Brauche Hilfe beim entfernen von TR/Dldr.Small.buy.1

[Trin]

Hallo Leute,

brauche echt dringend Hilfe. Ich bekomme den Trojaner TR/Dldr.Small.buy.1 einfach nicht mehr runter. Naja dass er von antivir entfernt wir ist ja schön und gut aber beim neutstart ist er wieder da.

denke dass das ganze mit einer webseite (untervorbehalt ich sage nicht dass das stimm) www.findthewebsiteyouneed.com zusammenhängt. bin mir nicht sicher aber immer wenn ich den computer neu starte ist diese als startseite im internetexplorer drinnen obwohl ich vorher gmx.de reintu.

hab mir die software "hijackthis" runtergeladen und vielleicht kann mir jemand anhand des folgenden reports helfen:


Logfile of HijackThis v1.99.1
Scan saved at 16:09:35, on 13.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\hdljm.exe
C:\dfndre_5.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\ipwins\ipwins.exe
C:\Programme\Gemeinsame Dateien\{241ABAC6-096B-1031-0818-040304290031}\Update.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\PROGRA~1\TBONBin\tbon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\TClock\TClock.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Joe\Eigene Dateien\julia\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe[/color]
O4 - HKLM\..\Run: [Error Safe] C:\Programme\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [bl6JQLX7i] C:\WINDOWS\hdljm.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [Öç´e‡šVnÞÖ1§jŽºá×C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\hdljm.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Error Safe] "C:\Programme\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [tbon] C:\PROGRA~1\TBONBin\tbon.exe /r
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2725858828
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ ... ge-c24.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dsskperf.dll (file missing)
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\dsskperf.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

währe echt super wenn mir da jemand helfen würde denn ich hab keine lust den pc zu formatieren. mit ner sicherrungsdatei trau ich mich nicht vieleicht ist der trojaner da dann auch drauf und so müsste ich wieder alles speicher und das würde tage brauchen.


BITTE

[BlueScreen-Bertrand]

Hallo,

lade schonmal die ewido-Testversion herunter und führe einen kompletten Systemscan durch. Poste den Report in diesem Thread, lasse alle gefundenen Probleme beheben und deinstalliere ewido anschließend wieder.

Den Rest erledigt Yourhighness.

[Nikita]

Cleanup
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html

**
Look2Me-Destroyer V1.0.5 abarbeiten - poste den report
http://virus-protect.org/l2mfix.html

**
Vundofix abarbeiten
http://virus-protect.org/artikel/tools/vundofixx.html

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Error Safe] C:\Programme\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [bl6JQLX7i] C:\WINDOWS\hdljm.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe

O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [Öç´e‡šVnÞÖ1§jŽºá×C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\hdljm.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Error Safe] "C:\Programme\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [tbon] C:\PROGRA~1\TBONBin\tbon.exe /r

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ ... ge-c24.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dsskperf.dll (file missing)
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\dsskperf.dll (file missing)

PC neustarten

**
mit ewido scannen (poste den scanreport..obwohl..er wird riesig gross sein........
http://virus-protect.org/ewido.html

Counterspy abarbeiten - alles auf "remove" stellen + den scanreport abkopieren
http://virus-protect.org/counterspy.html
__________________________________________________________

**
Datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\Programme\TBONBin" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\ISTsvc" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Programme\Error Safe Free" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

[Trin]

BlueScreen-Bertrand danke schön für die software ich werde den bericht so bald wie möglich hier reinstellen

an nikita tut mir echt leid aber ich versteh nicht ganz was ich da machen soll. ich versuch es sobald ich zeit habe nochmal aber währe nett wenn du mir das ganze etwas vereinfacht nochmal schreiben könntest

liebe grüße an euch beide

[Nikita]

es ist korrekt erklaert, oder hier im Thread oder in den jeweiligen Links.
Wenn du es nicht gebacken bekommst, hast du zwei Alternativen: oder formatieren (waere das beste) oder hole dir Hilfe an den PC.

[Trin]

@ nikita ich denke du hast recht. habs mir überlegt bevor ich mich lang ärgere werde ich wohl lieber formatieren und dann versuchen alle sicherheitslücken zu schließen. bevor ich den jetz irgendwie loswerd und dann ihn wieder rauf krieg.

jedenfalls ein großes danke und liebe grüße

[Nikita]

die Sicherheitsluecken schliessen, bedeutet in deinem konkreten Fall.. kein FileSharing zu machen (oder wenigstens nicht das falsche zu laden.....)

[Trin]

oh ja da hast du echt recht. nur des problem des is der pc von meim freund und der is zu dumm gewesen. naja wollte eigentlich nur ein monopoli spiel runterladen

danke jedenfalls und auf wieder schreiben