Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Dldr.Agent. RunDLL kein Explorer, logfile... (https://www.trojaner-board.de/22463-dldr-agent-rundll-kein-explorer-logfile.html)

Stratofender 05.10.2005 13:53
Dldr.Agent. RunDLL kein Explorer, logfile...
 
Hallo LEute

hab mir wohl vorgestenr ein heftigen Virus eingefangen. IN kürze waren die Fav. voll mit irgendwelchen Pornoseiten, mein Antivir macht Alarm (Dldr.AgentUJ / Und noch viele mehr).
HAb mir gedacht halb so schlimm: HAb antivir und adaware durchlaufen lassen und diverse Daten gelöscht. JEdoch läuft mein Rechner von Stunde zu Stunde instabiler. Nun kann ich keinen Internet Explorer mehr öffnen, kein ICQ mehr und Outlook macht es auch nicht mehr mit. Weiterhin findet Windows probleme bei Explorer.Exe, ICq.exe, Rundll32 ... etc.
Gibt es eine Möglichkeit meinen Rechner vor einer NEuinstallation zu verhüten ??? WÄre nämlich ein sehr großer Akt, da ich 160 GB "retten" müsste.
Hier die LOgfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:46:54, on 05.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\Dsp24Set.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Heimders\LOKALE~1\Temp\Rar$EX00.347\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\Heimders\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\Heimders\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: D:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - D:\WINDOWS\adsldpbc.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {B4FFC3E2-9931-4B2C-8975-A1FED1902E3D} - D:\WINDOWS\System32\gmnj.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Babylon Client] D:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c8.cab
O16 - DPF: {42B1C70D-9823-41F7-810A-682DA294D868} - ms-its:mhtml:file://c:\nosuxxx.mht!h**p://sxload.com/data/sload.chm::/xload.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/13382be095f6a122f518/netzip/RdxIE601_de.cab
O16 - DPF: {B9F3009B-976B-41C4-A992-229DCCF3367C} (CoAxTrack Class) - h**p://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EF12E3C-1C3A-4986-BF9F-3A11A7C6067E}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O20 - Winlogon Notify: style32 - c:\ms32.tmp (file missing)
O20 - Winlogon Notify: waxw2k - D:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

stupormundi 05.10.2005 14:16
Servus, Stratofender!

Guck´mal hier nach http://www.trojaner-board.de/showthread.php?t=22159
Arbeite das mal durch und poste anschließend ein neues HJT-Logfile!
bis dann, stupormundi

felix1 05.10.2005 14:25
Und dann lasse die Datei
D:\WINDOWS\System32\wdfmgr.exe

hier prüfen:
http://virusscan.jotti.org/de/

stupormundi 05.10.2005 14:31
Servus, felix1 - hab´ ich total übersehen! :heilig:
cu, stupormundi

Stratofender 05.10.2005 17:22
erstmal vielen Dank für die schnellen Antworten :)

Nun siehts so aus. Hab mein Computer "desinfizieren" lassen aber das Programm hat meinen PC nicht neu gestartet.
"D:\WINDOWS\System32\wdfmgr.exe" weiß ich nicht wie ich die überfrüfen lassen soll ---> ich komm ja nicht in den Internet Explorer....

Die LOg datei sieht nun so aus:

ogfile of HijackThis v1.99.1
Scan saved at 18:15:59, on 05.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\Dsp24Set.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Heimders\LOKALE~1\Temp\Rar$EX00.317\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: D:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - D:\WINDOWS\adsldpbc.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {B4FFC3E2-9931-4B2C-8975-A1FED1902E3D} - D:\WINDOWS\System32\gmnj.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Babylon Client] D:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c8.cab
O16 - DPF: {42B1C70D-9823-41F7-810A-682DA294D868} - ms-its:mhtml:file://c:\nosuxxx.mht!h**p://sxload.com/data/sload.chm::/xload.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/13382be095f6a122f518/netzip/RdxIE601_de.cab
O16 - DPF: {B9F3009B-976B-41C4-A992-229DCCF3367C} (CoAxTrack Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EF12E3C-1C3A-4986-BF9F-3A11A7C6067E}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O20 - Winlogon Notify: style32 - c:\ms32.tmp (file missing)
O20 - Winlogon Notify: waxw2k - D:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

Stratofender 05.10.2005 17:28
jetzt hab ichs doch geschafft dier Datei überfrüsen zu lassen (durch einen anderen Computer)

Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Keine Viren gefunden .....

felix1 05.10.2005 18:23
Rätselraten hilft nicht weiter. Deshalb empfehle ich Dir einen escan. Halte Dich genau an die Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

stupormundi 06.10.2005 06:28
Servus, stratofender!

Zusätzlich zu escan (auf jeden Fall mal laufen lassen) folgendes fixen:
Zitat:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
...
O2 - BHO: D:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - D:\WINDOWS\adsldpbc.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {B4FFC3E2-9931-4B2C-8975-A1FED1902E3D} - D:\WINDOWS\System32\gmnj.dll (file missing)
...
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
...
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c8.cab
O16 - DPF: {42B1C70D-9823-41F7-810A-682DA294D868} - ms-its:mhtml:file://c:\nosuxxx.mht!h**p://sxload.com/data/sload.chm::/xload.exe
...
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/13382be095f6a122f518/netzip/RdxIE601_de.cab
O16 - DPF: {B9F3009B-976B-41C4-A992-229DCCF3367C} (CoAxTrack Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
Ich gehe davon aus, dass Dein ISP nicht in der Ukraine sitzt (Charkiv), daher solltest Du auch die hier fixen
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EF12E3C-1C3A-4986-BF9F-3A11A7C6067E}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AB7776E-EF0A-46AD-880D-94C1E3E0F635}: NameServer = 85.255.113.130,85.255.112.5
Ebenfalls fixen
Zitat:
O20 - Winlogon Notify: style32 - c:\ms32.tmp (file missing)
O20 - Winlogon Notify: waxw2k - D:\WINDOWS\SYSTEM32\waxw2k.dll
Zum Stichwort "fixen" siehe Anleitung HJT
Zitat:
Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.
Anschließend, ebenfalls im abgesicherten Modus folgende Dateien löschen:
Zitat:
D:\WINDOWS\adsldpbc.dll
D:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
D:\WINDOWS\SYSTEM32\waxw2k.dll
Dieser Eintrag sagt mir nichts
Zitat:
O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n
daher die dazugehörende Datei bei Jotti prüfen lassen und das Ergebnis posten.
Hol´ Dir Spybot S&D http://security.kolla.de/ und Adaware http://www.lavasoft.de/ , lass´ beide ebenfalls im abgesicherten Modus laufen und entferne, was vorgeschlagen wird.
Dann mal einen Ergebnisbericht und das Log von escan
bis dann, stupormundi

