|
Plagegeister aller Art und deren Bekämpfung: Hilfe "TR/Dldr.Small.MT"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.11.2004, 15:43 | #1 |
| Hilfe "TR/Dldr.Small.MT" Hallo, ich brache hilfe. Wenn ich mein System Starte bekomme ich die Meldung von "AntiVir XP", das ich dateien habe die mit dem "TR/Dldr.Small.MT" verseucht sind. diese kann ich dann löschen. in meinem Internet Explorer habe ich dann eine andere Startseite als die übliche Leere Seite. habe schon "Spybot - Search & Destroy" und "Ad-Aware SE Personal" laufen lassen. auch im sicheren Modus. Jedesmal wenn ich neu Starte das selbe. Habe WIN XP. Was kann ich tun ?? |
20.11.2004, 16:15 | #2 |
Hilfe "TR/Dldr.Small.MT"__________________ |
21.11.2004, 11:54 | #3 |
| Hilfe "TR/Dldr.Small.MT" Hallo,
__________________ich hoffe das ist das richtige: Logfile of HijackThis v1.98.2 Scan saved at 11:58:38, on 21.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\progra~1\scansoft\paperp~1\pptd40nt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\winmm64.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\WinZip\WZQKPICK.EXE C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe F:\Installation\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2 R3 - URLSearchHook: (no name) - {1E8D36AE-E63C-67BF-40B0-48E24715F9BA} - C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe" O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON O4 - HKLM\..\Run: [zzzHPSETUP] G:\HP\SCANJET5550C\Setup.exe O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe O4 - HKLM\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe O4 - HKLM\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe O4 - HKLM\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe O4 - HKLM\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKLM\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKLM\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKLM\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKLM\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKLM\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKLM\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKLM\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe O4 - HKCU\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe O4 - HKCU\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe O4 - HKCU\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe O4 - HKCU\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe O4 - HKCU\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKCU\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKCU\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKCU\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKCU\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKCU\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKCU\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKCU\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100955059945 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab |
21.11.2004, 12:01 | #4 |
| Hilfe "TR/Dldr.Small.MT" Hallo, noch ein paar Informationen: In dem Verzeichnis: C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Temp finde ich immer wieder neue *.exe Files die ich nicht löschen kann. z.B. "x7r8egukmrc.exe" Des Weiteren habe ich neue Einträge in meinen Favoriten. Wenn ich sie lösche, kommen beim nächsten start des Explorers neu Gruss Megamax |
21.11.2004, 12:14 | #5 | |
Administrator, a.D. | Hilfe "TR/Dldr.Small.MT"Zitat:
Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): Alle R0, R1 und R3 Einträge O4 - HKLM\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe O4 - HKLM\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe O4 - HKLM\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe O4 - HKLM\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe O4 - HKLM\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKLM\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKLM\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKLM\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKLM\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKLM\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKLM\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKLM\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe O4 - HKCU\..