Mist, jetzt hat es mich auch erwischt.
 

Hallo,

tja, irgendwann ist immer das erste mal. Gestern Antivir laufen lassen und zack hatte ich vier Funde. Mit Adaware habe ich einies im abgesicherten Modus löschen können, aber einer ist hartnäckig. Hier mal das log von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 14:56:57, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080;https=localhost:8080
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [WinEjectAutoStart1] C:\PROGRA~1\WinEject\wineject.exe -instance:1
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\CACHEMAN\Cacheman.exe
O4 - Startup: DLL-Scan.lnk = C:\Programme\DLL-Scan\DllScan.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103466462703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Und das zeigt AntiVir immer und ich kann das nicht mehr löschen.

C:\RECYCLED
1.exe
ArchiveType: GZ
--> 1
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO

Ich hoffe einer von euch Gurus kann mir sagen wie es um meine System steht.

mfg

Hallo marcellus,

ein Logfile aus dem normalen Modus ist besser.

Unbedingt auf SP2 updaten.
Diese Einträge mit Hijackthis fixen.
Leere Deinen Papierkorb

Folgendes kann auch nicht schaden:
Downloade Dir escan und genau befolge diese Anleitung (Scan IM ABGESIICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Vielen Dank für die Antwort Dartus.

Ich habe die Sachen mit Hijackthis gefixt. Das Problem mit dem Trojanische Pferd TR/Small.Dld.FO kann ich leider nicht lösen. Ich habe den Papierkorb geleert aber Antivir findet immer noch díese Datei 1.exe. Wie kann das Zeug wegkriegen.

Ich habe wie empfohlen mit escan nach Viren suchen lassen. Hier die Zusammenfasssung:

Sat Mar 26 16:58:04 2005 => Total Files Scanned: 93490
Sat Mar 26 16:58:04 2005 => Total Virus(es) Found: 125
Sat Mar 26 16:58:04 2005 => Total Disinfected Files: 0
Sat Mar 26 16:58:04 2005 => Total Files Renamed: 0
Sat Mar 26 16:58:04 2005 => Total Deleted Files: 0
Sat Mar 26 16:58:04 2005 => Total Errors: 78
Sat Mar 26 16:58:04 2005 => Time Elapsed: 01:37:19
Sat Mar 26 16:58:04 2005 => Virus Database Date: 2005/03/24
Sat Mar 26 16:58:04 2005 => Virus Database Count: 123152

Das meisste davon ist Adware von irgendwelchen Programmen die ich mehr oder weniger benutze. Ich werde die Sachen die ich nicht mehr benötige manuell löschen. Nur die altbekannte Sache ist mir aufgefallen:

Sat Mar 26 15:49:29 2005 => File C:\Recycled\1.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.


Ich werde wohl SP2 drauf machen müssen. Muss man Windows danach wieder aktivieren? Wird SP2 immer aktualisiert oder wird es nicht mehr verändert wenn es zum download bereitgestellt worden ist?

mfg

Hallo marcellus,
Sorry, aber ich würde alles löschen!
Hast Du Deinen Papierkorb geleert?
Nein
Wenn Du die Windows-Update-Funktion benutzt, sind alle aktuellen Patches natürlich dabei.
Wenn Du Dir SP 2 per CD bestellst oder bei Microsoftdownloadest,
fehlen die aktuellen Updates.
Alternativ besteht die Möglichkeit SP 2 hier zu bekommen und auch alle SP 2-Updates
Benutze zum Surfen einen sicheren Browser.
Desweiteren sichere Dein System nach den 12 Punktenab.

dartus

@marcellus
wenn du schon updatest, kannst du gleich die aktuellen version von HJT downloaden http://www.hijackthis.de/de

mal in den abgesicherten modus versucht, bei deaktivierte systemwiederherstellung?
C:\Recycled\1.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.

wenn nichts mehr geht, versuche es mal mit killbox
chaosman

@ dartus

yep du hast recht. Ich sollte besser alles löschen. Inzwischen habe ich SP2 installiert und zusätzlich alle Updates gezogen. Aber irgendwie erscheint der AVGuard nicht mehr in meiner Taskleiste. Ist das normal.

Also das Papierkorb ist leer. Aber immernoch sagt antivir dass da dieser trojaner sitzt. Die Datei ist irgendwie nicht sichtbar.

mfg

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\Recycled und lösche (markieren -> F8 -> JA) die beanstandete Datei.

@ cidre

Vielen Dank. Hat geklappt das sch...teil zu löschen. Allerdings sind da noch zwei Dateien drin (desktop.ini und info2). Aber ich denke das ist normal oder?

Ja, siehe auch http://support.microsoft.com/default...d=kb;de;136517.

Bitte, gern geschehen.

Hallo,

da bin ich wieder. Es geht nochmal um die Datei die sich in c:\recycled befindet. Ich dachte ich hätte die gelöscht aber sie taucht immer wieder auf. Die Datei heißt Dc. Mal zeigt der Total Commander sie als exe datei oder als url an. Wenn ich versuche sie zu löschen taucht die datei sofort als dc1 wieder auf :koch: und dann immer weiter. Ich habe deswegen nochmal Antivir und escan laufen lassen aber sie schlagen nicht mehr alarm. Ist das wieder dieser Trojaner? Für antworten wäre ich dankbar.

mfg

@marcellus
lese dich hiermal durch
http://uk.trendmicro-europe.com/cons...=TROJ_SMALL.FO

chaosman