Alles Ausprobiert bekomme aber den/dieTrojaner nicht weg

MirkMan · 31.05.2004, 16:58

Hi @ All,

Ich habe ein riesen großes Problem und zwar werde ich wohl einen dieser blöden Trojaner den ich auf dem Rechner habe, nicht los.

Ich habe schon alles so gemacht wie es hier im Forum, oder auch auf anderen Seiten steht probiert aber nichts.

Habe sämmtliche Programme die hier stehen ausprobiert, auch im abgesicherten Modus habe ich die Progs benutzt aber nichts, gar nichts. Ich hoffe ihr könnt mir weiter helfen.

Hier der Logfile von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 18:00:06, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\NoPopUp 2001\nopopup.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Nostromo\nost_LM.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN\MSNCoreFiles\MSN6.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\MirkMan\Eigene Dateien\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll (file missing)
O2 - BHO: (no name) - {ED868088-ACED-4F13-9857-C24F3DD1D3EE} - C:\WINDOWS\System32\mcldaea.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Loadout Manager.lnk = C:\Programme\Nostromo\nost_LM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {034CC2DC-3245-4B26-B5C7-7B8777739CB7} -
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE215.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...096.3572569444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F606D76B-5EAC-4DC3-94AF-EC9ED2C4A4E3}: NameServer = 213.148.130.10 213.148.129.10

rock · 31.05.2004, 17:47

systemwiederherstellung deaktivieren als erstes.
dann diese einträge mal fixen!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mcldaea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll (file missing)
O2 - BHO: (no name) - {ED868088-ACED-4F13-9857-C24F3DD1D3EE} - C:\WINDOWS\System32\mcldaea.dll

check dann mal hier den rechner!man kann gegebenfalls auch säubern oder elemenieren.
http://de.trendmicro-europe.com/ente...all_launch.php

was meldet eigentlich antivir?
was hast du schon alles gemacht? das programm auch benutzt?
http://www.spychecker.com/program/coolwebshredder.html

[ 31. Mai 2004, 19:01: Beitrag editiert von: rock* ]

MirkMan · 31.05.2004, 18:36

antivir kann nichts finden und programme technisch habe ich ausprobiert: Ad-aware 6, Spybot - Search & Destroy, CWShredder und antivir.

Aber ich habe die Systemwiederherstellung deaktiviert, gleich als Windows das erstemal geladen war.

Lutz · 31.05.2004, 18:45

Hallo MirkMan und Willkommen an Board,

versuche es bitte mal mit dem hier vorgestellten Tool: http://www.trojaner-info.de/anleitun...out_blank.html

Ich denke, das sollte passen...

MirkMan · 31.05.2004, 19:03

@ rock*
Habe alles gemacht was du geschrieben hast und das Prog von der Seite http://de.trendmicro-europe.com/ente...all_launch.php hat nochmal 3 Trojaner gefunden.

Und es scheint so als ob es was gebracht hat, als ich den IE geöffnet habe, hat sich kein pop up mit irgendwelcher Spayware Warnung geöffnet.

MirkMan · 31.05.2004, 19:28

@ Lutz

Habe ich gemacht, aber ob der was gefunden hat oder nicht weiß ich nicht, denn nach dem Neustart hat mein rechner nichts mehr gesagt, oder irgendwas anderes gemacht. Aber trotzdem Danke, auch an rock* !!!!

Denn mein Compi funzt Internet technisch wieder normal. NOCHMAL DANKE!!!!!!!!!!!!!!!!

Lutz · 31.05.2004, 20:54

@MirkMan
</font><blockquote>Zitat:</font><hr /> ...aber ob der was gefunden hat oder nicht weiß ich nicht... </font>[/QUOTE]Der Cleaner erstellt eine Log-Datei namens sphjfix.log in dem gleichen Verzeichnis, von wo aus er ausgeführt wird. Dort sollte stehen, ob und wenn ja, was gefunden wurde.

Wenn Du sicher gehen willst, kannst Du noch einmal ein Log von HijackThis hier posten.

Alles Ausprobiert bekomme aber den/dieTrojaner nicht weg

Plagegeister aller Art und deren Bekämpfung: Alles Ausprobiert bekomme aber den/dieTrojaner nicht weg