Hi Leute,

war bis vor ein paar Tagen wirklich froh, weil mein PC immer stabil und ohne Viren lief. Jetzt häufen sich bei mir die Trojanerfunde (AV). Heute waren es TR/Dldr.Dyfuca.DB und TR/Dldr.IstBar.A

Da ich schon in einigen Foren gelesen habe, dass AV das Problem zwar findet aber nicht behebt, hier mein Hijackthis-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 10:58:26, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\nap.exe
C:\Programme\ICQLite\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuadampr.exe
C:\WINDOWS\System32\rundll32.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
D:\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\MDT.exe
D:\mozilla\mozilla.exe
d:\winrar\WinRAR.exe
C:\DOKUME~1\chef\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Opera7\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F51F859F-60F7-44FB-B195-CAD04FD9EECF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [msci] MCRG

O4 - HKLM\..\Run: [IE6] nap.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSSWINHELP] wuadampr.exe
O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [REGRUN] C:\MDT.exe
O4 - HKLM\..\RunServices: [IE6] nap.exe
O4 - HKLM\..\RunServices: [MSSWINHELP] wuadampr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSSWINHELP] wuadampr.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/...6/mcinsctl.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/...16/mcgdmgr.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - D:\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Vielen Dank für Eure Mühen, wäre echt cool, wenn ihr daraus was lesen könnt.

P.S.: Ein Kumpel meine es könnte helfen den PC vom Internet zu trennen, dann AV, Adaware, AV zu scannen. Bringt das was ???

Hi,

leider ist dein PC rettungslos verseucht u.a. mit Programmen, die Fremden Zugriff auf deinen Rechner gestatten. Du solltest daher anhand dieser Anleitung eine Neuinstallation vornehmen und dich auch mit den weiterführenden Links eingehender beschäftigen:

http://www.trojaner-info.de/report_i...nleitung.shtml

bei einem normalen parite oder startpage schon.
aber nicht beim backdoor rbot.
installiere windows neu und beachte diese Anleitung

@cybertom1710

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Es fehlen die wichtigen Updates und Service Packs.

Zitat:

C:\WINDOWS\System32\nap.exe
C:\WINDOWS\System32\wuadampr.exe
C:\MDT.exe

Die Dateien bzw. Prozesse gehören nicht zum Windows, ergo haben die im Systemverzeichnis nichts zu suchen. Prozesse über Task-Manager (Strg-Alt- Entf drücken, Task-Manager aufrufen, Kartei Prozesse, aufsuchen, markieren, beenden)

Zitat:

O2 - BHO: (no name) - {F51F859F-60F7-44FB-B195-CAD04FD9EECF} - (no file)
O4 - HKLM\..\Run: [msci] MCRG

O4 - HKLM\..\Run: [IE6] nap.exe
O4 - HKLM\..\Run: [MSSWINHELP] wuadampr.exe
O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - HKLM\..\Run: [REGRUN] C:\MDT.exe
O4 - HKLM\..\RunServices: [IE6] nap.exe
O4 - HKLM\..\RunServices: [MSSWINHELP] wuadampr.exe
O4 - HKCU\..\Run: [MSSWINHELP] wuadampr.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Jede Menge Malware, z.T.- mit ungeklärtem Schadenspotential.
Alle zitierte Einträge fixen.
Wenn das Ganze nicht hilft, die Anleitung durcharbeiten.

@Chris14

Zitat:

installiere windows neu

Ich plädiere immer dafür , aber ich habe nicht die eindeutigen Hinweise auf

Zitat:

backdoor rbot

gefunden.

Vielen Dank, für die schnellen (wenn auch vernichtenden) Antworten.

Werde dann wohl mal Windows neu installieren und dann alle Packs und updates installieren.

Noch eine Frage hätte ich aber:

Habe (mit Partition Magic) mehrere PArtitionen angelegt. Kann ich nur die Win-Partition platt machen ? oder muss ich alels komplett neu machen ?

Danke nochmals

Thomas

@cybertom1710

Zitat:

Habe (mit Partition Magic) mehrere PArtitionen angelegt. Kann ich nur die Win-Partition platt machen ? oder muss ich alels komplett neu machen ?

Schau mal bitte hier

@ Rene-gad

O4 - HKLM\..\RunServices: [MSSWINHELP] wuadampr.exe

Da isser.

Siehe: http://www.hijackthis.de/forum/archi...hp/t-1317.html

@ cybertom

Das mit den partitionen ist immer etwas schwierig zu beantworten, da man nicht genau weiss, wie genau dieser Backdoor auf deinen rechner gekommen ist und was ein potentieller Angreifer damit gemacht hat. Sicher ist, dass es genügt, die Win-partition zu löschen bzw. neu zu installieren, um den aktiven Schädling zu entfernen. Es wäre MÖGLICH, dass sich eine infizierte Datei auf den anderen Partitionen befindet und wenn du diese ausführst, kann eine erneute Infektion geschehen, allerdings auch erst dann, also nicht von allein. Es wäre auf jeden Fall ratsam, alles, was du an Programmen aus dem Netz geladen hast, ebenfalls zu löschen und nicht wiederzuverwenden.

@MountainKing

Zitat:

O4 - HKLM\..\RunServices: [MSSWINHELP] wuadampr.exe
Da isser.

Ich wusste, dass Ding nicht zum Windows gehört
TNX.