Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz (https://www.trojaner-board.de/2245-kennt-jemand-tr-small-dld-fo-bzw-greatsearch-biz.html)

p_brueckner 04.04.2004 14:53

Hallo, bin zwar ganz neu hier habe aber gerade ein riesiges Problem. Antivir hat gerade den Trojaner TR/Small.Dld.FO in der Datei xwxload.exe gefunden und gelöscht, dann bin ich wieder ins Internet und schwupps war er wieder da. Ich vermute, dass es einen Zusammenhang gibt zur Seite )!!!ACHTUNG; AUF KEINEN FALL DRAUFKLICKEN!!!) ****http://greatsearch.biz/****, die sich bei mir als Startseite eingeschrieben hat und die ich ums verrecken nicht gelöscht bekomme.
Kennt jemand den Trojaner bzw die Seite oder kann mir jemand Tips geben, wie ich sie wieder wegkriege. Bitte bei der Antwort nicht vergessen, ihr habt es mit einem Laien zu tun ;)

*Christian* 04.04.2004 14:57

Mach erstmal einen Scan mit Ad-aware und Spybot.
Beide Programme bitte vor dem Scan updaten.

http://www.chip.de/downloads/c_downloads_8833064.html
http://www.chip.de/downloads/c_downloads_8833199.html
Beide Programme sind kostenlos und auf Deutsch erhältlich. Bei Ad-aware musst du zusätzlich noch eine deutsche Sprachdatei installieren.

Falls du das Problem danach immernoch hast, dann downloade dir HijackThis und poste hierein dein Log.
Download: http://www.wintotaldb.de/yad/softw.php?id=2022

Yopie 04.04.2004 15:11

Hi p_brueckner ,

willkommen an Board. [img]smile.gif[/img]

Bitte geh nach dieser Anleitung vor.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

p_brueckner 04.04.2004 16:55

OK, inzwischen habe ich mich an fast alle Vorschläge gehalten. Mit HijackThis habe ich auch verschiedene Dateien gefunden, die greatsearch.biz enthalten und versucht sie zu löschen, war aber nicht erfolgreich.
Deswegen hier der logfile in der Hoffnung auf weitere Hilfe, was ich alles löschen muß:
Logfile of HijackThis v1.97.7
Scan saved at 17:49:30, on 04.04.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\YAW\YAW.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\DKDIAL.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\ULTIMATEZIP\UZQKST.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OLECO\_OLECO.EXE
C:\PROGRAMME\ULTIMATEZIP\UZIP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://any-find.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [YAW] "C:\PROGRAMME\YAW\YAW.EXE"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O7 "EPUSB1:" /M "Stylus C44"
O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

Yopie 04.04.2004 19:08

MSIE: Internet Explorer v5.00 (5.00.2614.3500)
http://www.windowsupdate.com besuchen und aktuellen IE installieren!

Weißt Du, was C:\WINDOWS\DKDIAL.EXE ist? Evtl. mit rechte Maustaste/Eigenschaften und unter http://www.kaspersky.com/scanforvirus.html prüfen; mir und Google) sagt der Prozess nichts. Wenn böse, dann Prozess beenden!

Folgenden Einträge in HJT anhaken und dann "Fix checked":
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://any-find.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe (NUR, WENN BÖSE!)

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

p_brueckner 06.04.2004 20:49

Geschafft! Im zweiten Anlauf ist es mir mit HijackThis doch gelungen, den Hijacker loszuwerden. Was es mit der Datei DKDIAL.EXE auf sich hat, weiß ich nicht.
Ein Check bei Kaspersky hat zwar nichts ergeben, habe die Datei aber zur Sicherheit doch gleich gelöscht, da in den Eigenschaften erkennbar war, dass sie erst seit wenigen Tagen auf meinem Computer war und ich in dieser Zeit nichts dergleichen bewußt installiert habe. Vielen Dank vor allem Yopie für die tatkräftige Hilfe.

Yopie 07.04.2004 18:05

Danke fürs Feedback! [img]smile.gif[/img]

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

jbnwijo 08.04.2004 21:30

Servus an die glückliche Gemeinde,

also ich sitze seit ca 2 Tagen an ähnlichem Problem, und zwar, daß meine Eltern an meinem alten Win98 Rechner mit ISDN-Zugang gearbeitet haben und eines Tages (so um den 5.4.) ging plötzlich die Einwahl-DFÜ-Verbindung nicht mehr. bei mehreren Versuchen tauchte sie nur kurz auf und verschwand dann sofort wieder. Selbiges geschieht mit "System" unter "Einstellungen" und fast allen anderen Programmen in "Einstellungen". Gut, erste Reaktion AntiVir updaten und scannen, gab auch ein paar resultate, die runtergeworfen und nochmal versucht, diesmal hab ich auch gleich den IE aufgerufen, da stand dieses bösartige "greatsearch.biz" und lies sich wie oben beschrieben nicht rausschmeißen. Dann bin ich mit dem neuesten Ad-Aware drüber gegangen, auch einige Resultate --> wieder raußgeschmissen, Keine Besserung. Dann versuchte ich eine "Drüberinstallation" von Windows auch ohne den gewünschten Erfolg. Heute habe ich diese glorreiche (keine Ironie!) Seite enddeckt und sofort alle angesprochenen Maßnahmen ergriffen bis zum Scan mit "hijack this" daraufhin habe ich sämtliche Einträge mit dem ominösen "greatsearch.biz" markiert und "fix checked" ... jedoch auch dies nach ca 10maligem Probieren ohne Erfolg (Dateilöschung), also wenn jemand da noch irgendeinen Ausweg wüsste ich wäre euch sehr verbunden, bis denn, Servus

Yopie 08.04.2004 21:42

Hi jbnwijo,

willkommen an Board. [img]smile.gif[/img]

Poste mal das HijackThis-Log, und dann sehen wir weiter. ;)

Vielleicht kannst Du uns auch sagen, was genau die diversen Programme schon entfernt haben?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Grinsekatze 08.04.2004 21:44

Hi jbnwijo! [img]smile.gif[/img]

Ich glaube, es ist besser, wenn Du mit Deinem Posting und Deinem Problem einen eigenen Thread eröffnest - ist hier so üblich ... und macht die *Gemeinde* noch glücklicher - weil übersichtlicher! ;)

Gruß von der Grinsekatze

Grinsekatze 08.04.2004 21:46

Oups! Glück gehabt - doch gefunden worden! *ggg*

Yopie 08.04.2004 22:08

</font><blockquote>Zitat:</font><hr />Original erstellt von Grinsekatze:
Ich glaube, es ist besser, wenn Du mit Deinem Posting und Deinem Problem einen eigenen Thread eröffnest - ist hier so üblich ... und macht die *Gemeinde* noch glücklicher - weil übersichtlicher! </font>[/QUOTE]Völlig richtig. [img]smile.gif[/img] Aber jetzt ist zu spät... :rolleyes:

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

jbnwijo 09.04.2004 09:08

Servus, ok, tut mir leid,
ich dachte, wenn ihr schon mal im Schwung/Thema drin seid, könnte ich da auf den "fahrenmden Zug" aufspringen, aber dann mach ich halt ein neues Thama auf, nochmal sorry, also denn (hoffentlich) bis gleich in "...nochmal was zu greatsearch.biz" DANKE


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131