|
Plagegeister aller Art und deren Bekämpfung: Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.01.2006, 01:11 | #1 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hallo! Ich bin neu hier und ich hoffe irgendwer kann mir einen Tip geben wie ich einen fiesen Trojaner von meinem PC bekomme! Hab schon einiges ausprobiert um ihn zu löschen! Leider ohne Erfolg! Bei fast jedem Neustart kommt die Warn-Meldung von AntiVir: Ist das Trojanische Pferd TR/Dldr.Zlob.BZ.2! C:\WINDOWS\SYSTEM32\LD736A.TMP Löschen geht diese Datei nur im abgesicherten Modus. Starte ich den PC wieder normal, ist die Datei wieder da und AntiVir schlägt alarm! Habe auch versucht die Datei zu virusscan.jotti zu schicken. Funkt leider nicht ! Hänge die Logfile von HijackThis dran! Vielleicht kann mir wer helfen ohne das ich den PC neu installieren muß! Wäre super! Danke! Logfile of HijackThis v1.99.1 Scan saved at 00:48:13, on 05.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\htpatch.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\GhostSurf Express\GhostSurf.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\DitExp.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\Privat\Programme\Antispionagep\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.coolwwwsearch.com/z/a/x1.cgi?101 (obfuscated) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.*.*.*:**** O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll (file missing) O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GhostSurf Express.lnk = C:\Programme\GhostSurf Express\GhostSurf.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Allow personal info to reach this site - file://C:\Programme\GhostSurf Express\info.allow.html O8 - Extra context menu item: Allow popups on this site - file://C:\Programme\GhostSurf Express\popup.allow.html O8 - Extra context menu item: Allow this advertisement - file://C:\Programme\GhostSurf Express\menu.allowimg.html O8 - Extra context menu item: Block personal info from this site - file://C:\Programme\GhostSurf Express\info.block.html O8 - Extra context menu item: Block popups on this site - file://C:\Programme\GhostSurf Express\popup.block.html O8 - Extra context menu item: Block this advertisement - file://C:\Programme\GhostSurf Express\menu.blockimg.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file) O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O15 - Trusted Zone: *.msn.com O17 - HKLM\System\CCS\Services\Tcpip\..\{773FE68F-F01C-4780-902D-F886D435B476}: NameServer = 192.168.122.252,192.168.122.253 O19 - User stylesheet: C:\WINDOWS\default.css (file missing) O19 - User stylesheet: C:\WINDOWS\default.css (file missing) (HKLM) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Frage mich schon die ganze Zeit, wie er auf meinem PC gekommen ist! Surfe nur mit Netscape, mache von AntiVir wöchentlich ein update + Agnitum Outpost Firewall zusäzlich zu Windows Firewall! |
05.01.2006, 09:54 | #2 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hi,
__________________Antivir erkennt den Schädling als einer der wenigen. Mach folgendes: lade dir clearprog 1.4.1 final, starte es und mach einen Haken bei "alles löschen", dann auf "löschen" clicken, wenn fertig auf "beenden". Damit sind alle temp Dateien gelöscht. Dann folgendes mit HJT fixen: O2 - BHO: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll (file missing) O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file) O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O19 - User stylesheet: C:\WINDOWS\default.css (file missing) O19 - User stylesheet: C:\WINDOWS\default.css (file missing) (HKLM) Dann meldest Dich wieder und postest ein neues HJT-Logfile. cacatoa
__________________ |
05.01.2006, 12:21 | #3 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hi!
