hallo allerseits,
ich hab mir neulich (vor ca. 3 wochen) nen fetzen trojaner eingefangen.
ich hab keine ahnung wo der herkommt, weil ich erst seit nem monat internet hatte und nur seriöse e-mails von freunden empfangen hab. der virus heißt "TR/Small.Drop.JU.2" und wirkt sich durch wilkürliche festplattenspeicherschwankungen, arbeitsspeicherauslastung und nicht zu öffnende Ordner aus. meine virenprogramme (Antivir, Spybot, Ad-Aware) helfen auch nicht hundertprozentig. beim ersten durchlauf findet egal welches der drei programme ca. 15 viren oben genannten typs ,es waren auch schon mal 600. beim zweiten durchlauf unmittelbar danach findet er 0.wenn man jetzt aber einen tag wartet findet das programm wieder mindestens 15, ohne dass ich zwischendurch im internet gewesen wäre.

also schreibt bitte was ihr wisst, ich hab nämlich keine einzige information im internet gefunden.

Danke,

derliebegutevater

Hallo,

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Vorab Info zu Small:
http://www.f-secure.de/v-desk/trdlsmal.shtml

sorry, aber dank den gefälschten speicherplatzwerten kann ich nichts mehr installieren (die werte bewegen sich nämlich im 1 bis 20 mb bereich).

hat doch geklappt:

Logfile of HijackThis v1.98.2
Scan saved at 13:49:51, on 25.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\OLECO NETLCR PRO\OL_PRO.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\RMVGSC~1.DLL (file missing)
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp


Wechsle in den abgesicherten Modus und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\RMVGSC~1.DLL (file missing)
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE

Lösche diese Datei:
C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE

Danach
- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

ich schicke dir das log file von e scan jetz mal ohne die ganzen informationen über was er gescannt hat. is nämlich alles fehlerfrei bis auf:

Sat Sep 25 15:45:50 2004 => Scanning HKCR\dllfile\shell\open\command
Sat Sep 25 15:45:50 2004 => ERROR!!! Invalid Entry = "C:\Programme\Microsoft Office\Office\WINWORD.EXE" "%1". Removing it.


und hier noch hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 18:31:24, on 25.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@derliebegutevater

log sieht gut aus,

ist dies dein provider?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

wenn nicht, dann bitte fixen


chaosman

keine ahnung wie mein provider heißt.

Wie gesagt, das Log-File ist sauber.
Was macht die Auslastung, ist alles ok?

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


Diese Einträge sollten nicht gefixt werden, soweit nichts auffälliges dahinter steht.

aaaaalso,

nach wie vor, der festplatte gehts sch*****.
Außerdem, im windowsordner sind ca. tausend dateien die alle so ähnlich heißen wie die datei die ich löschen musste (79jndg4h, oder so) naja. und des system läuft nach wie vor langsam.

anbei antivir report von heute mittag 12:00:

C:\WINDOWS\SYSTEM
etv76599ouig28.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
boogmcedjr7uy4c.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
hdnuuo2jykj2r9.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
pmlsdv53f8z8u.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
i53duo2uh0i1vs.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ygkkips5uxo1m.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
t1xmlylti26ft0.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
sh551bysiwzjfe0.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
mcg9x6he14p.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
by5ssbis0hf60sw.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ctjz9z4s30u.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
54v19z85n7nx.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
r8tt06ob4ji4ozd.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
z8is2lr27xu2.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
8p9fwhldxkk.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
9b5mzixlshycs.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
mphf0tjxgfpstj.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
tl4d6o5f9yll.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
5zesgg21ddx.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
0r19sghk802.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
i1goz85bpwkp3.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
8mv7g8oud6lz.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
dwpp4bn93b443.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
fkzn9tzh81gbhb.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
jtkkt3bsidh3i.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ltjnmxp6m1dxg.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
d105wig346w9.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
uur4smzmuk532gw.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
udeddz9sioybs16.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
C:\WINDOWS\All Users\Anwendungsdaten\Microsoft\Office Search Services\IndexingService\Projects\System\Build\Indexer\CiFiles
CiFLfffd.001
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!