Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.netei <-- wer weiss Rat? (https://www.trojaner-board.de/13295-tr-dldr-netei-weiss-rat.html)

Simoene79 04.02.2005 19:58
TR/Dldr.netei <-- wer weiss Rat?
 
Hallo,
habe bei meinem Freund das Trojanische Pferd TR/Dldr.netei gefunden über AntiVir. Nun wollte ich Escan runterladen, das klappt nicht. Kann den PC auch nicht im abgesicherten Modus starten, da bringt der PC eine Fehlermeldung, dass irgendwas fehlt.
PC ist lahm
Wer kann helfen?

Liebe Grüße

chaosman 04.02.2005 20:01
@Simoene79
wir brauchen schon etwas mehr an infos um helfen zu können
Kann den PC auch nicht im abgesicherten Modus starten, da bringt der PC eine Fehlermeldung, dass irgendwas fehlt.

welche fehlermeldung bringt er denn?

lade dir HJT
download
anleitung
und poste ein logfile und der Text vom Fehlermeldung

chaosman

Simoene79 04.02.2005 20:08
Logfile of HijackThis v1.99.0
Scan saved at 20:11:43, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINDOWS\System32\mstaskm.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\windows\180ax.exe
C:\WINDOWS\updatetc.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Dokumente und Einstellungen\David\Anwendungsdaten\esao.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\HijackThis\Hijack~1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com/main/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O2 - BHO: (no name) - {14C5FAD2-57AC-4D42-A9E4-7B864F34A60D} - C:\WINDOWS\System32\mnid.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Microsoft Helper Service] C:\WINDOWS\System32\mstaskm.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winapm32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\updatetc.exe
O4 - HKLM\..\Run: [Games toolbar] rundll32.exe "C:\PROGRA~1\GAMES\tbGame.dll" DllShowTB
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RunOnce] C:\y.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwvt32.exe
O4 - HKLM\..\Run: [loader32] C:\Dokumente und Einstellungen\David\Anwendungsdaten\SysDown\sys02644.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - HKCU\..\Run: [Uatr] C:\Dokumente und Einstellungen\David\Anwendungsdaten\esao.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O13 - WWW. Prefix: http://
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1026_EN_XP.cab
O16 - DPF: {06CE3D0A-DD94-65EE-DC78-075B1D2F0BDB} - http://205.252.249.254/1/gdnDE1077.exe
O16 - DPF: {0F83F772-C135-3AE0-1591-4F88465578FB} - http://63.219.176.203/1/gdnDE595.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/10043/online.chm::/on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/coopto.chm::/wintbl32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv102/x.chm::/load.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {1336E6BF-470A-47FC-04B1-3055262888A2} - http://63.219.176.203/1/gdnDE595.exe
O16 - DPF: {15A18BE9-566C-0989-4EC4-65E372DC872C} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...819d33c3794247
O16 - DPF: {16C6D93F-63F1-2D55-174D-68C72954513E} - http://63.219.178.91/1/gdnDE62.exe
O16 - DPF: {176E9B95-8EAC-6D12-9678-5B3D60EE8CC8} - http://67.19.99.158/1/gdnDE875.exe
O16 - DPF: {1F4CDF42-3799-0472-6C91-17120EC1A225} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {3B3AC885-D041-5F59-A335-5EF15540514B} - http://67.19.99.158/1/gdnDE875.exe
O16 - DPF: {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} (HHCtrl Object) - http://206.161.207.99/cmdexe/hhctrl.ocx
O16 - DPF: {4B1C563A-0DD6-4362-4ACC-7C4E5CF560FF} - http://67.19.99.158/1/gdnDE875.exe
O16 - DPF: {4C8099DE-4B91-782D-38DA-03B7547D84B6} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {61035B30-F018-3EE3-E095-1B223528FB85} - http://63.219.178.91/1/gdnDE938.exe
O16 - DPF: {64815E44-12BA-1D83-F805-59676F7D841C} - http://69.50.188.54/1/gdnDE48.exe
O16 - DPF: {6DF0488C-3318-7687-11C9-60F043C0B7B3} - http://69.50.188.54/1/gdnDE48.exe
O16 - DPF: {6E7A3740-8FFD-6087-20F1-5ADE7DA96985} - http://205.252.249.254/1/gdnDE1077.exe
O16 - DPF: {706D14A4-37A4-4DDE-A212-0EFA2060D575} - http://205.252.249.254/1/gdnDE1077.exe
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {7DA0C0D6-F018-3B53-2047-0F951331E69E} - http://63.219.178.91/1/gdnDE62.exe
O16 - DPF: {9C020689-FA7D-4D8D-BE7E-DC263791CB29} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1033_EN_XP.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTick...cab?refid=1018
O16 - DPF: {ADB880A6-D8FF-11CF-9377-00AA003B7A11} (HHCtrl Object) - http://206.161.207.99/cmdexe/hhctrl.ocx
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/...TelecomInt.cab
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB785E8D-D8C8-4C96-A6E5-0108AA9F45E3}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file)
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\chp.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O18 - Filter: text/html - {C5B16BB7-88A5-496E-814B-B8E42463F36A} - C:\WINDOWS\System32\mnid.dll
O18 - Filter: text/plain - {C5B16BB7-88A5-496E-814B-B8E42463F36A} - C:\WINDOWS\System32\mnid.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norton Personal Firewall Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe

Simoene79 04.02.2005 20:20
Habe schon mal bereinigt auf Grund der Angaben auf der HJ Site.
C:\windows\180ax.exe <-- das soll ich noch löschen geht aber nicht
C:\WINDOWS\updatetc.exe <-- das soll ich noch löschen geht aber nicht



Hier der neue Log:


Logfile of HijackThis v1.99.0
Scan saved at 20:22:03, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINDOWS\System32\mstaskm.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\windows\180ax.exe <-- das soll ich noch löschen geht aber nicht
C:\WINDOWS\updatetc.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Dokumente und Einstellungen\David\Anwendungsdaten\esao.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\HijackThis\Hijack~1\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winapm32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [loader32] C:\Dokumente und Einstellungen\David\Anwendungsdaten\SysDown\sys02644.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwvt32.exe
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\updatetc.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB785E8D-D8C8-4C96-A6E5-0108AA9F45E3}: NameServer = 217.237.150.33 217.237.151.161
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norton Personal Firewall Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe

chaosman 04.02.2005 20:24
@Simoene79

du brauchst unbedingt escan.
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Simoene79 04.02.2005 20:26
Versuche schon die ganze Zeit Escan runterzuladen. Doch geht es nach dem fünften Balken nicht mehr weiter und hängt sich anscheinend auf!
Kann man es sonst noch irgendwo runterladen oder per E-Mail bekommen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131