TR/Dldr.IstBar.A

sinned · 08.03.2005, 10:06

hallo
eins vorab: habe von so sachen nicht allzuviel ahnung..

also: antivir zeigt immer o. g. trojanische pferd an. durch recherche im netz habe ich mitbekommen, dass das wohl was ziemlich schwer zu behebendes ist.

ich habe mal eine logfile mit hijack 1.99 erstellt.

Logfile of HijackThis v1.99.1
Scan saved at 10:00:20, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
L:\CloneCD\CloneCDTray.exe
L:\AVGUARD.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\QuickTime\qttask.exe
L:\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
L:\logitech\cam\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
L:\AVSched32.EXE
L:\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
L:\HP-bildbearbeitung\Digital Imaging\bin\hpohmr08.exe
L:\HP-bildbearbeitung\Digital Imaging\bin\hpotdd01.exe
L:\Traceless\tray.exe
C:\WINDOWS\System32\LVComS.exe
L:\HP-bildbearbeitung\Digital Imaging\bin\hpoevm08.exe
L:\HP-bildbearbeitung\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Sinned\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
O1 - Hosts: 60.50.170.0
O1 - Hosts: 60.50.170.0
O1 - Hosts: 60.50.170.0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "L:\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "L:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "L:\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AnyDVD] L:\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] L:\logitech\cam\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] L:\logitech\cam\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] L:\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] L:\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [warez] "L:\Warez P2P Client\Warez.exe" -h
O4 - HKCU\..\Run: [Traceless] L:\Traceless\launch.exe
O4 - HKCU\..\Run: [Spyware Begone] L:\freescan.exe -FastScan
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = L:\office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.xxxtreams.com/data/xxxtre...nloads/mmp.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D14E677E-1D24-4422-AC2A-636EB0C14DF1}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - L:\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - L:\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

kann man das irgendwie beheben ohne das system neu installieren zu müssen?

vielen dank im voraus!!

sinned

chaosman · 08.03.2005, 11:36

@sinned
update als erstes system und IE
wechsle danach in den abgesicherten modus und fixe mit HJT
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
wenn du diese einträge nicht kennst, dann fixen(laut denic keine .de domains):
O1 - Hosts: 60.50.170.0
O1 - Hosts: 60.50.170.0
O1 - Hosts: 60.50.170.0
fixen:
O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll
O4 - HKCU\..\Run: [warez] "L:\Warez P2P Client\Warez.exe" -h
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.xxxtreams.com/data/xxxtr...wnloads/mmp.cab
lösche danach manuell
C:\WINDOWS\System32\popup_bl.dll
L:\Warez P2P Client\Warez.exe
C:\WINDOWS\web\related.htm
neu booten, neues HJT logfile posten
wenn du software aus unbekannte quelle downloadest, dann ist eine infektion meistens das resultat. bitte überdenke dein surfverhalten

chaosman

TR/Dldr.IstBar.A

Log-Analyse und Auswertung: TR/Dldr.IstBar.A

TR/Dldr.IstBar.A

TR/Dldr.IstBar.A

Ähnliche Themen: TR/Dldr.IstBar.A