Hilfe! Trojaner: TR/Dldr.Esepor.AB

djblack · 22.11.2004, 07:59

Hi leute
ich hab das Trojanische Pferd TR/Dldr.Esepor.AB
Kann mir irgendwjemand sagen wie ich es nun los werde?
Bitte um hilfe
Mfg
DjBlack

cacatoa · 22.11.2004, 09:47

Hi,
als erstes bitte ein HijackThis Logfile hier rein posten!
cacatoa

djblack · 22.11.2004, 16:27

ein was soll ich machen?

Shadowdance · 22.11.2004, 19:22

@ djblack,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

djblack · 22.11.2004, 21:53

ok jetzt weiß ich bescheid was ich machen soll

kann mir nun einer weiterhelfen?

so hier is die HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 21:51:38, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGUARD.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ngucxlmlhfh.us/wzWFve4NWU...hDUpyHTAlY.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=309562
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-search.net/index.php?v=6&aff=309562
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB49407-965A-B831-2B65-6639D81F6878} - C:\DOKUME~1\Andy\ANWEND~1\STOPEX~1\downloadford.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [firstaboutfordvc] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\titlesizefirstabout\Wma Load.exe
O4 - HKCU\..\Run: [inter vc] C:\DOKUME~1\Andy\ANWEND~1\FreeView\Birdproxyjugs.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57874E6F-59AD-4C37-AF07-C245A9C07F37}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{828DD787-D813-4CE5-B7DF-8AFA041D4E51}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5A7DE6-9BA6-4CF9-92AD-D7781B2547D5}: NameServer = 192.168.69.254
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

chaosman · 22.11.2004, 22:06

@djblack
der hier ist drin
http://www.2-spyware.com/file-xplugin-dll.html
wechsle in den abgesicherten modushier
und fixe(häkchen setzen und Fix Checked klicken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ngucxlmlhfh.us/wzWFve4NW...hhDUpyHTAlY.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=309562
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-search.net/index.php?v=6&aff=309562
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *new-search.net*;*x-google.net*
wenn du diesen eintrag nicht kennst, dann fixen
O2 - BHO: (no name) - {1CB49407-965A-B831-2B65-6639D81F6878} - C:\DOKUME~1\Andy\ANWEND~1\STOPEX~1\downloadford.exe
fixen
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
wenn du diesen einträge nicht kennst, dannfixen
O4 - HKLM\..\Run: [firstaboutfordvc] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\titlesizefirstabout\Wma Load.exe
O4 - HKCU\..\Run: [inter vc] C:\DOKUME~1\Andy\ANWEND~1\FreeView\Birdproxyjugs.exe
fixen
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
lösche manuell
C:\WINDOWS\System32\xplugin.dll
C:\Programme\Messenger Plus! 3\MsgPlus.exe hat spyware
neu starten
poste danach ein nues HJT logfile
chaosman

djblack · 22.11.2004, 22:33

lol wo soll ich das denn fixen? ich bin zimelich unbegabt in solchen dingen wie man wohl merkt

djblack · 22.11.2004, 22:33

ah hab schon verstanden

djblack · 22.11.2004, 22:46

SO
hier nun die neue log

Logfile of HijackThis v1.98.2
Scan saved at 22:45:36, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4N...DUpyHTAlY.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57874E6F-59AD-4C37-AF07-C245A9C07F37}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{828DD787-D813-4CE5-B7DF-8AFA041D4E51}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5A7DE6-9BA6-4CF9-92AD-D7781B2547D5}: NameServer = 192.168.69.254

Is damit alles behoben?

chaosman · 22.11.2004, 22:53

@djblack
lade dir clearprog von www.clearprog.de
programm starten, alle häkchen setzen bei IE + windows, danach löschen
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4...hDUpyHTAlY.html

danach neu starten

chaosman

cacatoa · 22.11.2004, 22:55

Sieht sehr schön aus.
Wenn du das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4...hDUpyHTAlY.html

nicht kennst, dann auch noch fixen. Der Rest ist o.k.
Zur Sicherheit lasse mal einen eScan laufen.
Lade Dir die in dem link angegebene mwav.exe herunter. Lies genau die Anleitung.
Du mußt vorher einen Ordner C:\ bases erstellen. Dann gemäß Anleitung updaten und den eScan durchführen. poste das Ergebnis hier rein.

cacatoa

Hilfe! Trojaner: TR/Dldr.Esepor.AB

Plagegeister aller Art und deren Bekämpfung: Hilfe! Trojaner: TR/Dldr.Esepor.AB