bekomme TR/Dldr.Small.hwc nicht weg !!!

roketstar · 24.02.2008, 13:34

hi,
habe mir im Netz trotz aktiven Virenscanner und SuperAntiSpy den genannten Trojaner eingefangen der nicht wegzubekommen ist.
Beim Start von Xp meldet Antivir die Datei:
ftpdll.dll
als infiziert-siehe Überschrift- und das an zwei Orten; in System32 und in eigene...Dokumente bla bla bla
Die Dateien werden erst beim starten erstellt, kann die auch mit Antivir löschen will aber die Ursache endlich finden damit das nicht mehr passiert.
Habe schon einiges an scannern ausprobiert:
SuperAntiSpy
AntiVir Komplettscan
Vundo-Fix
ComboFix
cccleaner
ATF-Cleaner
SmitfraudFix- mehrfach probiert
hier die logs:
ComboFix 08-02-15.2 - holi 2008-02-24 12:40:56.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.708 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-24 bis 2008-02-24 ))))))))))))))))))))))))))))))
.

2008-02-24 12:38 . 2008-02-24 12:38 85,542 ---hs---- C:\WINDOWS\system32\drivers\spools.exe
2008-02-24 12:16 . 2008-02-24 12:16 <DIR> d-------- C:\VundoFix Backups
2008-02-24 12:01 . 2005-07-27 19:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-24 12:01 . 2008-02-20 01:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-24 12:01 . 2005-07-27 20:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-24 11:47 . 2008-02-24 12:13 <DIR> d-------- C:\SmitfraudFix
2008-02-24 03:49 . 2008-02-24 02:46 1,301,316 --a------ C:\SmitfraudFix.exe
2008-02-24 02:51 . 2008-02-24 12:10 1,964 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-20 02:04 . 2008-02-20 02:04 <DIR> d-------- C:\Programme\CCleaner
2008-02-19 12:54 . 2008-02-19 12:54 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-19 12:54 . 2006-05-25 10:29 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-19 12:43 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-19 12:42 . 2008-02-19 12:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-02-17 14:41 . 2008-02-17 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 14:40 . 2008-02-23 20:34 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 06:56 . 2008-02-17 06:56 <DIR> d-------- C:\Programme\Trend Micro
2008-02-11 17:19 . 2008-02-11 17:19 <DIR> d-------- C:\Programme\iPhoneBrowser
2008-02-10 16:07 . 2008-02-10 16:07 <DIR> d-------- C:\Programme\BreakPoint Software
2008-02-09 14:47 . 2008-02-09 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\klickTel
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Programme\DU Meter
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-21 21:02 --------- d-----w C:\Programme\TVgenial
2008-02-20 01:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 11:43 --------- d-----w C:\Programme\Java
2008-02-17 06:28 --------- d-----w C:\Programme\RegCleaner
2008-02-06 08:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 07:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-12 18:59 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Apple Computer
2008-01-08 01:44 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Computer Aces
2008-01-01 04:31 --------- d-----w C:\Programme\ReflexiveArcade
2006-02-19 16:57 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-03-12 00:10 14336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-02-02 14:32 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-26 18:34 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-05 18:03 267064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-03-12 00:10 14336]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 C:\WINDOWS\system32\NeroCheck.exe

R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys [2005-10-02 14:14]
R1 fwdrv;Tiny Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys [2001-10-12 15:25]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]
S3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 15:34]
S3 DTT200U;DTT200U DVB-T USB receiver Driver;C:\WINDOWS\system32\Drivers\DTT200U.sys [2004-09-06 05:40]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;C:\WINDOWS\system32\Drivers\DTT200ULD.sys [2004-12-14 20:42]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe []
S3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2007-07-27 09:38]
S3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 12:42:10
Windows 5.1.2600 Service Pack 2, v.2096 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-24 12:42:37

SmitFraudFix v2.294

Scan done at 12:10:47,06, 24.02.2008
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

VundoFix V6.7.8

Checking Java version...

Sun Java not detected
Scan started at 12:16:27 24.02.2008

Listing files found while scanning....

No infected files were found.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:19, on 24.02.2008
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4259 bytes

was kann ich noch machen damit ich diese Plage loswerde?

plz help

bekomme TR/Dldr.Small.hwc nicht weg !!!

Plagegeister aller Art und deren Bekämpfung: bekomme TR/Dldr.Small.hwc nicht weg !!!

bekomme TR/Dldr.Small.hwc nicht weg !!!

Ähnliche Themen: bekomme TR/Dldr.Small.hwc nicht weg !!!