Hallo an alle Eingelogten,

ich bin das Erste mal in diesem Forum und nachhaltiger Laie. AVG zeigt mir seit zwei Wochen den o.g. Virus an und kann ihn nicht heilen. Ich habe mir schon einige Logs angeschaut und und verstehe nicht sehr viel davon. Da ich dieses Forum nicht dazu ausnutzen will, mir das 1x1 beibringen zu lassen nur die folgenden Fragen: kennt jemand diesen Virus und wenn ja, wie gefährlich ist er? Exportiere ich das Teil, wenn ich weiter E-Mails versende?

viel grüße L

Hallo Luxemburg,

Zitat:

AVG zeigt mir seit zwei Wochen den o.g. Virus an und kann ihn nicht heilen.

Seit 2 Wochen
In dieser Zeit hättest du das System 20 mal neu aufsetzen können.

Zitat:

kennt jemand diesen Virus und wenn ja, wie gefährlich ist er?

Nicht mal Google kennt diesen Schädling und die Schadroutinen der "Small-Reihe" sind ziemlich unterschiedlich. Welche Datei wird von AVG "angemeckert"? Scanne diese Datei online bei http://virusscan.jotti.org/de und poste das Ergebnis.
Nur soviel: Backdoor klingt schon mal sehr schlecht...

Zitat:

Da ich dieses Forum nicht dazu ausnutzen will, mir das 1x1 beibringen zu lassen

Ein HijackThis-Logfile wäre für uns trotzdem sehr hilfreich.

Hallo Haui45,

vielen Dank für den Tip. Habe HJT downgeloaded und das System gescanned.

Die angegriffene Datei heißt WINDOWS\DVPD\DLL.

Hier das HJT-Logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:55:04, on 12.06.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\DESKTOP\HJT\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/login/login.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Werde den Anleitungen folgend und versuchen, den Fehler über Systemwiederherstellung auszumerzen. Vielen Dank für die Hilfe (habe inzwischen unter den sehr guten Links auch 'Wie poste ich falsch?' gelesen).

Beste Grüße L

Das schaut leider gar nicht gut aus

Zitat:

O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe

Dieser Eintrag deutet auf eine Infektion mit dem Trojaner Dumaru-AT hin.
Dieser ermöglicht Dritten den Zugriff auf das System. Es ist deshalb als kompromittiert anzusehen und sollte neu aufgesetzt werden.

Habe gerade nochmal nachgelesen, was dieser Virus kann - Ende der Unschuld. Vielen Dank nochmals für die Hilfe.