|
Plagegeister aller Art und deren Bekämpfung: wie krieg ich den TR/Dldr.Dyfuca.ds weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.05.2005, 10:38 | #1 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? Mich plagt seit 2 Tagen der Trojaner TR/Dldr.Dyfuca.ds. Antivir kann ihn zwar beim fünften versuch löschen, aber beim nächsten Systemstart kommt sofort wieder die Antivir Meldung. Es steht immer da, die File C:\\Temp\Optimized.exe enthält eine Signatur vom Trojanischen Pferd TR/Dldr.Dyfuca.ds. Bitte helft mir diese Plage loszuwerden! |
18.05.2005, 10:44 | #2 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? leere den Ordner TEMP wo die meldung auch herkam.
__________________am besten machst du das im abgesicherten modus! abschliesend auch den papierkorb leeren, den da landet der müll den du aus dem ordner TEMP löscht. ebenso die temporären internetfiles incl.offlineinhalte elemenieren/löschen! zur sicherheit nach dem löschen der TEMPdaten auch nocheinmal mit AntiVir den PC scannen. dann neustart in den normal modus. machst du es so, könnte es klappen. weist du etwas NICHT frag vorher! |
18.05.2005, 11:03 | #3 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? hab ich gemacht, aber beim nächsten Systemstart im normalen Modus kommt die Meldung sofort wieder
__________________ |
18.05.2005, 11:04 | #4 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? poste die meldung des scanner sowie sie im normalmodus nachher lautet! |
18.05.2005, 12:48 | #5 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? hab mal ne Hijack logfile gemacht: Logfile of HijackThis v1.99.1 Scan saved at 13:45:54, on 18.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AlienGUIse\wbload.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\WINDOWS\Explorer.EXE C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINDOWS\System32\nvsvc32.exe C:\DOKUME~1\FELIX\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\rundll32.exe C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe C:\Programme\BinarySense\HDDlife\HDDlife.exe C:\Program Files\Internet Optimizer\optimize.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Felix\LOKALE~1\Temp\Rar$EX00.972\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - C:\PROGRA~1\GDATAD~1\DSLTUN~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe ams491.dat,Execute O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: HDDlife.lnk = C:\Programme\BinarySense\HDDlife\HDDlife.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit DSL-Tuning 2004 downloaden - C:\Programme\G DATA DSL-Tuning 2004\IEDownload.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'xfire_lsp_10226.dll' missing O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/We...ridge-c336.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095191401606 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\FELIX\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
18.05.2005, 13:30 | #6 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? da ist aber einiges am dampfen! für die einträge 010 wirst du ein zusätzliches programm brauchen: http://www.snapfiles.com/get/lspfix.html den rest fixen! (fix checked klciken) C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe C:\Program Files\Internet Optimizer\optimize.exe O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file) O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'xfire_lsp_10226.dll' missing O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/W...bridge-c336.cab _____________ edit: die vorige antwort, etwas gemacht davon?? leere den Ordner TEMP wo die meldung auch herkam. am besten machst du das im abgesicherten modus! abschliesend auch den papierkorb leeren, den da landet der müll den du aus dem ordner TEMP löscht. ebenso die temporären internetfiles incl.offlineinhalte elemenieren/löschen! |
18.05.2005, 14:27 | #7 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? so jetzt hab ich das LSP-Fix Prog geladen, weis nur nicht so ganz was ich damit anstellen soll |
18.05.2005, 14:38 | #8 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? Ich krieg alle weg, bis auf die zwei, die kommen beim nächsten Scan immer wieder: O10 - Hijacked Internet access by New.Net (lässt sich auch nicht mit Ispfix entfernen) O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe |
18.05.2005, 14:48 | #9 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? Habe gerade einen kleinen Fortschritt gemacht, ich habe die Ordner von dem MediaAccsess gefunden und den von Internet Optimizer, und habe beide entfernt und aus Software herausgelöscht. Nun steht beim log von hijack nur noch O10 - Hijacked Internet access by New.Net den ich einfach nicht wegkrieg |
18.05.2005, 15:10 | #10 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? Hallo, Deinstalliere ebenfalls über Systemsteuerung/Software "Newdotnet" oder ähnlich lautende Software. Dann diesen Ordner (falls noch vorhanden) löschen: C:\PROGRA~1\NEWDOT~1 <-- heisst vermutlich "NEWDOTNET" Wenn Du dann problem hast ins I-Net zu kommen: Starte LSPFIX -->Häckchen bei "I know what I'm doing"-->dein Eintrag "New.Net" (oder auch mehrere wenn vorhanden) auf die Seite "Remove" verschieben (mit den entspr. Pfeil)-->Finish klicken. http://www.cexx.org/lspfix.htm <<--Beschreibung dartus P.S. fixen alleine hilft nicht, die Dateien müssen auch gelöscht werden
__________________ Kein Support per PN |
18.05.2005, 15:38 | #11 |
| wie krieg ich den TR/Dldr.Dyfuca.ds weg? Ok hat einwandfrei geklappt das alles von Newdotnet zu löschen |
Themen zu wie krieg ich den TR/Dldr.Dyfuca.ds weg? |
antivir, enthält, file, helft, krieg, loszuwerden, löschen, pferd, plage, plagt, signatur, sofort, systems, systemstart, tagen, temp, troja, trojaner, trojanische, trojanischen, versuch |