__________________Habe clearprog heruntergeladen und Haken auf "alles löschen" gesetzt. Bei einem war ich mir nicht sicher, da ich mich auch nicht so auskenne! Muß ich bei jedem Punkt von clearprog wie IE, Opera, Netscape/Mozilla, usw. auf "alles löschen" gehen oder reicht es, wie ich es auch gemacht habe, beim starten von clearprog Haken auf "alles löschen" setzen und löschen?? Die von Dir angebenenen Punkte habe ich auch mit HJT gefixed! Nach einem Neustart war der Trojaner immer noch da!! AntiVir hat ihn zwar beim Systemstart nicht entdeckt, aber durch einen zusätzlichen Scan von Datei system32! Hier mein neues Logfile von HJT: Logfile of HijackThis v1.99.1 Scan saved at 12:13:10, on 05.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\htpatch.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\DitExp.exe C:\Programme\GhostSurf Express\GhostSurf.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Downloads\Privat\Programme\Antispionagep\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?101 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.coolwwwsearch.com/z/a/x1.cgi?101 (obfuscated) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.*.*.*:**** O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GhostSurf Express.lnk = C:\Programme\GhostSurf Express\GhostSurf.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Allow personal info to reach this site - file://C:\Programme\GhostSurf Express\info.allow.html O8 - Extra context menu item: Allow popups on this site - file://C:\Programme\GhostSurf Express\popup.allow.html O8 - Extra context menu item: Allow this advertisement - file://C:\Programme\GhostSurf Express\menu.allowimg.html O8 - Extra context menu item: Block personal info from this site - file://C:\Programme\GhostSurf Express\info.block.html O8 - Extra context menu item: Block popups on this site - file://C:\Programme\GhostSurf Express\popup.block.html O8 - Extra context menu item: Block this advertisement - file://C:\Programme\GhostSurf Express\menu.blockimg.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O15 - Trusted Zone: *.msn.com O17 - HKLM\System\CCS\Services\Tcpip\..\{773FE68F-F01C-4780-902D-F886D435B476}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Gruss Sorsa |
05.01.2006, 19:44 | #4 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Wo genau (Pfadangabe) hat Antivir ihn gefunden? cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
06.01.2006, 19:28 | #5 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hallo! Bin leider nicht so oft online, deshalb dauerts bei mir immer eine wenig bis ich antworte! Die Trojanerdatei ist in Windows/System32 z.B. LD687E.TMP, wobei sich der Name dieser Datei beim Neustart des PC´s immer ändert! Im abgesicherten Modus kan ich diese Datei schon löschen, aber irgendwie erschafft sie sich immer wieder neu nach jedem Start. Keine Ahnung evtl. steckt noch irgendwo eine Datei oder sonstiges die diese wieder zurückholt! AntiVir findet aber nur diese eine im System32! Gruss Sorsa |
07.01.2006, 18:01 | #6 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde!
__________________ --> Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! |
10.01.2006, 21:06 | #7 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hallo! Wollte mich noch bedanken! Ohne deine super Hilfe hätte ich diesen fiesen Trojaner nicht losbekommen! Habe die Punkte 1-5 genau abgearbeitet und der Trojaner war entfernt! Den Online Virusscanner habe ich auch durchgeführt. Kaspersky hat noch weitere infizierte Trojanerdateien gefunden, die ich manuell gelöscht habe. Die infizierten Dateien C:\RECYCLER\.... kann ich leider nicht finden. Habe auch versteckte Dateien anzeigen aktiviert. Wo bzw. wie komme ich an diese Dateien?? Gruss Sorsa |
11.01.2006, 08:53 | #8 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hi, die gesuchten Dateien liegen in der Systemwiederherstellung. Folgendes ist zu tun: Systemwiederherstellung ausschalten. Rechner ausschalten. Rechner anschalten. Systemwiederherstellung wieder anschalten. Weg sind sie. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
