Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Trojanisches Pferd TR/Dldr.QDown.L

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

Beitragvon xadoX am 08.12.2004, 15:07

Hi Nikita

So ich hab grad nochma nach denn dll Dateien gesucht und nur noch zwei des gefunden, die mit den Tag zusammenhängen. Beide haben die gleiche Uhrzeit:

SpOrder.dll
akcore.dll

Sie sind beide im System32.

Soll ich sie löschen?

Weiterhin öffnet der in Opera immer folgende Seiten:

http://69.20.61.245/info@nictechnetwork ... rmorie.htm
http://www.look2me.com/cgi-bin/KeywordV2?MT=t

Die Guard.tmp gibt es bei mir nicht

Hier noch meine log, bei der er wieder die


Logfile of HijackThis v1.98.2
Scan saved at 15:09:03, on 08.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tweak-XP Pro\popup.exe
F:\valve\steam\steam.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
G:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Winamp\winamp.exe
G:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\xadoX\Desktop\Hi Jackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [Steam] "f:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89640CAD-7597-42AE-B291-85C4A5511EE4}: NameServer = 217.237.150.97 217.237.149.161

Es hat sich mal wieder folgendes verdoppelt und verdreifacht:

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

Ich raff das net !! :!: :(

mfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 08.12.2004, 17:11

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q

neustarten

Deinstalliere das Tool (enthaelt selbst Spyware !!!)
_____________________________________________________________

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:Windows\System32\SpOrder.dll
C:Windows\System32\akcore.dll

C:\WINDOWS\system32\akrules.dll
C:\WINDOWS\system32\winupdak.dll
C:\WINDOWS\system32\winrulesak.dll

C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll

C:\WINDOWS\Guard.tmp
oder:
C:\WINDOWS\System32\Guard.tmp

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#die Host-Datei
: in c:\Windows\System32\drivers\etc\hosts
127.0.0.1 localhost
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 08.12.2004, 19:55

Hi Nikita !

Folgender Datei wurde mir den Zugriff verweigert, daher kann ich sie leider nicht löschen :

C:\WINDOWS\System32\Guard.tmp

Hier der neue Log:

Logfile of HijackThis v1.98.2
Scan saved at 18:54:42, on 08.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
G:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
G:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\xadoX\Desktop\Hi Jackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [Steam] "f:\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89640CAD-7597-42AE-B291-85C4A5511EE4}: NameServer = 217.237.150.97 217.237.149.161

P.s. Ich bekomme die ganze zeit irgendwelche komischen Emails, die Fehler beinhalten... Weißt du woran das liegt :?:

MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 08.12.2004, 20:05

also gibt es ????????????????

C:\WINDOWS\System32\Guard.tmp

Gehe in den abgesicherten Modus und loesche es manuell oder loesche es mit deer Killbox im abgesicherten Modus
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 08.12.2004, 23:34

Hi Nikita !

Ok hab diese Datei gelöscht !
Was nun ?

MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 09.12.2004, 00:27

ist das wirklich wahr ??? Hast du das geschafft ?'

Nun poste das neue Log vom HijackThis.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 09.12.2004, 10:42

Hi Nikita !

Ja ich konnte die datei löschen. Aber die Internetseiten öffnen sich immer noch :?
Log poste ich heut Nachmittag...

Sobald ich meinen Pc starte, steht das was von nem virus on guard !
Hat das was zu bedeuten?


MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 09.12.2004, 12:06

kopiere oder schreibe den GENAUEN Wortlaut und poste das Log (ohne diese Meldung wegzuklicken)
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 09.12.2004, 14:34

Meinst du die Meldung, die ich beim Starten bekomme?

Die kann man nicht wegklicken...die steht da kurz angezeigt, verschwindet allerdings nach paar sekunden weil der computer ja startet...aber ich schreib sie dir sobald ich zu Hause bin. Und den log auch

MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 09.12.2004, 14:42

Versuche mal folgendes :

Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.de/down/tools-f.php
FP-315B.ZIP Dateigröße: ca. 2418 kB vom 07.10.2004
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 09.12.2004, 15:50

Also ganz am Anfang steht folgendes :

Trend Chip Virus (R) on Guard

Hier der Log :

Logfile of HijackThis v1.98.2
Scan saved at 14:51:15, on 09.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tweak-XP Pro\popup.exe
G:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
G:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Dokumente und Einstellungen\xadoX\Desktop\Hi Jackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [Steam] "f:\valve\steam\steam.exe" -silent
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89640CAD-7597-42AE-B291-85C4A5511EE4}: NameServer = 217.237.150.97 217.237.149.161

Der Scanner hat keine Viren gefunden.


MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Nikita am 09.12.2004, 16:58

Loesche im abgesicherten Modus noch mal mit der Killbox:

<C:\WINDOWS\system32\aklsp.dll
<C:\WINDOWS\system32\akupd.dll
<C:\WINDOWS\system32\akrules.dll
<C:\WINDOWS\system32\winupdak.dll
<C:\WINDOWS\system32\winrulesak.dll

C:Windows\System32\SpOrder.dll
C:Windows\System32\akcore.dll

C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll

<C:\WINDOWS\VT00.exe
<C:\WINDOWS\VT100.exe

<C:\WINDOWS\Guard.tmp

Poste mir, ob das hier existiert hat :
<C:\windows\IEMenuExtension.exe
C:\windows\system\exdl0.exe
C:\windows\system\exdl1.exe
C:\windows\system\exdl3.exe
C:\windows\system\exul0.exe
C:\windows\system\exul1.exe
C:\windows\system\exul3.exe

#AboutBuster-->update !!!! (scanne im abgesicherten Modus)
www.malwarebytes.biz/AboutBuster.zip
wenn du dann die Textdatei oeffnest muesste da stehen:

AboutBuster log
Removed Data Streams:
C:\WINDOWS\VT00.exe:luwnd

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
Zuletzt geändert von Nikita am 14.12.2004, 15:57, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xadoX am 10.12.2004, 01:41

Hi Nikita !

Es tut mir leid dir mitzuteilen, dass ich so eben formatiert hab, aber ich hab die ganze Virenkrise einfach net mehr ausgehalten. Sorry, dass wir das Problem nicht zu Ende führen konnten!
Du bist eine klasse Lady und du hast mir echt viel durch deine Bemühungen geholfen ! Also DANKE !!! :oops:

Ich würd mich allerdings freuen wenn du mir bei dem Aufbau nach der Neuinstallation hilfst, sprich gute scanner und firewalls.

Nochmals Danke schön ! Bist echt klasse !

MfG

xadoX
xadoX
 
Beiträge: 99
Registriert: 05.12.2004, 17:25
Nach oben

Beitragvon Taramsis am 14.12.2004, 15:45

hi Leute,
ich hab auch ein Problem mit diesem TR/Dldr.QDown.L Troyaner.
hijackthis gab dies aus:

Logfile of HijackThis v1.98.2
Scan saved at 14:37:30, on 14.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Programme\eMule\emule.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\Mozilla\firefox.exe
D:\Tools\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8475C0B5-B01B-44B4-A4F5-DD048818A660} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8475C0B5-B01B-44B4-A4F5-DD048818A660} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3026522402
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC69D590-E1BE-423E-9223-D35A46E7B568}: NameServer = 212.122.137.24 62.26.136.136

hab ich noch den Trojaner

kann mir jemand helfen.
gruss
Taramsis
Taramsis
 
Beiträge: 1
Registriert: 14.12.2004, 15:38
Nach oben

Beitragvon Nikita am 14.12.2004, 16:03

Hallo@Taramsis

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8475C0B5-B01B-44B4-A4F5-DD048818A660} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8475C0B5-B01B-44B4-A4F5-DD048818A660} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)


neustarten

Loesche alles von :
F:\Programme\xp-AntiSpy (das ist von einer Spyware-Seite geladen)

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Lade das :
#xp-AntiSpy (offizielle Homepage)
http://www.xp-antispy.org/index.php?

Dann scanne noch mal mit Antivirus und berichte, ob noch was vom Trojaner gemeldet wird.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
VorherigeNächste
Thema gesperrt

Ähnliche Themen

Trojanisches Pferd
Forum: Online- und PC-Sicherheit
Autor: Rio001
Antworten:
Alle 10 Sek das Trojanische Pferd TR/Small.GS.2
Forum: Online- und PC-Sicherheit
Autor: Richard Ritter
Antworten:
Temp\se.dll + TR/Dldr.Agent.BQ
Forum: Online- und PC-Sicherheit
Autor: Nikita
Antworten:
brauche hilfe! hijack log & tr/dldr.small.or
Forum: Online- und PC-Sicherheit
Autor: Nicolas
Antworten:
Neues Trojanisches Pferd
Forum: Online- und PC-Sicherheit
Autor: Jinxy
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO