Logfile of HijackThis v1.99.1
 

Ich habe mit Antivir zwei Trojaner auf meinem Rechner gefunden.
Mit Hilfe dieses Forums hab ich dieses Hijack This installiert und da ich mit der logfile nichts anfangen kann, poste ich sie hier.

Was genau muss ich jetzt im anschluss tun. Aus der Beschreibung, die es hier gibt, wird mir nicht ersichtlich, was ich nun anklicken muss....und fixen oder wie das heißt.

Danke schonmal für eure Hilfe.

LG

Vetulus

HIer ncoh der Report von Antivir Personal Edition

Dldr.small.ayl.0
 

so lautet der name des trojanisches Pferdes, welche sbei mir gefunden wurde. Hat es gereicht, dass es gelöscht wurde oder muss ich mein system jetzt neu machen? Habe sowas noch nie gemacht und keine ahnung.... :schmoll:


C:\RECYCLER\S-1-5-21-515967899-1454471165-839522115-1004
Dc3.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.ayl.0
WURDE GELÖSCHT!
Dc4.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.ayl.0
WURDE GELÖSCHT!

Hallo,
dein Log ist weitestgehend sauber, den Eintrag solltest du fixen:
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
Mach mal folgendes, im Explorer Rechtsklick auf C:\ Eigenschaften, Bereinigen, bestätigen. Dann sollte eigentlich Antivir nichts mehr finden.


Grüße Wildone

Danke für deine Antwort. Hab das ausgeführt. Aber ich muss mein System nicht neu machen, ja?
Generell wäre das whrscheinlich keine schlechte Idee...läuft schon ziwe Jahre so, aber ich muss mir dann erst einen suchen, der das kann.

LG

Vetulus

Selbes Problem
 

Hi,
ich hab bei mir den selben Trojaner gefunden er versucht ständig Kontakt zu: http://69.50.173.166/connect.cgi?wmid=2405&pg=1 aufzubauen, allerdings hab ich den oben genannten eintrag net gefunden. Was soll ich tun?

das selbe problem, wie bei mir...
http://www.trojaner-board.de/showthread.php?t=27085

Hallo,
@Black Wolf
bei dir sehe ich ganz schwarz, bereite dich schonmal mental auf ein Neuaufsetzen vor.
Beende mal folgende Prozesse im Taskmanager:
C:\DOKUME~1\ADMINI~1\EIGENE~1\YMBOLS~1\dexplore.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\??stem\c?rss.exe

und überprüfe die zugehörigen Dateien und folgende Dateien (falls vorhanden):
blbeta.exe.lnk (suche die Datei)
C:\WINDOWS\SYSTEM32\winjks32.dll

hier und poste das jeweilige Ergebnis.


Grüße Wildone

hmm bei mir heißt die datei gdnFR1503[*].Exe (*-Zahlen)
nur wie krieg ichs weg?

die blbeta.exe.ink, das ist doch die Verknüpfung ,oder?
ich hab davon zwei.....
ich hab erstmal die eine blbeta.exe.lnk und die winjks32.dll dahin geschickt und wart auf antwort....

trotzdem thx schon mal

PS: sry für zwei beiträge nacheinander

Hallo,
eigentlich müßte das Ergebnis sofort erscheinen. Versuche es mal hier. Hast du F-Secure Blacklight auf deinem System, wenn ja kannst du wohl das Überprüfen der blbeta.exe.ink vergessen. Aber überprüfe vor allem mal die ersten beiden genannten Dateien, die sind am interessantesten, da aktiv.


Grüße Wildone

ok ein Bild von dem Scan der winjks.dll is dabei
die anderen beiden dateien sind nicht (mehr?) da,, die Prozesse hab ich beendet. Ich kam vorhin gar net mehr ins netz, da hab ich neu hochgefahren, vielleicht sind sie dabei verschwunden???
Black light hab ich drauf, ich hoffe das is in Ordnung oder sollte ich es löschen?

Hallo,
also die ersten beiden müssen auch noch da sein, die verschwinden ja nicht einfach. Nimm mal folgende Einstellungen vor und suche sie.


Grüße Wildone

sry ich stell mich heut etwas dämlich an...
also die dexplore.ex e musste ich zuerst kopieren, da der dienst meinte sie sei 0 byte groß es sähe so aus als ob der upload geblockt wurde
Die datei csrss kann kann ich net hochladen aus dem gleichen Grund, nichtmal von meinem zweitrechner..

Hallo,
sehr suspekt alles. Scheint auch was eher neueres zu sein. Mache mal einen Onlinescan bei Kaspersky (ev. musst du www.kaspersky.com zu den vertrauenswürdigen Seiten hinzufügen) und poste den Report.


Grüße Wildone