Trojaner und Dropper

judith · 01.11.2005, 21:47

HILFE!
Hab ein riesiges Problem mit Trojanern und Droppern und bin totaler Laie.
Auf meinem Computer haben sich folgende Trojaner und Dropper (was ist das überhaupt???) eingenistet:
TR/Agent
TR/Dlde.Adload.J.4
DR/Lomix.5
DR/Lomix.1
DR/Lomix.4

Kann mir irgendjemand dabei helfen, die Dinger wieder loszuwerden?

Immer, wenn ich ins Internt gehe, bekomme ich eine Meldung von Antivir und dann geht im Internetexplorer noch ein weiteres Fenster auf "whiplashmusic.com/bklan2.html" und dann kommt eine Fehlermeldung "unable do deliver license please try again later"

judith

cronos · 01.11.2005, 22:15

In welchen Dateien werden die Schädlinge gefunden?
Poste zusätzlich einen Hijackthis-Log .

judith · 01.11.2005, 22:56

Hier erst mal das HiJackThis-Log
Logfile of HijackThis v1.99.1
Scan saved at 22:53:31, on 01.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINDOWS\lsass.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\IELower.exe
C:\Dokumente und Einstellungen\J.Wirth\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {8C5CB68B-D308-4384-941A-414736ED275F} - C:\Programme\D\Bingooo\bingooo.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/DownloadsTO/Common/npwwg.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121712456406
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c6.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.1/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B77D663D-6F5B-4DB3-B028-3F89676B6516}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gefunden hat Antivir bisher wohl nur eine Datei mit dem Namen usbupdatesx.exe unter C:\ und darin die Dateien is.exe (TR/Agent), low.exe (DR/Lomix.5), xe.exe (TR/Dlde.Adload.J.4), tb.exe (DR/Lomix.1) und mmxatcam.exe (DR/Lomix.4).
Außerdem kam schon bevor Antivir die Trojaner und Dropper entdeckt immer eine Fehlermeldung wegen der Datei.

Es geht auch immer ein Fenster auf C:\WINDOWS\SYSTEM32\CMD\EXE

Hoffe, Du kannst damit was anfangen. Mir sagt das nix. Bin total hilflos.
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Ankündigung.

Gruß Cidre
S-Mod TB

dartus · 02.11.2005, 00:19

hallo judith,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Biite erst aufmerkam lesen und dann scannen. Teile das Ergebnis miitels der "find.bat" mit.

dartus

judith · 02.11.2005, 10:07

hallo dartus,

das mit der datenträgerbereinigung hab ich ja noch hinbekommen. aber was genau muss ich denn von escan downloaden? komm da nicht mit klar.

judith

dartus · 02.11.2005, 10:25

Hallo judith,

die Freeware-Version befindet sich hier ganz unten:
http://www.mwti.net/products/download_center.asp

dartus

Trojaner und Dropper

Plagegeister aller Art und deren Bekämpfung: Trojaner und Dropper