dartus 06.10.2005 08:45
Hallo,

"IMeshbar" und "IMesh"bitte über "Systemsteuerung-->Software deinstallieren"
siehe: http://www.spyany.com/program/article_spw_rm_IMesh.html

dartus

Stratofender 06.10.2005 10:00
So eine Nacht lang EScan laufen lassen...
Die anderen Tipps werd ich jetzt in Angriff nehmen.
Find.bat hat leider nicht funktioniert :(



Wed Oct 05 21:13:27 2005 => File D:\WINDOWS\adsldpbc.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:13:54 2005 => System found infected with vx2 respondmiter Spyware/Adware ({00000000-6cb0-410c-8c3d-8fa8d2011d0a})! Action taken: No Action Taken.

2005 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with websearch toolbar Spyware/Adware ({15ad6789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with imesh Spyware/Adware ({5345a7a1-805a-4923-b505-86b2feba3fe0})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with vx2 respondmiter Spyware/Adware ({00000000-6cb0-410c-8c3d-8fa8d2011d0a})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with imesh Spyware/Adware ({5345a7a1-805a-4923-b505-86b2feba3fe0})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with websearch toolbar Spyware/Adware ({15ad6789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Wed Oct 05 21:13:54 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.

Wed Oct 05 21:13:57 2005 => Offending file found: D:\WINDOWS\DOWNLO~1\dropper.exe
Wed Oct 05 21:13:57 2005 => System found infected with globosearch Spyware/Adware (dropper.exe)! Action taken: No Action Taken.

2005 => Offending file found: D:\WINDOWS\System32\hsenj.ocx
Wed Oct 05 21:13:57 2005 => System found infected with imesh Spyware/Adware (hsenj.ocx)! Action taken: No Action Taken.

Wed Oct 05 21:13:57 2005 => Offending file found: D:\DOKUME~1\Heimders\LOKALE~1\Temp\insthelp.dll
Wed Oct 05 21:13:57 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action
Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\8pa7s52j\adswrapper[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\8pa7s52j\common[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\ctmzg92j\common[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\khyn8tyn\blank[1].htm
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\ts0n5dsp\adsend[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\temporary internet files\content.ie5\ts0n5dsp\index[1].html
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\8pa7s52j\adswrapper[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\8pa7s52j\common[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\ctmzg92j\common[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\khyn8tyn\blank[1].htm
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\ts0n5dsp\adsend[1].js
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Wed Oct 05 21:14:05 2005 => Offending file found: D:\Dokumente und Einstellungen\Heimders\Lokale Einstellungen\Temporary Internet Files\content.ie5\ts0n5dsp\index[1].html
Wed Oct 05 21:14:05 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Wed Oct 05 21:16:38 2005 => File C:\MS32.TMP.VIR infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:17:12 2005 => File C:\RECYCLER\S-1-5-21-1390067357-1383384898-854245398-1003\Dd1.zip infected by "Trojan-Downloader.Win32.INService.i" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:22:06 2005 => File D:\Dokumente und Einstellungen\Heimders\Eigene Dateien\Eigene Musik\******\hijackthis.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

21:22:20 2005 => File D:\Dokumente und Einstellungen\Heimders\Eigene Dateien\log.txt infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Take

File D:\Programme\AVPersonal\INFECTED\MS32.TMP.001 infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:38:01 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\MS32.TMP.002
Wed Oct 05 21:38:02 2005 => File D:\Programme\AVPersonal\INFECTED\MS32.TMP.002 infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:38:02 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\MS32.TMP.VIR
Wed Oct 05 21:38:02 2005 => File D:\Programme\AVPersonal\INFECTED\MS32.TMP.VIR infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:38:02 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\sysvcs.VIR
Wed Oct 05 21:38:02 2005 => File D:\Programme\AVPersonal\INFECTED\sysvcs.VIR infected by "Trojan.Win32.Crypt.l" Virus! Action Taken: No Action Taken.

Wed Oct 05 21:38:02 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\xload.VIR
Wed Oct 05 21:38:02 2005 => File D:\Programme\AVPersonal\INFECTED\xload.VIR infected by "Trojan-Downloader.Win32.VB.kq" Virus! Action Taken: No Action Taken.

Wed Oct 05 23:26:35 2005 => File D:\WINDOWS\Downloaded Program Files\dropper.exe infected by "Trojan-Downloader.Win32.WarSpy.h" Virus! Action Taken: No Action Taken.

Wed Oct 05 23:26:35 2005 => File D:\WINDOWS\Downloaded Program Files\on-line.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken.

Stratofender 06.10.2005 16:14
Naja hat wohl kein SInn mehr. installier Windows neu. Trozdem danke leute.
MfG


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131