|
Problem mit Tr/Dldr.Dyfuca!!! Hi, ich habe ein problem mit den trojanern Tr/dldr.dyfuca.cn und .dp... Ich benutze antivir, doch es bringt es nicht fertig einen zu entfernen.... und jeden morgen...wenn ich den pc anstelle....bringt antivir 2-16 warnungen der trojaner....aus den ordnern windows und immer wieder temporäre internet dateien....naja..hab mich dann im internet ein bisschen schlau gemacht und escan und hijackthis gedownloaded... es wäre nett wenn mir jemand helfen könnte... Logfile of HijackThis v1.99.1 Scan saved at 11:19:58, on 18.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\THORST~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\THORST~1\LOKALE~1\Temp\kavss.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WinAce\WinAce.exe C:\Dokumente und Einstellungen\Thorsten B\Lokale Einstellungen\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: hxxp://ny.contentmatch.net (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.co...?1103814069281 O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softwa...006_cracks.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Danke...! |
Hallo, bitte editiere deine Links (aus http mach hxxp) ich schau derweil mal drüber. Grüße Wildone |
so richtig?? Mfg Kobi89 |
@Kobi89 Zitat:
Welche Dateien im Windows-Ordner sind betroffen? Bitte Ausschnitt aus Scanprotokoll posten (s. auch Benutzerhandbuch für AntiVir: http://free-av.de/antivirclassic/avpersonal.pdf ) |
Hallo, lass am besten erstmal die C:\WINDOWS\System32\PSSDNSVC.EXE hier untersuchen. Was hat den Escan so ausgespuckt? Suche mal im EscanLog nach "tagged" und "infected" und poste das ERgebnis hier her. Grüße Wildone |
so... mit temporären internet dateien ist es kein problem die zu löschen... nur....die kommen wieder...hab ich die gelöscht und war im internet sind dann ein paar stunden später wieder verseuchte dateien darin......... und es gibt kein report...da mir durch antivir guard die warnungen der besagten trojaner kommen....dazu gibt es kein protokoll....... und noch ne frage... wenn so eine warnung kommt gibt es mehrere möglichkeiten wie ich den trojaner oder die infizierte datei behandeln kann.....wie```==?? löschen---oder----zugriff verweigern und datei belassen------datei überschreiben und löschen....was soll ich nehmen? ich hab immer datei löschen gemacht.... mfg Kobi89 |
Auslastung: 0% 100% Datei: PSSDNSVC.EXE Status: OK Entdeckte Packprogramme: - |
Hallo, kannst du noch mal das vollständige Ergebnis posten, in etwa so: AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Um noch mal auf Escan zurückzukommen, hast du damit jetzt schon gescant? im abgesicherten Modus? Wenn ja poste mal das Ergebnis wie oben vorgeschlagen, wenn nein mach das ( nach Anleitung ) und poste dann den Inhalt der C:\eScan_neu.txt. Grüße Wildone |
File C:\DOKUME~1\THORST~1\LOKALE~1\TEMPOR~1\Content.IE5\G2T085H8\google[1].htm infected by "Trojan-Downloader.JS.IstBar.z" Virus! Action Taken: No Action Taken. File C:\DOKUME~1\THORST~1\LOKALE~1\TEMPOR~1\Content.IE5\R7V17XD4\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.ab" Virus! Action Taken: No Action Taken. nach escan 32 viren....meint escan ich hab wohl ne ahnung woher das viech herkommt.... ich wollte aufne site, aber die konnte nicht aufgerufen werden weil ein Aktives steuerelement (x glaub ich) gefehlt hat....also dl und virus..... mfg Kobi |
Hallo, so kommen wir nicht weiter, mach mal bitte genau das was ich poste. Zitat:
Du machst jetzt folgendes, du löschst die MWAV.LOG dann liest du dir (und wenn es eine 1/2 Stunde dauert) die Anleitung zu Escan ganz genau durch, dann läßt du Escan laufen, und dann postest du den Inhalt der C:\eScan_neu.txt . Grüße Wildone |
ich hab nur die gepostet die mit "infected" gezeichnet waren...... hier die komplette liste.... Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "DyFuCa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "kapabout Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Powerscan Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "SurfAccuracy Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "SurfAccuracy Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "isearchtech Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Xrenoder Spyware/Adware" found in File System! Action Taken: No Action Taken. File C:\Anwendungen Internet\BSINSTALLDE502.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken. File C:\Anwendungen Internet\freerip.exe tagged as "not-a-virus:AdWare.ComedyPlanet.b". Action Taken: No Action Taken. und jedemenge entrys...aber die kann ich nicht alle posten.... und nach anleitung gemacht ;-) |
Hallo, da mir nicht so richtig klar ist was Escan mit dem "File System" so genau meint (da könnte mich mal jemand der es weiß aufklären), besorge dir die Programme Ad-Aware und Spybot (leicht über google zu finden) gehe wieder in den abgesicherten Modus, fixe mit HijackThis folgendes: O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O15 - Trusted Zone: hxxp://ny.contentmatch.net (HKLM) O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - hxxp://www.xxxtoolbar.com/ist/softw...0006_cracks.cab O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE Fogende Ordner/Dateien löschen falls vorhanden: C:\Programme\SurfAccuracy C:\Programme\Power Scan C:\Anwendungen Internet\BSINSTALLDE502.exe File C:\Anwendungen Internet\freerip.exe dann läßt du die Programme Adaware und Spybot laufen, dann wieder in den normalen Modus, neues Hijackthis Log erstellen und posten. Grüße Wildone |
sorry wenn ich blöd frage was meinst du mit fixen.-....?? so gelöscht.... spybot hatte ich schon... ad-aware gedownloaded... |
Hallo, fixen heißt in Hijackthis einen Haken vor den betreffenden Eintrag zu machen und dann auf "fix checked" zu klicken. Grüße Wildone |
so.... hab alles im abgesicherten modus durchgeführt... 16 viren etc... bei Spybot gelöscht... 57 kritische objekte bei Ad-Aware..... führe jetzt nochmal mit hijackthis aus..... und poste das .... Mfg Kobi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board