Hallo Trojanerboard User !
Ich würde gerne mal euch Fachkompetenzen in anspruch nehmen.
Seid ca. einer Woche plagt mich ein Trojaner, den ich um´s verrecken nicht weg bekomme, da alle Anti Virenprogramme kläglich versagen.
Soweit ich weiss handelt es sich um einen Trojaner mit der Bezeichnung TR/DIdr.Ist.is.12.B (...laut AntiVir) Einen HijackThis Log habe ich noch nicht erstellt, werde ihn aber Posten. Habe aber einen Berricht von AntiVir und Bitdefender !! Für Hilfe wäre ich sehr dankbar


Hier der Bericht von AntiVir

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Manni
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.04 528424 13.09.2005 11:19:12
AVEWIN32.DLL : 6.32.0.6 832000 23.09.2005 00:18:38
AVGNT.EXE : 6.32.00.00 168039 13.09.2005 11:19:12
AVGUARD.EXE : 6.32.00.06 207912 13.09.2005 11:19:12
GUARDMSG.DLL : 6.31.00.01 98344 07.06.2005 11:34:24
AVGCMSG.DLL : 6.32.00.00 258165 13.09.2005 11:19:12
AVGNTDW.SYS : 6.31.00.01 32896 07.06.2005 11:34:22
AVPACK32.DLL : 6.31.01.07 327720 13.09.2005 11:19:12
AVGETVER.DLL : 6.30.00.00 24576 03.03.2005 17:09:34
AVSHLEXT.DLL : 6.30.00.01 40960 03.03.2005 17:09:36
AVSched32.EXE : 6.32.00.01 110632 21.09.2005 11:14:18
AVSched32.DLL : 6.30.00.00 122880 03.03.2005 17:09:36
AVREG.DLL : 6.31.00.05 41000 13.09.2005 11:19:12
AVRep.DLL : 6.32.00.90 1429544 17.10.2005 19:49:30
INETUPD.EXE : 6.32.00.05 254011 13.09.2005 11:19:12
INETUPD.DLL : 6.32.00.05 159744 13.09.2005 11:19:12
CTL3D32.DLL : 2.31.000 27136 18.08.2001 14:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 01:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 01:57:30
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[ ] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[X] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[ ] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Manni\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: Festplatte
F: Festplatte
G: CDRom
H: CDRom

Start des Suchlaufs: Mittwoch, 19. Oktober 2005 20:14

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK
Bootsektor von Laufwerk F: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDHelper.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CleverIEHookerJeired.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PornHijacker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PornHijacker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PornHijacker2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PornHijacker3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WurldMedia.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Manni
ntuser.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
NTUSER.DAT.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Manni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Manni\Lokale Einstellungen\Temp
fn5322e0dd.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Ist.is.12.B
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Manni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRZGRA38
wmv9VCM[1].CAB
ArchiveType: CAB (Microsoft)
--> WMV9VCM.inf
HINWEIS! Der Archivheader ist defekt
--> WMV9VCM.dll
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\tmp\wavelab5.02
wave.part02.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part03.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part04.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part05.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part06.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part07.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part08.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part09.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
wave.part10.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\WINDOWS\system32
a.exe
ArchiveType: RAR SFX (self extracting)
--> al.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Ist.is.12.B
test.111.txt
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


Fehler beim Wechsel in das Verzeichnis System Volume Information


F:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Mittwoch, 19. Oktober 2005 20:49
Benötigte Zeit: 35:34 min


4020 Verzeichnisse wurden durchsucht
92144 Dateien wurden geprüft
25 Warnungen wurden ausgegeben
1 Datei wurde gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Viren bzw. unerwünschte Programme wurden gefunden

Hier der Berricht von Bitdefender

//-----------------------------------------------------------------
//
// BitDefender Berichtdatei
//
// Erstellt am: 19/10/2005 21:32:29
//
//-----------------------------------------------------------------


Statistiken

Pfad prüfen : C:
D:
E:
F:
Ordner : 4043
Dateien : 272992
Archive : 4420
Komprimierte Dateien : 21063
Gefundene Viren : 5
Infizierte Dateien : 6
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 6
" Umbenannte Dateien : 0
I/O Fehler : 26
Prüfzeit := 00:58:24
Prüfgeschwindigkeit (Dateien/Sekunde) : 77

Virendefinitionen : 223789
Plugins prüfen : 13
Archiv-Plugins : 39
Entpacker Plugins" : 4
Mail Plugins" : 6
System Plugins" : 1

Prüfoptionen

Finden
[X] Bootsektor prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mail prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfiziert
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] Kopieren
[X] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen

Zusammenfassung:

C:WINDOWSdialup.exe Infiziert Application.Dialer.Kotu.C
C:WINDOWSdialup.exe Desinfizierung nicht durchgeführt
C:WINDOWSdialup.exe Verschoben
C:WINDOWSDownloaded Program Files2.exe Infiziert Trojan.Dialer.BH
C:WINDOWSDownloaded Program Files2.exe Desinfizierung nicht durchgeführt
C:WINDOWSDownloaded Program Files2.exe Verschoben
C:WINDOWSdup.dll Infiziert Application.Dialer.Kotu.C
C:WINDOWSdup.dll Desinfizierung nicht durchgeführt
C:WINDOWSdup.dll Verschoben
C:WINDOWSRoutenplanerAG[rlg-10266,de,].exe Infiziert Application.Dialer.HP
C:WINDOWSRoutenplanerAG[rlg-10266,de,].exe Desinfizierung nicht durchgeführt
C:WINDOWSRoutenplanerAG[rlg-10266,de,].exe Verschoben
C:WINDOWSsystem32eazhdbdm.dll Infiziert Trojan.Golid.C
C:WINDOWSsystem32eazhdbdm.dll Desinfizierung nicht durchgeführt
C:WINDOWSsystem32eazhdbdm.dll Verschoben
C:WINDOWSsystem32nxpnvvtr.dll Infiziert Trojan.Navid.C
C:WINDOWSsystem32nxpnvvtr.dll Desinfizierung nicht durchgeführt
C:WINDOWSsystem32nxpnvvtr.dll Verschoben
Geprüfte Dateien

Logfile of HijackThis v1.99.1
Scan saved at 23:24:16, on 22.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\Programme\Winamp\Winamp.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\Jojo\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {081001A6-551C-7C66-D74B-C8F25402E687} - (no file)
O2 - BHO: (no name) - {827C8D59-CB39-19EC-8B30-11D1BD3675E1} - (no file)
O2 - BHO: (no name) - {B868DF4C-1D09-139C-1023-7B6C681FFB18} - (no file)
O2 - BHO: (no name) - {B981B5AB-2528-0D9A-F016-89C4D497962E} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo Josiwebster,

leere die Quarantäne-Ordner Deiner Antivir-Programme.

Öffne den IExplorer --> Extras --> Internetoptionen --> Allgemein --> Dateien löschen --> Häckchen bei alle Offlineinhalte löschen --> Ok

Verwende zum Surfen zukünftig einen sicheren Browser .

Fixe mit HijackThis folgende Einträge:
Alle "02"-Einträge
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

dartus