|
Plagegeister aller Art und deren Bekämpfung: Unlöschbare Datei: TR/Dldr.Small.cwq.15Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.04.2007, 15:40 | #1 | ||
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 Hallo Das ist mein erster Post in diesem Forum Ich habe Windows xp Home edition. Zum Virus: Vorgestern kommt plötzlich eine Warnmeldung von Antivir, dass ein Trojaner gefunden worden ist. Hier die Meldung: Zitat:
Zitat:
Also wenn ich eine lösche kommt sofort die nächste. Gestern wieder das selbe. Heute schon wieder. Nur dass es wesentlich mehr waren: 95 stück!!! Die sind dann alle so durchnummeriert: tmp381.tmp tmp388.tmp tmp3e4.tmp tmp3e5.tmp tmp3e6.tmp tmp3e7.tmp tmp3e8.tmp tmp3e9.tmp tmp3ea.tmp tmp3eb.tmp tmp3ec.tmp tmp3ed.tmp tmp3ee.tmp tmp3ef.tmp tmp3f0.tmp tmp3f1.tmp tmp3f2.tmp tmp3f3.tmp tmp3f4.tmp tmp3f5.tmp tmp3f6.tmp tmp3f7.tmp tmp3f8.tmp tmp3f9.tmp tmp3f0.tmp tmp3fa.tmp tmp3fb.tmp tmp3fc.tmp tmp3fd.tmp tmp3fe.tmp tmp3ff.tmp tmp400.tmp ... Das wird dann bis tmp442.tmp fortgesetzt... Ich bekomme die einfach nicht weg, weil sie halt jeden Tag neu da sind. Ich wollte ein virenscan im abgesicherten modus machen aber wahrscheinlich bin ich zu dumm, denn ich weiß nicht wie reinkomme Einen Scan mit HijackThis habe ich auch schon gemacht. Hier das log: Logfile of HijackThis v1.99.1 Scan saved at 16:40:08, on 06.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Norton Internet Security\ISSVC.exe c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\system32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\ALCXMNTR.EXE C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Centrale\Arbeit\sicherheit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe" O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [PrnSys Executable] C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Wireless Configuration Utility HW.61.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe So ich hoffe, das ihr mir helfen könnt BITTE PS: Ich habe auch das Gefühl, das mein Pc langsamer geworden ist. |
06.04.2007, 17:43 | #2 |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 In deinem Logfile habe ich nix Außergewöhnliches gefunden.
__________________Was mir jedoch aufgefallen ist: - Norton AntiVirus - Avira - AVG Das ist auf jeden Fall zu viel des Guten! Nicht nur, daß dir die viele Sicherheitssoftware die sprichwörtlichen "Ressourcenhaare" vom Kopf frißt (was u.a. erklärt, warum dein Rechner nur bedingt schnell ist!), du provozierst auch Fehler und s.g. False Positives (Fehldetektierungen) damit. Zumindest solltest du nur den On-Access-Scanner (Echtzeitschutz) eines Produktes nehmen. Als Firewall hast du ja soweit ich das erkenne nur Outpost laufen, was ok ist. Aber nicht drei Virenscanner parallel! Hast du mal einen vollständigen Scan durchgeführt, ob noch andere Malware auf dem Rechner sitzt, also in anderen Ordnern außer dem temporären? |
06.04.2007, 17:50 | #3 |
/// Helfer-Team | Unlöschbare Datei: TR/Dldr.Small.cwq.15 Wie yaycob schon geschrieben hat. Drei virenscanner sind absolut unnötig und es kann auch zu großen Problemen in deinem System kommen.
__________________Scanne im abgesicherten Modus nochmals mit antivir. Rechner runterfahren, wieder einschalten und F8 drücken, dann erscheint eine Auswahl, wie du starten willst. Da wählst du den abgesicherten Modus aus. Wenn dein System dann hochgebootet hat, scannes du nochmal deinen Rechner mit antivir. Allerdings solltest du vorher die Systemwiederherstellung deaktivieren. Gruss |
06.04.2007, 18:40 | #4 |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 N´abend Ich würd´erst mal die temporären Dateien löschen und dann den Scan wiederholen Gruß Jörg
__________________ Gruß Jörg |
06.04.2007, 21:31 | #5 | |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 Danke erstmal für die Antworten Ich werde das dann auch gleich ausprobieren Aber ich hätte da dann noch eine Frage: Welchen der viren scanner soll ich denn behalten, welche ist der Beste? Edit: Zitat:
|
07.04.2007, 10:09 | #6 |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 Wenn es sich bei deinem Norton AV um eine Version älter als 2007 handelt, würde ich aus Leistungsgründen darauf verzichten, da du ja schon selber geschrieben hast, daß du ziemlich hohe Einbußen hast. Avira und AVG gehen recht friedlich mit Ressourcen um, wobei ich dir da eher zu Avira rate. Aber das ist und bleibt letztlich immer was Relatives! Eine objektive Meinung wird dir da niemand geben. Jeder hat so seine Favoriten. |
07.04.2007, 11:41 | #7 |
/// Helfer-Team | Unlöschbare Datei: TR/Dldr.Small.cwq.15 Von Norton würde ich auch eher abraten. Ich würde Antivir als Wächter und AVG nur zum zweiten scan von Dateien nutzen und die Wächterfunktion von AVG abschalten. Gruss |
07.04.2007, 12:12 | #8 |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 Nochmal Danke an euch. Ich werde dann jetzt mal einen scan im Abgesicherten Modus machen und euch dann berichten, wie es gelaufen ist. |
07.04.2007, 18:57 | #9 |
| Unlöschbare Datei: TR/Dldr.Small.cwq.15 So, hab im abgesicherten Modus mit antivir gescannt und habe dann alle Fehler gelöscht. Bin ich jetzt hoffentlich den Trojaner los? |
Themen zu Unlöschbare Datei: TR/Dldr.Small.cwq.15 |
1.tmp, abgesicherten modus, antivir, antivirus, avira, besitzer, bho, c:\windows\temp, desktop, drivers, excel, firefox, helfen, hijack, hijackthis, home, internet explorer, internet security, mozilla, mozilla firefox, mp3, object, programm, quara, rojaner gefunden, scan, security, security center, server, shockwave, software, symantec, system, trojaner, trojaner gefunden, virus, windows, windows xp, windows\temp, wireless lan |