mein antivir hat mir eben ein trojaner angezeigt: TR/Dldr.KaTum.5
datei: WildAppNonUS[1].cab
infizierte dateien in archiven werden nicht repariert oder gelöscht!
was soll oder kann ich tun gegen dieses problem? gibt es möglichkeiten?
wie gefährlich ist es...?
puhh, so geschafft am frühen morgen...!

@michelw237

lade dir bitte
Hijackthis
http://www.trojaner-board.de/51130-a...ijackthis.html
scanne, und poste das log mit copy and paste hier im board
dann können wir sehen mit was genau wir es hier zu tun haben
chaosman

Hallo michelw237,

Zitat:

Zitat von michelw237

mein antivir hat mir eben ein trojaner angezeigt: TR/Dldr.KaTum.5 datei: WildAppNonUS[1].cab infizierte dateien in archiven werden nicht repariert oder gelöscht! was soll oder kann ich tun gegen dieses problem? gibt es möglichkeiten?

downloade das Clear Prog, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Dabei werden auch alle Dateien gelöscht, die sich in den C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ befinden.

Befolge dann den Rat von Chaosman.

SD

Logfile of HijackThis v1.98.2
Scan saved at 11:25:01, on 23.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\slrundll.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Michel\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://files.cc.cometsystems.com/ass...assist_st.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll
O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\Comet\Bin\csietb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E74183-F9F7-4B9E-A22B-80063C19DF38}: NameServer = 205.188.146.146
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

hmm. .. reicht das.?.. hoffe du wirst da schlau draus...!

[QUOTE=Shadowdance]Hallo michelw237,



downloade das Clear Prog, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

habe alles befolgt, außer den ordner temp... den hat's gar net angezeigt bei mir, schlimm?

Hallo michelw237,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\WINDOWS\system32\slrundll.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll
O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\Comet\Bin\csietb.dll
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

wenn Du diese Seite nicht kennst/brauchst, gleichfalls fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://files.cc.cometsystems.com/as.../assist_st.html

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung

--> Beachte meinen Hinweis in meinem letzten Posting in diesem Thread.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

[edit]

Zitat:

habe alles befolgt, außer den ordner temp... den hat's gar net angezeigt bei mir, schlimm?

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" ( Zitat Cidre) [/edit]

ach gott, das bekomm ich nie hin... gibt's net ein einfacheren weg...?

nein .., das heisst ja ... aus dem Netz gehen ;-)

... aber es ist nicht schwer. Mach einfach, was da steht .. nimm Dir Zeit, lies .. und tu' es.

SD

versuche es mal... hoffe ich mach kein größeren schaden...
daumen drücken und los...

so, glaube ich hab's jetz... 3stunden hab ich dran gehockt...

das hat der escan am ende bestädigt:

Sat Oct 23 13:40:44 2004 => File C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe infected by "not-a-virus:AdvWare.Comet.a" Virus. Action Taken: No Action Taken.
Sat Oct 23 13:44:10 2004 => Total Disinfected Files: 0
File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

hoffe doch, das sind die bösen "dinger"...

was soll ich jetz machen? sind die trojaner nun noch drauf...??

grüße michelw237

@ michelw237,

na also, hat doch geklappt

Ich möchte aber bitte etwas mehr wissen. Öffne bitte die mwav.log und lass uns dieses Ergebnis sehen:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:


Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre); die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe infected by "not-a-virus:AdvWare.Comet.a" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

Auf diese Weise kannst Du die Dateien löschen, die durch den eScan benannt worden sind. Nach dem löschen wieder in den normalen Modus booten und die Systemwiederherstellung aktivieren.

Zitat:

hoffe doch, das sind die bösen "dinger"...

-> nein ;-) Die bösen Dinger sind das nicht. Die bösen "dinger" haben wir vermutlich schon mit dem Clear-Programm gelöscht, als wir Deine Ordner Temporary Internet Files, Cookies und den Verlauf geleert haben. Das ist nur überflüssiges Zeugs, was sich auf Deinem System angesammelt hat. Aber das musst Du schon selbst rausfinden. Was sagt denn Dein Antivirenprogramm dazu? Und was hat die Überprüfung der Dateien bei Kaspersky ergeben?

Erstelle bitte ein weiteres Hijack This Logfile und poste es.

SD

@ für die Damen und Herren, die flappsige Bemerkungen nicht ertragen, es handelt sich bei den beiden festgestellten Dateien

Zitat:

"not-a-virus:AdvWare.Comet.a" Virus.
not-a-virus:Cracker.Game.HotHook.dll.

um eine Adware und eine Funktionsdatei. Beide Dateien sollten gelöscht werden. Das geht in der oben dargestellten Weise.

Man kann allerdings auch Ad-Aware oder Spybot Search&Destroy einsetzen, um Adware vom System zu entfernen.

SD

Sat Oct 23 17:24:55 2004 => ***** Scanning complete. *****

Sat Oct 23 17:24:55 2004 => Total Files Scanned: 2839
Sat Oct 23 17:24:55 2004 => Total Virus(es) Found: 3
Sat Oct 23 17:24:55 2004 => Total Disinfected Files: 0
Sat Oct 23 17:24:55 2004 => Total Files Renamed: 0
Sat Oct 23 17:24:55 2004 => Total Deleted Files: 0
Sat Oct 23 17:24:55 2004 => Total Errors: 3
Sat Oct 23 17:24:55 2004 => Time Elapsed: 00:02:46
Sat Oct 23 17:24:55 2004 => Virus Database Date: 2004/10/18
Sat Oct 23 17:24:55 2004 => Virus Database Count: 106860

Sat Oct 23 17:24:55 2004 => Scan Completed.

habs löschen vergessen...!!

muß schon wieder antreten.... oh man, das hört net auf...

Sat Oct 23 18:13:04 2004 => Total Files Scanned: 2728
Sat Oct 23 18:13:04 2004 => Total Virus(es) Found: 3
Sat Oct 23 18:13:04 2004 => Total Disinfected Files: 0
Sat Oct 23 18:13:04 2004 => Total Files Renamed: 0
Sat Oct 23 18:13:04 2004 => Total Deleted Files: 0
Sat Oct 23 18:13:04 2004 => Total Errors: 3
Sat Oct 23 18:13:04 2004 => Time Elapsed: 00:02:32
Sat Oct 23 18:13:05 2004 => Virus Database Date: 2004/10/18
Sat Oct 23 18:13:05 2004 => Virus Database Count: 106860

Sat Oct 23 18:13:05 2004 => Scan Completed.

bekomme die viren einfach net runter....und jetz sind's schon 3.. uff
habe sie so gelöscht wie du gesagt hast... im mwav-editor... normal beendet...dann neu booten lassen... den escan noch mal durchlaufen lassen und schon wieder das alte problem... was mach ich nur falsch...???

auf jeden fall erstma vielen dank shadowdance das du dich überhaupt um mich kümmerst, langsam werd ich schon zur plage...