Hi,
ich habe ein problem mit den trojanern Tr/dldr.dyfuca.cn und .dp...
Ich benutze antivir, doch es bringt es nicht fertig einen zu entfernen....
und jeden morgen...wenn ich den pc anstelle....bringt antivir 2-16 warnungen der trojaner....aus den ordnern windows und immer wieder temporäre internet dateien....naja..hab mich dann im internet ein bisschen schlau gemacht und escan und HijackThis gedownloaded...
es wäre nett wenn mir jemand helfen könnte...


Logfile of HijackThis v1.99.1
Scan saved at 11:19:58, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Thorsten B\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: hxxp://ny.contentmatch.net (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.co...?1103814069281
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Danke...!

Hallo,
bitte editiere deine Links (aus http mach hxxp) ich schau derweil mal drüber.


Grüße Wildone

so richtig??

Mfg

Kobi89

@Kobi89

Zitat:

aus den ordnern windows und immer wieder temporäre internet dateien....

Mit den Temp-Dateien geht es einfach: Systemsteuerung/Software/Internetoptionen/Allgemein/Dateien löschen, Haken gegen "Alle Offlineinhalte löschen" setzen.
Welche Dateien im Windows-Ordner sind betroffen? Bitte Ausschnitt aus Scanprotokoll posten (s. auch Benutzerhandbuch für AntiVir: http://free-av.de/antivirclassic/avpersonal.pdf )

Hallo,
lass am besten erstmal die C:\WINDOWS\System32\PSSDNSVC.EXE
hier untersuchen. Was hat den Escan so ausgespuckt? Suche mal im EscanLog nach "tagged" und "infected" und poste das ERgebnis hier her.


Grüße Wildone

so...
mit temporären internet dateien ist es kein problem die zu löschen...
nur....die kommen wieder...hab ich die gelöscht und war im internet sind dann ein paar stunden später wieder verseuchte dateien darin.........
und es gibt kein report...da mir durch antivir guard die warnungen der besagten trojaner kommen....dazu gibt es kein protokoll.......
und noch ne frage...
wenn so eine warnung kommt gibt es mehrere möglichkeiten wie ich den trojaner oder die infizierte datei behandeln kann.....wie```==??
löschen---oder----zugriff verweigern und datei belassen------datei überschreiben und löschen....was soll ich nehmen?
ich hab immer datei löschen gemacht....

mfg

Kobi89

Auslastung: 0% 100%

Datei: PSSDNSVC.EXE
Status: OK
Entdeckte Packprogramme: -

Hallo,
kannst du noch mal das vollständige Ergebnis posten, in etwa so:
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Um noch mal auf Escan zurückzukommen, hast du damit jetzt schon gescant? im abgesicherten Modus? Wenn ja poste mal das Ergebnis wie oben vorgeschlagen, wenn nein mach das ( nach Anleitung ) und poste dann den Inhalt der C:\eScan_neu.txt.


Grüße Wildone

File C:\DOKUME~1\THORST~1\LOKALE~1\TEMPOR~1\Content.IE5\G2T085H8\google[1].htm infected by "Trojan-Downloader.JS.IstBar.z" Virus! Action Taken: No Action Taken.
File C:\DOKUME~1\THORST~1\LOKALE~1\TEMPOR~1\Content.IE5\R7V17XD4\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.ab" Virus! Action Taken: No Action Taken.

nach escan 32 viren....meint escan

ich hab wohl ne ahnung woher das viech herkommt....
ich wollte aufne site, aber die konnte nicht aufgerufen werden weil ein Aktives steuerelement (x glaub ich) gefehlt hat....also dl und virus.....

mfg

Kobi

Hallo,
so kommen wir nicht weiter, mach mal bitte genau das was ich poste.

Zitat:

nach escan 32 viren....meint escan

Warum stehen dann in deinem Ergebnis nur zwei Einträge und nicht 32?
Du machst jetzt folgendes, du löschst die MWAV.LOG
dann liest du dir (und wenn es eine 1/2 Stunde dauert) die Anleitung zu Escan ganz genau durch, dann läßt du Escan laufen, und dann postest du den Inhalt der C:\eScan_neu.txt .


Grüße Wildone

ich hab nur die gepostet die mit "infected" gezeichnet waren......
hier die komplette liste....
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kapabout Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Powerscan Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "SurfAccuracy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "SurfAccuracy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "isearchtech Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Xrenoder Spyware/Adware" found in File System! Action Taken: No Action Taken.


File C:\Anwendungen Internet\BSINSTALLDE502.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken.
File C:\Anwendungen Internet\freerip.exe tagged as "not-a-virus:AdWare.ComedyPlanet.b". Action Taken: No Action Taken.
und jedemenge entrys...aber die kann ich nicht alle posten....
und nach anleitung gemacht ;-)

Hallo,
da mir nicht so richtig klar ist was Escan mit dem "File System" so genau meint (da könnte mich mal jemand der es weiß aufklären), besorge dir die Programme Ad-Aware und Spybot (leicht über google zu finden) gehe wieder in den abgesicherten Modus, fixe mit HijackThis folgendes:
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: hxxp://ny.contentmatch.net (HKLM)
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

Fogende Ordner/Dateien löschen falls vorhanden:
C:\Programme\SurfAccuracy
C:\Programme\Power Scan
C:\Anwendungen Internet\BSINSTALLDE502.exe
File C:\Anwendungen Internet\freerip.exe


dann läßt du die Programme Adaware und Spybot laufen, dann wieder in den normalen Modus, neues HijackThis Log erstellen und posten.


Grüße Wildone

sorry wenn ich blöd frage was meinst du mit fixen.-....??
so gelöscht....
spybot hatte ich schon...
ad-aware gedownloaded...

Hallo,
fixen heißt in HijackThis einen Haken vor den betreffenden Eintrag zu machen und dann auf "fix checked" zu klicken.


Grüße Wildone

so....
hab alles im abgesicherten modus durchgeführt...
16 viren etc... bei Spybot gelöscht...
57 kritische objekte bei Ad-Aware.....
führe jetzt nochmal mit HijackThis aus.....
und poste das ....

Mfg

Kobi