Trojaner Dyfuca.DB: Bitte helft mir!!!

fgast · 26.11.2004, 09:08

Hallo liebe Helfer,

habe das gleiche Problem wie viele andere auch. AntiVir entdeckt laufend den Trojaner Dyfuca. DB und läßt sich trotzdem nicht löschen.
Er soll laut AntiVir auf INSTALLER.EXE und WINLOGON.EXE bafallen haben.
Wenn ich online bin habe ich dadurch eine fast maximale Uploadrate und kaum spürgare Downloadrate. Nervt extrem!

Wer kann mir helfen???

Habe schon was von den Logfiles gelesen. Kann mir jemand, am besten in Laiendeutsch, genau erklären, wie ich das hinbekomme und welchen Download ich dafür nehmen soll.

Wäre Euch sehr dankbar für Eure Hilfe.

Bin kurz vor dem Nervenzusammenbruch!!!!

Vielen, vielen Dank!!!!

chaosman · 26.11.2004, 13:08

@fgast
lade dir HJT hier
poste danach ein logfile
wird hier beschrieben
chaosman

samy · 01.12.2004, 09:33

Morgen zusammen,

hab auch das Problem mit dem Trojaner TR/Dldr.Dyfuca.DB

nachfolgend die log-file (hijackthis), kann mir wer helfen bitte?

Logfile of HijackThis v1.98.2
Scan saved at 19:10:30, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\T-Online\BSW4\ISDNSP~1\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\windbg.exe
C:\WINDOWS\system32\slvchost32.exe
C:\WINDOWS\system32\suge.exe
C:\WINDOWS\system32\MSupdate32.exe
C:\WINDOWS\system32\lsass2.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\msnmsgrr.exe
C:\WINDOWS\cancel.exe
C:\WINDOWS\system32\winguard.exe
C:\WINDOWS\system32\msnmesengers.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\sitebar.exe
C:\WINDOWS\system32\sohqxgl.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\aaupdt.exe
C:\WINDOWS\system32\iexplore.exe
C:\dieset.exe
C:\WINDOWS\system32\dllmanager.exe
C:\windows\system\winrar.exe
C:\WINDOWS\paint.exe
C:\WINDOWS\sites.exe
C:\WINDOWS\msdos.exe
C:\WINDOWS\msdos32.exe
C:\WINDOWS\system32\msdev.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\klickTel\klickTel Januar 2003\KSTART32.EXE
C:\DOKUME~1\Karin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=153315
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=153315
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=153315
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web--search.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Debugger] windbg.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [MSChoExE] suge.exe
O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe
O4 - HKLM\..\Run: [NDIS Adapter] lsass2.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\cancel.exe
O4 - HKLM\..\Run: [winusb.dll] winguard.exe
O4 - HKLM\..\Run: [MSN] msnmesengers.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msupdate] update.exe
O4 - HKLM\..\Run: [msnmsgs.exe] C:\WINDOWS\sitebar.exe
O4 - HKLM\..\Run: [Network Manager] sohqxgl.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe
O4 - HKLM\..\Run: [Printer] C:\dieset.exe
O4 - HKLM\..\Run: [dlite] dllmanager.exe
O4 - HKLM\..\Run: [Spool] C:\windows\system\winrar.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\paint.exe
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\sites.exe
O4 - HKLM\..\Run: [Adobe] C:\WINDOWS\msdos.exe
O4 - HKLM\..\Run: [taskmgr.exe] C:\WINDOWS\msdos32.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [winimage] wvsvc.exe
O4 - HKLM\..\RunServices: [MSChoExE] suge.exe
O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] lsass2.exe
O4 - HKLM\..\RunServices: [microsoft-software] kbam.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [winusb.dll] winguard.exe
O4 - HKLM\..\RunServices: [MSN] msnmesengers.exe
O4 - HKLM\..\RunServices: [msupdate] update.exe
O4 - HKLM\..\RunServices: [Network Manager] sohqxgl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunServices: [dlite] dllmanager.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] lsass2.exe
O4 - HKLM\..\RunOnce: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [winusb.dll] winguard.exe
O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunOnce: [dlite] dllmanager.exe
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [Windows Debugger] windbg.exe
O4 - HKCU\..\Run: [MSChoExE] suge.exe
O4 - HKCU\..\Run: [NDIS Adapter] lsass2.exe
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [winusb.dll] winguard.exe
O4 - HKCU\..\Run: [MSN] msnmesengers.exe
O4 - HKCU\..\Run: [Network Manager] sohqxgl.exe
O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe
O4 - HKCU\..\Run: [dlite] dllmanager.exe
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - HKCU\..\RunServices: [MSN] msnmesengers.exe
O4 - HKCU\..\RunOnce: [dlite] dllmanager.exe
O4 - HKCU\..\RunOnce: [winusb.dll] winguard.exe
O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKCU\..\RunOnce: [NDIS Adapter] lsass2.exe
O4 - HKCU\..\RunOnce: [msdev] msdev.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: klickTel Januar 2003 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2003\KSTART32.EXE
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ac44d033bf6c79
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab

chaosman · 01.12.2004, 15:20

@samy
du hast diesen im system, da kann ich dir nur raten dein system neu aufzusetzen

http://www3.ca.com/securityadvisor/v....aspx?id=39437
O4 - HKLM\..\Run: [MSChoExE] suge.exe

http://securityresponse.symantec.com...ybot.worm.html
MSupdate32.exe

http://www.sophos.de/virusinfo/analy...2forbotby.html
windbg.exe

hier ein paar tips
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

chaosman

samy · 02.12.2004, 14:16

@chaosman
DANKE dir für deine hilfe! hoffe mal ich bring das hin.

Trojaner Dyfuca.DB: Bitte helft mir!!!

Log-Analyse und Auswertung: Trojaner Dyfuca.DB: Bitte helft mir!!!