\Run: [FA0DD2DE] C:\DOKUME~1\max\LOKALE~1\Temp\7uzbgxka2wr.exe O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe O4 - HKCU\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe O4 - HKCU\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe O4 - HKCU\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe O4 - HKCU\..\Run: [AEA8D08E] C:\DOKUME~1\max\LOKALE~1\Temp\orhh29xt6xh.exe O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKCU\..\Run: [8A2CA4F3] C:\DOKUME~1\max\LOKALE~1\Temp\ob7f931.exe O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKCU\..\Run: [FA06D4C3] C:\DOKUME~1\max\LOKALE~1\Temp\aaug.exe O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKCU\..\Run: [86642343] C:\DOKUME~1\max\LOKALE~1\Temp\n88n.exe O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKCU\..\Run: [D93CDBD3] C:\DOKUME~1\max\LOKALE~1\Temp\b5dlryt2av.exe O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKCU\..\Run: [848E776B] C:\DOKUME~1\max\LOKALE~1\Temp\l8gfpro1.exe O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKCU\..\Run: [A3C6BA46] C:\DOKUME~1\max\LOKALE~1\Temp\60sh.exe O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKCU\..\Run: [AAA58CC3] C:\DOKUME~1\max\LOKALE~1\Temp\ewhf.exe O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe Lösche diese Dateien: Leere den kompletten Ordner C:\DOKUME~1\max\LOKALE~1\Temp C:\WINDOWS\system32\winmm64.exe C:\WINDOWS\orhh.exe C:\WINDOWS\PEhh.exe C:\WINDOWS\hhSPsySPSP.exe C:\WINDOWS\nts-64orPE.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HijackThis und die Virus Log Information von eScan posten |
21.11.2004, 21:35 | #6 |
| Hilfe "TR/Dldr.Small.MT" Hallo noch einmal, habe alles durchgeführt. Jetzt der neue Log: Logfile of HijackThis v1.98.2 Scan saved at 21:39:49, on 21.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\progra~1\scansoft\paperp~1\pptd40nt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\WinZip\WZQKPICK.EXE F:\Installation\hijackthis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe" O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe O4 - HKLM\..\Run: [A6A73BFB] C:\DOKUME~1\max\LOKALE~1\Temp\ppvk7ua.exe O4 - HKLM\..\Run: [BEC5956B] C:\DOKUME~1\max\LOKALE~1\Temp\wppz1aev0hs.exe O4 - HKLM\..\Run: [D44525F3] C:\DOKUME~1\max\LOKALE~1\Temp\93cjbv.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKLM\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKLM\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKLM\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKLM\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKLM\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKLM\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKLM\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKLM\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [orhh] C:\WINDOWS\orhh.exe O4 - HKCU\..\Run: [PEhh] C:\WINDOWS\PEhh.exe O4 - HKCU\..\Run: [hhSPsySPSP] C:\WINDOWS\hhSPsySPSP.exe O4 - HKCU\..\Run: [nts-64orPE] C:\WINDOWS\nts-64orPE.exe O4 - HKCU\..\Run: [9465FCEE] C:\DOKUME~1\max\LOKALE~1\Temp\o7xwvv02e2.exe O4 - HKCU\..\Run: [AF214FE3] C:\DOKUME~1\max\LOKALE~1\Temp\1pepckt.exe O4 - HKCU\..\Run: [F695D143] C:\DOKUME~1\max\LOKALE~1\Temp\huha1k.exe O4 - HKCU\..\Run: [9B268EC3] C:\DOKUME~1\max\LOKALE~1\Temp\u2uo.exe O4 - HKCU\..\Run: [0CF79256] C:\DOKUME~1\max\LOKALE~1\Temp\e1qic.exe O4 - HKCU\..\Run: [00DDE1EE] C:\DOKUME~1\max\LOKALE~1\Temp\o37.exe O4 - HKCU\..\Run: [AEFF58D6] C:\DOKUME~1\max\LOKALE~1\Temp\lc7l0.exe O4 - HKCU\..\Run: [56729D6E] C:\DOKUME~1\max\LOKALE~1\Temp\lly.exe O4 - HKCU\..\Run: [BF6EDC46] C:\DOKUME~1\max\LOKALE~1\Temp\wu53vu.exe O4 - HKCU\..\Run: [8B2195C3] C:\DOKUME~1\max\LOKALE~1\Temp\m75p.exe O4 - HKCU\..\Run: [E0007756] C:\DOKUME~1\max\LOKALE~1\Temp\czcq2nsp.exe O4 - HKCU\..\Run: [D90F1F63] C:\DOKUME~1\max\LOKALE~1\Temp\x7r8egukmrc.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101068896757 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab |
21.11.2004, 21:55 | #7 | ||
Administrator, a.D. | Hilfe "TR/Dldr.Small.MT"Zitat:
Zitat:
