Hi Leute! Ich glaube ich habe mir einen Trojaner gefangen
 

Hi erstmal!!
Ich glaube ich habe mir den Trojaner TR/Dldr.Dyfuca.DA gefangen!
Habe mit clear prog die temponary internetfiles gelöscht wo sich der trojaner befand! Sie hieß laut meinem Virenscanner loader1[2].ocx! Hab mal auf ner antivirenseite geguckt aber nichts gefunden. Lasse gerade Virenscanner durchlaufen! Außerdem Habe ich gerade von meinem Virenscanner folgende Nachricht gekriegt:
Im verzeichnis C:Windows/I386 befndet sich die Datei TR/Drop.VB.CZ.1
und im Ordner c:windows/system32 befindet sich die Datei reg.exe die ebenfalls mit TR/Drop.VB.CZ.1 infiziert ist.
Was soll ich tun??? Soll ich die löschen? Ich denke mal nicht oder???
Hier mein Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:39:51, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\dplaysvr.exe
C:\Programme\cdcopy\cdex_151\CDex.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\mspaint.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\FRANZI\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.immes.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

Ich hoffe ihr könnt mir möglichstschnell helfen wie letztes mal(danke nochmal)! :confused:

@waack
das ist der hier
lade dir escan
und hier ist die anleitung
mach es genauso wie es beschrieben wird
posten danach ein neues HJT logfile

chaosman

ok ich werde das morgen posten (muss jetzt gehen) aber was mach ich mit dieser reg.exe? löschen??

Aktualisiere Deinen Virenscanner, das ist wahrscheinlich ein mittlerweile behobener Fehlalarm.

Gruß :daumenhoc
Yopie

ok hi habe escan laufen lassen hier ein Teil der Log. Sagt mir was ihr noch braucht ich sende es dann

Wed Nov 24 13:20:12 2004 => Total Files Scanned: 63031
Wed Nov 24 13:20:12 2004 => Total Virus(es) Found: 2
Wed Nov 24 13:20:12 2004 => Total Disinfected Files: 0
Wed Nov 24 13:20:12 2004 => Total Files Renamed: 0
Wed Nov 24 13:20:12 2004 => Total Deleted Files: 0
Wed Nov 24 13:20:12 2004 => Total Errors: 2
Wed Nov 24 13:20:12 2004 => Time Elapsed: 01:05:18
Wed Nov 24 13:20:12 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 13:20:12 2004 => Virus Database Count: 110416

@ waack,

--> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: wie heissen die Viren, die auf Deinem Rechner gefunden wurden?

Erstelle ein neues Hijack This Logfile und poste es.

SD

Ok das ist alles was er zu infected gefunden hat aber ich glaube nicht das davon was infected ist? :confused:

Sun Nov 07 10:35:44 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Nov 07 11:30:39 2004 => Total Disinfected Files: 0
Wed Nov 24 12:12:35 2004 => Total Disinfected Files: 0
Wed Nov 24 12:21:34 2004 => Scanning File C:\Dokumente und Einstellungen\FRANZI\Recent\Info.txt.lnk