Habe TR/Lefeat.DLL1 auf meinem Computer

Stevenschmitter · 13.02.2005, 17:54

Hallo,
Habe mir diesen Trojaner eingefangen und weiss nicht weiter. Habe mit dem HijackThis folgendes Log gemacht, vielleicht weiss jemand was damit anzufangen, ich weiss solche Sachen nämlich nicht. Wäre froh, wenn mir jemand sagt was ich unternehmen muss, um diesen Trojaner loszuwerden.
Danke

Logfile of HijackThis v1.99.0
Scan saved at 17:13:43, on 13.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\Programme\NavNT\defwatch.exe
C:\PROGRA~1\HPQ\CUSTOM~1\hibserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
c:\progra~1\WinPoet\WrOS.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\atlpy.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\sysro32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Steven\Schutzprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\itupy.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\itupy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\itupy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\itupy.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Bluewin
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {05B9D468-DCBB-B373-1E92-C39AEABA5D06} - C:\WINNT\system32\sdkxl.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [atlpy.exe] C:\WINNT\system32\atlpy.exe
O4 - HKLM\..\RunOnce: [ietp32.exe] C:\WINNT\ietp32.exe
O4 - HKLM\..\RunOnce: [sysro32.exe] C:\WINNT\system32\sysro32.exe
O4 - HKLM\..\RunOnce: [mfckk.exe] C:\WINNT\mfckk.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mdz: C:\Programme\Plugins\npmod32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{88C9D03F-B576-4658-9CA8-9F4874C0D033}: NameServer = 195.186.1.110 195.186.1.111
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Hibernation - Unknown - C:\PROGRA~1\HPQ\CUSTOM~1\hibserv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - c:\progra~1\WinPoet\WrOS.EXE
O23 - Service: Network Security Service - Unknown - C:\WINNT\atlri.exe (file missing)

Haui45 · 13.02.2005, 17:58

Da ist noch einiges mehr auf deinem System.
=> Damit wir sichergehen können ob eine Reparatur überhaupt noch Sinn macht, scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Stevenschmitter · 15.02.2005, 17:39

Hallo,
Danke für die schnelle Antwort. Ich habe meinen Computer im abgesicherten Modus gestartet und mir EScan abgetastet. Hier ein Auszug von Insgesammt 68 Meldungen, davon einige Non-Virus-Alerts. Alle anderen gefundenen Viren sind mit der Meldung "Backdoor.Win32.Small.dc" versehen. Ich hoffe jemand von Euch weiss was gescheites. (Am liebsten ohnen Neu-Installation)
Danke im Voraus.

File C:\WINNT\system32\sysro32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sysro32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\apiwy.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\atlsf32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\crnb.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\mfckk.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

HerrKautz · 15.02.2005, 17:42

Zitat:

Zitat von Stevenschmitter

(Am liebsten ohnen Neu-Installation)

File C:\WINNT\mfckk.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Das rechtfertigt eine Neuinstallation,so gehst du vor: http://trojaner-board.de/showthread.php?t=12154

Gruss

Stevenschmitter · 15.02.2005, 17:59

Danke,

Tja, muss halt dann sein. Ich selbst weiss keine Lösung und vertraue euch.

Noch eine Frage, welches Virenprogramm sollte man heutzutage als Schutz draufhaben, habe schon etliche Probiert, EScan und AntiVir schienen mir die besten. Gibts bessere, oder was sollte man sonst noch als Schutz haben?

Habe TR/Lefeat.DLL1 auf meinem Computer

Log-Analyse und Auswertung: Habe TR/Lefeat.DLL1 auf meinem Computer