Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner tr/dldr.smallbuy.1 (https://www.trojaner-board.de/31034-trojaner-tr-dldr-smallbuy-1-a.html)

Kubu 01.08.2006 08:54
Trojaner tr/dldr.smallbuy.1
 
Hallo,

bin neu im Forum und habe mir da auf dem PC wohl was eingefangen.
Kann mir jemand helfen?
Hier der HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:38:27, on 01.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\System32\PspContr.Exe
C:\dfndrfg_7.exe
C:\kybrdfg_7.exe
C:\nwnmfg_7.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\fdjbcbfx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bug32.exe
c:\eurostar\bin32\anolog32.exe
c:\eurostar\bin32\ANCRSR32.EXE
C:\EUROSTAR\BIN32\AUSK32.EXE
C:\Dokumente und Einstellungen\Buchhaltung\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PspContr] PspContr.Exe
O4 - HKLM\..\Run: [PspUsbCf] PspUsbCf.exe
O4 - HKLM\..\Run: [Psp6164a] Psp6164a.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrfg_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdfg_7.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmfg_7.exe
O4 - HKLM\..\Run: [memd094f] RUNDLL32.EXE w0339fe1.dll,n 001d094e0000000a0339fe1
O4 - HKLM\..\Run: [routing] fdjbcbfx.exe
O4 - HKLM\..\RunServices: [routing] fdjbcbfx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpeechMagic-Autostart.lnk = C:\Programme\SPMAGIC\BIN\SmStrtUp.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BE44BF8-C8CA-45CF-A0F0-1798AC4C487F}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Debug Window Services - Unknown owner - C:\WINDOWS\system32\bug32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

Bitte nichts zu der Windows-Version sagen. Weiss selbst, dass da ein paar Updates fehlen. Werde das nach der (hoffentlich erfolgreichen) Reinigung nachholen.

Viele Grüße

Kubu

BataAlexander 01.08.2006 09:32
Hallo,

für Dich gilt folgendes.

Gruß :)

Schrulli

Darthshoot 01.08.2006 09:34
Unter anderem die hier löschen:

C:\dfndrfg_7.exe
C:\kybrdfg_7.exe
C:\nwnmfg_7.exe

EDIT: Ok ich nehms zurück.

BataAlexander 01.08.2006 09:37
Hallo,

@Darthshoot: Und dann? Leider nimmst Du Dir ernstgemeinte Ratschläge via PN nicht zu Herzen und postest weiter Oberflächlichkeiten die dem TO nicht helfen.
Also: Ganz oder gar nicht posten, aber auf jeden Fall nicht "oder". ;)

edit: Mach mal das, was Deine Signatur so süffisant verspricht :rolleyes: /edit

Gruß

Schrulli

Kubu 01.08.2006 12:48
Hallo Schrulli,

gehts nicht auch ohne Neuaufsetzen des Systems?

Gruß

Kubu

BataAlexander 01.08.2006 12:53
Hallo,

leider nein, Dein PC ist softwaretechnisch nicht auf der Höhe der Zeit. Die fehlt jedes Service Pack und der Rechner hat multiple Infektionen.

Gruß :)

Schrulli

Kubu 01.08.2006 22:38
Hallo Schrulli,

na gut, dann eben format c:
Trotzdem danke.

Gruß

Kubu

Tiger6324 09.08.2006 14:39
Man muss nicht alles formatieren. Hatte das gleiche Problem, tausend Anti-Spyware und Virentools probiert, nix hat funktioniert. Das größte Problem besteht darin daß sobald man das laufende Programm bug32.exe mit dem Taskmanager beendet, es sofort neu startet. Man bekommt es nicht aus dem Speicher. Auch im abgesicherten Modus nix zu machen.

Die Lösung: F-Secure
Mittels diesem Anti-Viren und Spywaretool bekommt man den Rotz weg. Ich war bisher großer Fan von Antivir, hatte Norton Internet Security, aber ich muß sagen daß F-Secure bishe wirklich am besten ist. Probiert es aus.

www.f-secure.de

Gruß,

Tige6324

BataAlexander 09.08.2006 15:45
Hallo,

@Tiger6324: Niemand sagt, dass mann alles formatieren muss. Ich glaube allerdings auch nicht das Du das gleiche Problem wie der TO hattest.
Demnach ist Dein Post hier sehr halbherzig und in seiner Aussage recht überflüssig. Kein AV Programm kann alles erkennen und einen falschen Umgang des Users mit dem Internet kompensieren. Da hilft nur brain.exe

Gruß :)

Schrulli

Sunny 09.08.2006 15:49
Zitat:
Zitat von Tiger6324
Die Lösung: F-Secure
Mittels diesem Anti-Viren und Spywaretool bekommt man den Rotz weg.
Das Problem hierbei ist nicht die "geschützte" bug32.exe, sondern die Umleitung seiner DNS auf/über einen ukrainischen Server.
Und eine andere Möglichkeit dies wieder zu ändern, ist und bleibt nur eine Neuinstallation!

Gruß
Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131