11.01.2006, 11:36 | #9 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! HAllo, ich habe wie einige andere hier wohlauch, ein kleines Problem. Ich hab schonseit ein paar Tagen den Trojaner TR/Dldr.small.buu drauf und kann den nicht löschen =( ich hab mal unter start und ausführen cleanmgr gemacht aber nix ist. Andere user schreiben hier wüste tabellen von eiganartigen worten und ziffern damit ihr da was machen könnt. was ist das ? kann mir jemand helfen ? hab windows XP und AntiVir Und wie ihr wohl mekrt, hab ich 0 Ahnung von dem Thema ;-) |
11.01.2006, 12:54 | #10 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! @ MonChiChi: Bitte eröffne einen eigenen thread mit deinem Problem. Es wird sonst zu unübersichtlich hier. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
11.01.2006, 18:46 | #11 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hallo! Habe die Systemwiederherstellung deaktiviert, Rechner neu gestartet und die Systemwiederh. wieder aktiviert. 75 infizierte Objekte waren gelöscht. 3 sind immer noch da: Kaspersky Anti-Virus database last update: 11/01/2006 Kaspersky Anti-Virus database records: 160146 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ G:\ K:\ L:\ M:\ N:\ Scan Statistics: Total number of scanned objects: 65037 Number of viruses found: 1 Number of infected objects: 3 Number of suspicious objects: 0 Duration of the scan process: 3958 sec Infected Object Name - Virus Name C:\RECYCLER\S-1-5-21-513208877-790579317-554086078-1007\Dc30.dbx/[From Deutsche Bank AG <supprefnum434467850@deutsche-bank.de>][Date Fri, 09 Dec 2005 15:34:40 +0100]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.li C:\RECYCLER\S-1-5-21-513208877-790579317-554086078-1007\Dc30.dbx/[From Deutsche Bank AG <supprefnum434467850@deutsche-bank.de>][Date Fri, 09 Dec 2005 15:34:40 +0100]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.li C:\RECYCLER\S-1-5-21-513208877-790579317-554086078-1007\Dc30.dbx Infected: Trojan-Spy.HTML.Bankfraud.li Scan process completed. Wie bringe ich die noch los?? Online Virusscan Etrust hat auch noch einige Hijacker gefunden: Hijacker "Winshow" found in: key "hkey_classes_root \winshow.viewsource" key "hkey_classes_root \winshow.viewsource.1" key "hkey_current_user \software\winshow" key "hkey_local_machine \software\classes\winshow.viewsource" key "hkey_local_machine \software\classes\winshow.viewsource Hijacker "ISTbar" found in: key "hkey_current_user \software\ist" Hijacker "ClearSearch" found in: File "C:\WINDOWS\system32\ietie.dll" Kann ich diese einfach löschen oder muß ich da was beachten?? Gruss Sorsa |
13.01.2006, 08:59 | #12 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hi, entschuldige, daß es gedauert hat. Wenn du die email von der "Deutschen Bank" mit dem Bankfraud nicht geöffnet hast, dann sollte es genügen, nochmal die Systemwiederherstellung zu löschen. Weiterhin lade Dir Regseeker und lasse die Registrierung säubern. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
13.01.2006, 15:02 | #13 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! Hallo! Kein Problem! Ich brauche auch immer etwas länger zum Antworten!! Habe Regseeker heruntergeladen und Registrierung säubern gedrückt aber nicht fertig ausgeführt. Regseeker listet mir über 1100Einträge auf! Kann ich diese ohne Gefahr löschen?? Gruss Sorsa |
13.01.2006, 15:33 | #14 | |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde!Zitat:
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
13.01.2006, 18:00 | #15 |
| Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! @ MightyMarc: Nach dem Leeren des Papierkorbes wandert der Schrott in z.B. C:\Recycler\ also in die Systemwiederherstellung. Deaktivierung des Papierkorbs bringt bei XP nur, daß das Zeugs gleich in die Systemwiederherstellung wandert. @ Sorsa: du kannst die Einträge löschen. Nur drauf achten, daß bei Regseeker ganz links unten ein Haken ist bei: Sicherungskopie. Dann kann man im Notfall wiederherstellen (was ich allerdings noch nie brauchte). cacatoa
__________________ Der Mensch sollte eine Hundeseele haben Geändert von cacatoa (13.01.2006 um 18:19 Uhr) |
Themen zu Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde! |
adobe, adobe reader, antivir, avg, bho, danke, downloader, dsl, einstellungen, explorer, fiese, helfen, helper, hijack, hijackthis, home, internet, internet explorer, keine ahnung, launch, logfile, mozilla, obfuscated, photoshop, pop-up-blocker, popups, problem, software, stick, super, system, trojaner, windows, windows xp |