Der Trojaner TR/Dldr.180Instal.1

Kurdt_Cobain · 26.08.2005, 10:57

Hallo, bin neu hier und kein Windows "Experte". Nach jedem Neustart kriege ich von antivir den Hinweis, dass hinter einer temporären Datei der Trojaner TR/Dldr.180Instal.1 steckt. Ich lösche ihn dann, verschiebe ihn usw. nichts nützt, er ist immer wieder da. Hab windows XP. Jemand namens Wildone hat mal jemandem wegen diesem Trojaner gerholfen, der hatte aber Win 2000 und ich kann damit nix anfangen. Schon im Vorraus vielen dank für eure hilfe.

Kurt Cobain

felix1 · 26.08.2005, 11:07

Dann lese mal die Anleitung und poste ein HJT-Log.
http://www.trojaner-board.de/showthread.php?t=17493

Rene-gad · 26.08.2005, 11:11

@Kurdt_Cobain

Zitat:

Nach jedem Neustart kriege ich von antivir den Hinweis, dass hinter einer temporären Datei der Trojaner TR/Dldr.180Instal.1 steckt.

Benutze bitte dieses Tool und leere damit alle Temp-Ordner und Papierkorb.

Kurdt_Cobain · 26.08.2005, 11:13

Hier is mal das Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:12:36, on 26.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
F:\Internetschrutz\ICQ\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\a2 Free\a2start.exe
C:\Programme\a2 Free\a2scan.exe
F:\Internetschrutz\Hijack This\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/us/*http://www.yahoo.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/us/*http://www.yahoo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internetschrutz\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internetschrutz\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] F:\Internetschrutz\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\Programme\Search-Assistant\stubinstaller.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Internetschrutz\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Internetschrutz\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internetschrutz\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internetschrutz\ICQ\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{86400E10-6BCB-42FC-9A6D-79523C233C83}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{86400E10-6BCB-42FC-9A6D-79523C233C83}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{86400E10-6BCB-42FC-9A6D-79523C233C83}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Kurdt_Cobain · 26.08.2005, 11:16

Soll ich bei dem Clear Prog alles ankreuzen und dann löschen?

felix1 · 26.08.2005, 11:20

Neben dem von Rene-Gad empfohlenem Tool, führe folgendes aus:
Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html

Gehe in die Systemsteuerung->Software und deinstalliere alles, was irgendwie nach Dot/NewDot aussieht und was Dir unbekannt ist.

Anschliessend neues HJT-Log posten.

Kurdt_Cobain · 26.08.2005, 11:28

Ja danke. i machs mal so

Kurdt_Cobain · 26.08.2005, 11:29

Muss ich bei dem spybot das Search and destroy laufen lassen?

felix1 · 26.08.2005, 11:32

So solltest Du es tun.

Rene-gad · 26.08.2005, 11:39

@Kurdt_Cobain

Zitat:

Soll ich bei dem Clear Prog alles ankreuzen und dann löschen?

Cookies kannst du erstmal lassen.

felix1 · 26.08.2005, 11:42

Zitat:

Zitat von Rene-gad

Cookies kannst du erstmal lassen.

@Rene-Gad
Kläre mich mal auf

Rene-gad · 26.08.2005, 13:43

@felix1

Zitat:

Kläre mich mal auf

Nicht alle Cookies sind schlecht. Die z.B. von TB

muss man nicht unbedingt löschen. Ich bin einfach davon ausegangen, dass Kurdt_Cobain die bösen Cookies mit Ad-Aware und Spybot entfernt.

Kurdt_Cobain · 26.08.2005, 14:21

Thx für eure tipps, funktioniert aber leider nich.

Kurdt_Cobain · 26.08.2005, 14:24

Antivir zeigt beim start immer noch nen Trojaner an, spybot findet allerdings kein gefährlichen dinge mehr.

felix1 · 26.08.2005, 14:26

Was funktioniert nicht? Poste mal ein neues HJT und poste das Ergebnis.

@Rene-Gad
Alles klar.

26.08.2005, 11:07	#2
felix1 /// Helfer-Team	Der Trojaner TR/Dldr.180Instal.1 Dann lese mal die Anleitung und poste ein HJT-Log. http://www.trojaner-board.de/showthread.php?t=17493 __________________

26.08.2005, 11:20	#6
felix1 /// Helfer-Team	Der Trojaner TR/Dldr.180Instal.1 Neben dem von Rene-Gad empfohlenem Tool, führe folgendes aus: Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Gehe in die Systemsteuerung->Software und deinstalliere alles, was irgendwie nach Dot/NewDot aussieht und was Dir unbekannt ist. Anschliessend neues HJT-Log posten.

26.08.2005, 11:32	#9
felix1 /// Helfer-Team	Der Trojaner TR/Dldr.180Instal.1 So solltest Du es tun.

26.08.2005, 14:26	#15
felix1 /// Helfer-Team	Der Trojaner TR/Dldr.180Instal.1 Was funktioniert nicht? Poste mal ein neues HJT und poste das Ergebnis. @Rene-Gad Alles klar.

Der Trojaner TR/Dldr.180Instal.1

Plagegeister aller Art und deren Bekämpfung: Der Trojaner TR/Dldr.180Instal.1