|
Plagegeister aller Art und deren Bekämpfung: Trojaner: Dldr.Small.alr.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.08.2005, 10:40 | #1 |
| Trojaner: Dldr.Small.alr.1 Hi, ich hab nun schon seit längerer Zeit ein großes Problem mit einem Trojaner, nämlich mit dem Trojaner: Dldr.Small.alr.1 Mein Antivir gibt ca. jede Stunde eine Meldung aus, dass es diesen Trojaner gefunden hat. Am Anfang hab ich mir gedacht:"is ja kein Problem, dann lösch ich ihn halt." Ist aber doch ein Problem. Ich lösche ihn zwar jedes mal mit Antivir, aber er kommt immer wieder. Er befindet sich immer in: C:\DOKUME~1\******~1\LOKALE~1\TEMP\ Und er ist immer eine Exe deren Name aus 5 Zahlen besteht. Wie gesagt, wenn ich ihn lösche, ist er merkwürdigerweise sofort wieder da und wenn ich ihn nicht lösche, vermehren sich diese merkwürdigen Exen . Bitte helft mir ich weiß echt nicht mehr was ich machen soll. Hier nochmal die Antivir Meldung, falls es hilft...: C:\DOKUME~1\******~1\LOKALE~1\TEMP\10551.EXE Ist das Trojanische Pferd TR/Dldr.Small.alr.1 |
08.08.2005, 12:18 | #2 |
| Trojaner: Dldr.Small.alr.1 Hallo Minro
__________________erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden. Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe ausserdem lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
__________________ |
08.08.2005, 12:29 | #3 |
| Trojaner: Dldr.Small.alr.1 Hier is das Log:
__________________Logfile of HijackThis v1.99.1 Scan saved at 13:24:17, on 08.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Daily Weather Forecast\weather.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.psiworld.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3CA53E55-B44D-19B1-8752-61557EAB2C6B} - C:\WINDOWS\System32\mri.dll (file missing) O2 - BHO: (no name) - {3CF03558-B31C-4EB7-8752-61557EAB2E34} - C:\WINDOWS\System32\sfcg.dll (file missing) O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL O4 - HKLM\..\Run: [msn] msnmsg.exe O4 - HKLM\..\Run: [Microsoft Update Machine] expl0rer.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [Windows Update] host32.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe /disabled O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] expl0rer.exe O4 - HKLM\..\RunServices: [Windows Update] host32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [Microsoft Update Machine] expl0rer.exe O4 - HKCU\..\Run: [msn] msnmsg.exe O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent O4 - HKCU\..\RunServices: [msn] msnmsg.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {00000000-0000-0000-0000-000020030000} - h**p://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://ht*p://static.windupdates.com.../bridge-c8.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - ht*p://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C06571E-D200-48CC-B2AE-FDE151E6013D}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe (file missing) O23 - Service: mcupdmgr.exe - Unknown owner - (no file) O23 - Service: MCVSRte - Unknown owner - (no file) O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
08.08.2005, 14:01 | #4 | ||||
| Trojaner: Dldr.Small.alr.1 leider ist dein System total verseucht mit verschiedenen Backdoor-Viren Zitat:
Zitat:
Zitat:
Zitat:
da kann ich dir nur raten das system so schnell wie es geht von Netz zu nehmen und Neuaufsetzen. Hilfe zum Neuaufsetzen und anschließende Absicherung Lese mal hier http://de.wikipedia.org/wiki/Backdoor und auch das solltest du dir mal anschauen http://www.heise.de/newsticker/meldung/51689 http://cert.uni-stuttgart.de/doc/netsec/bots.php Du solltest in Zukunft auf sichere Browser setzen, ist aber in der Hilfe beschrieben Sry |
08.08.2005, 17:08 | #5 |
| Trojaner: Dldr.Small.alr.1 Sowas hab ich schon befürchtet Naja, danke. |
Themen zu Trojaner: Dldr.Small.alr.1 |
anfang, antivir, befindet, exe, gefunde, großes, helft, lokale, längerer, lösch, meldung, nicht mehr, pferd, problem, rojaner gefunden, sofort, stunde, temp, troja, trojaner, trojaner gefunden, trojanische, trojanische pferd, vermehren, zahlen |