Woran lag es? |
22.11.2004, 21:19 | #8 |
| Hilfe "TR/Dldr.Small.MT" Ich habe es noch mal überprüft: Logfile of HijackThis v1.98.2 Scan saved at 21:20:44, on 22.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\Mpapi3s.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\progra~1\scansoft\paperp~1\pptd40nt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\FRITZ!\IWatch.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\iexplore.exe F:\Installation\hijackthis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe" O4 - HKLM\..\Run: [jv16 PT TempFileTool] "C:\Programme\jv16 PowerTools\Plug-Ins\TempTool.exe" -Startup O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101068896757 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab Und den Virus log: File C:\Programme\Gemeinsame Dateien\Siemens AG Shared\DESServer.exe tagged as not-a-virus:AdWare.WindowEnhancer. No Action Taken. File F:\Installation\Nokia\VisualBasic\Msvbvm50.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\Nokia\Nokia Startuplogoeditor\nsle_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\Nokia\Nokia Smart Messaging\nsma_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\Deutsche Post\Setup Postpaket 2.11.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\agfreesetup\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\Handy\S55\Siemens S55\Software\Cool Edit Pro v1.1\ra-cep11a.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\Handy\S55\Siemens S55\Software\Mobile Music Polyphonic v1.3\patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File F:\Installation\Handy\S55\Siemens S55\Software\Setup Data Exchange Software\DESServer.exe tagged as not-a-virus:AdWare.WindowEnhancer. No Action Taken. File F:\Installation\divx\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Installation\divx\DivXPro5GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mozilla habe ich noch nicht installiert. Download läuft gerade. |
22.11.2004, 21:27 | #9 |
Administrator, a.D. | Hilfe "TR/Dldr.Small.MT" Sieht doch gleich ganz anders aus, gell. Poste nochmals die Virus Log Information, aber diesmal so: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
22.11.2004, 22:31 | #10 |
| Hilfe "TR/Dldr.Small.MT" Hey Cidre, erst einmal Danke für deine Mühe und Geduld. :aplaus: Ich habe nur zwei Einträge gefunden: C:\Programme\AVPersonal\INFECTED\*.* Mon Nov 22 00:01:22 2004 => Total Disinfected Files: 0 Sieht doch ganz gut aus oder Sagt mal ist eine Firewall zu empfehlen und wenn ja welche ? gruss Megamax |
22.11.2004, 22:42 | #11 |
| Hilfe "TR/Dldr.Small.MT" @Megamax zur firewalls es gibt da viele auf dem markt, manche user hier raten es sogar ab. es ist deine entscheidung ob du einen benützt oder nicht. gebe ich dir einen roten tip, fallen die gelben über mich her rate ich dir zu gelb, dann kommen die roten. deswegen bleibe ich neutral chaosman :aplaus:
__________________ Bonus vir semper tiro |
22.11.2004, 23:15 | #12 |
Administrator, a.D. | Hilfe "TR/Dldr.Small.MT" @ Megamax Sieht gut aus. btw: Ich verwende keine Desktop Firewall, setze nur bedingt AV Scanner ein und surfe trotzdem sicher durchs Netz. Mein System ist auch nicht kompromittiert. Dennoch ist man nie vor einer Kompromittierung gefeit, denn 100% Schutz gibt es nicht und auch der User macht eventuell mal einen Fehler. Hierbei ist es wichtig, dass das System dementsprechend abgesichert wurde und man sich an einige Spielregeln hält. Lese dir mal folgende Links durch und bilde dir dann deine eigene Meinung: http://www.mathematik.uni-marburg.de...ompromise.html http://www.ntsvcfg.de/linkblock.html |
23.11.2004, 00:42 | #13 |
| Hilfe "TR/Dldr.Small.MT" habe ebenfalls dies problem könnte mir jemand dabei helfen?! |
23.11.2004, 00:44 | #14 |
| Hilfe "TR/Dldr.Small.MT" @unimatrix poste ein HijackThis log in einem neuen Thema http://www.trojaner-board.de/51130-a...ijackthis.html |
Themen zu Hilfe "TR/Dldr.Small.MT" |
ad-aware, andere, antivir, dateien, destroy, explorer, hilfe, interne, internet, internet explorer, laufen, leere, meinem, meldung, neu, personal, search, seite, sichere, sicheren, spybot, starte, startseite, system, verseucht, win |