|
Log-Analyse und Auswertung: TR/dldr.small.or weg, aber da ist noch mehr, oder?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.12.2004, 10:02 | #1 |
| TR/dldr.small.or weg, aber da ist noch mehr, oder? Hallo Experten, nachdem ich diverse Foren schon durchsucht habe, konnte ich den Trojaner TR/dldr.small.or zumindest schon einmal entfernen (hoffe ich doch...). Schätze aber, mein HJT Log ist trotzdem nicht mehr ganz sauber. Werde nach der Säuberungsaktion auf Firefox umsteigen, aber erstmal bitte ich um Eure Hilfe bei folgendem file. Wie kriege ich meinen Rechner wieder sauber. Bitte step für step in Laiensprache, mehr habe ich leider nicht drauf. Vielen Dank!!! Logfile of HijackThis v1.98.2 Scan saved at 22:43:46, on 01.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\services\wmplayer.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\winlogon.exe C:\WINDOWS\system32\symshhSPs-.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\WINDOWS\system32\winmm64.exe C:\WINDOWS\SPhhSPhh.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Realtek\Rtl8180\RtlWake.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastlook.net/sb.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastlook.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastlook.net/sb.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc F3 - REG:win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iexplore.exe] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [symshhSPs-] C:\WINDOWS\system32\symshhSPs-.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [symshhSPs-] C:\WINDOWS\system32\symshhSPs-.exe O4 - HKCU\..\Run: [SPhhSPhh] C:\WINDOWS\SPhhSPhh.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RtlWake.lnk = ? O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Microsoft® JavaScript® Console - {DE428C11-C731-4837-BAF9-B7C7E5843649} - (no file) O9 - Extra 'Tools' menuitem: JavaScript Console - {DE428C11-C731-4837-BAF9-B7C7E5843649} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft® JavaScript® Console - {DE428C11-C731-4837-BAF9-B7C7E5843649} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {DE428C11-C731-4837-BAF9-B7C7E5843649} - (no file) (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O21 - SSODL: System - {125729E8-52F3-4D36-B78C-8390E85A6AE6} - C:\WINDOWS\system32\system32.dll |
02.12.2004, 10:31 | #2 |
| TR/dldr.small.or weg, aber da ist noch mehr, oder? Das ist mehr, als du vermutet hast:
__________________Erst mal ein Backdoor-Trojaner, der hier. dann den da dann den: TrojanDownloader.Win32.Krepper und einen aus der Harnig-Reihe Hier empfehle ich Dir nur eines: System neu aufsetzen. Dabei Datensicherung beachten. Und dies als Pflichtlektüre vor dem Aufsetzen betrachten. Es gibt in meinen Augen keine andere vernünftige Lösung.
__________________ |
02.12.2004, 11:46 | #3 |
| TR/dldr.small.or weg, aber da ist noch mehr, oder? Vielen Dank für die schnelle Antwort? Keine Chance, um das Festplatte löschen und Neuaufsetzen herumzukommen? Hatte gehofft, das bloße fixen einzelner Einträge bei HJT würde schon helfen...
__________________ |
Themen zu TR/dldr.small.or weg, aber da ist noch mehr, oder? |
adobe, bho, dateien, diverse, entfernen, explorer, firefox, foren, hijack, hijackthis, hilfe, iexplore.exe, internet, internet explorer, log, microsoft, programme, realtek, rundll, software, system, trojaner, windows, windows messenger, windows xp |