Tag beisammen.

ich hab da ein probelm!
und zwar will antivir mir diese zwei troijaner nicht vom rechner werfen bzw isolieren usw. ! explorer[1].cab ( TR/Dldr.small.OR ) und bridge-c10.cab ( TRDldr.Briss.A ) !
könnte hier mir jemmand helfen was ich nun am besten machen könnte ?

VIelen dank im vorraus mfg flo =)

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.

So nu kommt der Log.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\tcupdater.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Opera\opera.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Flo\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skins.be/?r=topconverting
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)
O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing)
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: (no name) - {8D15FB61-E8DE-4BBB-A4A1-0B19B76F5EB8} - C:\WINDOWS\System32\dfdljg.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RVP] "C:\Programme\RVP\bpc.exe"
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [easywww] C:\WINDOWS\iewwwint.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\tcupdater.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp\WAS3BFF.tmp\html\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093290144562
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{47986090-90E4-4E28-A1F2-3EEE7164AA1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A8C88F3-C56A-464C-8E7E-D2502A149A0B}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8112A343-0063-42F6-91BC-E6007F57E067}: NameServer = 192.168.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{0584114B-2A36-4C84-8AA0-8702D118FAD0}: NameServer = 192.168.100.100
O18 - Filter: text/plain - {1DE8605A-3DBB-4427-A03E-3FC3C9ADF125} - C:\WINDOWS\System32\dfdljg.dll

achja .. ich weiss auch wo ich den wurm her hab .. hab ausversehen einen link in dem irc chat programm angeklickt!
und die Trojaner lassen sich nicht löschen obwohl antivir sie sieht weil sie in einem archive sind ... mfg flo

Leider sind diese beiden Trojaner-Downloader noch dein geringeres Problem, denn auf deinem System laufen aktive Trojaner und Keylogger, z.Bsp.:

O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe

Dazu:
http://securityresponse.symantec.com...or.blarul.html

Das Beste wäre daher:


1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Willst du eine Reparatur versuchen (was ich nicht für ratsam halte), versuche dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

Schalte dann Systemwiederherstellung aus (falls du XP hast):
http://www.systemwiederherstellung-d...indows-xp.html

und fixe:

C:\WINDOWS\tcupdater.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skins.be/?r=topconverting
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Flo\LOKALE~1\Temp\sp.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)
O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing)
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: (no name) - {8D15FB61-E8DE-4BBB-A4A1-0B19B76F5EB8} - C:\WINDOWS\System32\dfdljg.dll (file missing)

O4 - HKLM\..\Run: [RVP] "C:\Programme\RVP\bpc.exe" (Spyware, die du mit Grokster installierst)
O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [easywww] C:\WINDOWS\iewwwint.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\tcupdater.exe

alle 016-Einträge

Die 010-Einträge sind besonders gefährlich, da sie bei Entfernung den Internetzugang beeinträchtigen können, versuche es, wenn die manuelle Entfernung sich so auswirkt, damit (also gleich herunterladen):

http://www.cexx.org/lspfix.htm

Poste dann ein neues Log, aber bitte mit der Betriebssystemsinformation.

Ach ja, AUF JEDEN FALL ALLE PASSWORTE ändern nach der Säuberungsaktion. Wie gesagt, sauberer und einzig wirklich sicher wäre eine Neuinstallation.

ok vielen dank ich werde dann wohl mein system neu installen =(
auch wenn es mir sehr schwer fällt ^^

hab jetzt formatiert neu win installt, zone alarm firewall an, win dienste aus + anti vir aufm rechner .... kann mit den programmen was anfangen ? was empfiehlt ihr mir ?

bzw ist das normal das ich in 12 minnuten , 21 eindringverusche hab die erstrangig sind ?

Hast du Windowsupdate gemacht und vorher die interne Firewall eingeschaltet für die Verbindung? Das musst du gleich als erstes tun!
Wenn das Meldungen der Firewall sind, handelt es sich wahrscheinlich um normale Portscans.

Bißchen lektüre bezüglich Sicherheit/Firewall usw.:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

ja das sind portscans .. als ich noch norton hatte hat der immer gemeint
( wenn ich irc connecte ) das es welche sind ...
ja hab gleich service pack2, alarm zone installt und xp firewall angeschaltet bevor ich ins net gegangen bin. ausserdem die windows sevice teile da ausgestellt.
wie ich aber gemerkt hab ist sp2 sehr verbugt bzw gibt einige probs ^^

mfg flo =)