen application error
und wenn ich beende komm winsock.scr nicht gefunden hab den PC ganz neu und weiss net was es ist kann mir bitte jemand helfen vielen dank !!

hab hier noch die log datei vielleicht hilft die ja auch weiter danke im Voraus

Logfile of HijackThis v1.98.2
Scan saved at 17:12:32, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Pascal Pick\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [C:\WINDOWS\system32\ope34.exe ] C:\WINDOWS\system32\ope34.exe
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\ope3D.exe ] C:\WINDOWS\system32\ope3D.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2ECB7204-69A8-465C-A3CD-BB4B00FDE7AF}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{2ECB7204-69A8-465C-A3CD-BB4B00FDE7AF}: NameServer = 205.188.146.146

Hallo@nachtschwaermer1980

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

<Windows-Start - Ausführen - sysedit.exe eingeben - OK klicken
<der MS-DOS Editor oeffnet sich
<suche einen Eintrag:

system.ini: Shell=Explorer.exe winsock.scr

<loesche diese Zeile rechts von run

# Click File > Save.
# Click File > Exit.
.........................................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O4 - HKLM\..\Run: [C:\WINDOWS\system32\ope34.exe ] C:\WINDOWS\system32\ope34.exe
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\ope3D.exe ] C:\WINDOWS\system32\ope3D.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

neustarten

#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot"
kopiere rein:
C:\WINDOWS\system32\ope34.exe
PC neustarten

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot"
kopiere rein:
C:\WINDOWS\dxsetu.exe
PC neustarten

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot"
kopiere rein:
C:\WINDOWS\system32\ope3D.exe
PC neustarten

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot"
kopiere rein:
C:\WINDOWS\SYSTEM32\OPE35.EXE
PC neustarten

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot"
kopiere rein:
C:\WINDOWS\SYSTEM32\OPE3E.EXE

(du kannst auch versuchen, alles in einem Abwasch zu loeschen: wenn es geht:
wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no"
kopiere das naechste rein usw. und nur beim Letzten klicke "Yes"
............................................................................................................

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

deinstalliere fuer 15 Tage deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe

dann poste das neue Log vom HijackThis noch mal.

mfg
Nikita

diese zeile finde ich nicht in der system.ini und auch nicht in win.ini

F2 - REG:system.ini: Shell=Explorer.exe winsock.scr

was bedeutet denn F2-Reg

das sind Bezeichnungen vom HijackThis.

F1\F2 = Autostart-Programm-Einträge in der ini-Datei (heikel, nicht alle Einträge sind schlecht)
Beispiel = win.ini: run=C:\windows\System32\services\wmplayer.exe (TrojanDownloader.Win32.Krepper)
.....................................................................................................
-->>>das ist der korrekte Eintrag: system.ini: Shell=Explorer.exe
......................................................................................................

Wenn du allerdings in der "system.ini: Shell=Explorer.exe" NACH dem Fixen mit dem HijackThis nachgeschaut hast...kann es schon sein, dass "winsock.scr" nicht mehr da ist.

Arbeite also die anderen Punkte ab und dann poste das neue Log vom HijackThis...da koennen wir sehen, ob es weg ist.

mfg
Nikita

Das ist jetzt die neue log

Logfile of HijackThis v1.98.2
Scan saved at 06:05:10, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Dokumente und Einstellungen\Pascal Pick\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\BySoft FreeRAM\FreeRAM.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab

hab die Anweisungen alle befolgt allerdings bekomme ich nicht alles weg
mein PC läuft auch unheimlich langsam als waere kaum Arbeitsspeicher da. Liegt das an dem Virus ??? und wie kann ich ihn wieder schneller machen ??

nochmal vielen dank übrigens dass du mir hilfst

Hallo@nachtschwaermer1980

F2 - REG:system.ini: Shell=Explorer.exe winsock.scr und
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
gehoeren zusammen...ist ein Virus.
...........................................................................................................

Step 1:

Gehe in die Registry
Start<Ausfuehren<regedit

<HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
loesche:
Winsock

<HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
loesche
Winsock2
..........................

gib oben links in die Suchfunktion der Registry ein:
<dxsetu
< winsock.scr
und loesche RECHTS in der Registry alle Eintraege, die du findest.

schliesse die Registry

Deinstalliere den Antivirus UND den escan...der PC hat probleme mit zwei aktivierten Virenscannern.

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe

neustarten

.............................................................................................
Falls du nun kein Internet hast, mache folgendes:...wenn die Internetverbindung o.k. ist...mache es nicht !!!!!!!!!!!!!!!!!!!
Install TCP/IP

1. Right-click the network connection, and then click Properties.

2. Click Install.

3. Click Protocol, and then click Add.

4. Click Have Disk.

5. Type C:\Windows\inf, and then click OK.

6. On the list of available protocols, click Internet Protocol (TCP/IP), and then click OK.

7. Restart the computer.

......................................................................................................

Loesche:

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\dxsetu.exe
PC neustarten

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\system32\ope34.exe
PC neustarten

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\system32\ope3D.exe
PC neustarten

versuche, ob es auch funktioniert mit:
<C:\WINDOWS\system32\Wincock.exe oder <C:\WINDOWS\system32\Winsock.exe oder
<C:\WINDOWS\system32\winsock.scr

Lade das Erkennungstool vom eScan (loescht nicht)
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
zusammen mit dem neuen Log vom HijackThis.

mfg
Nikita