Trojaner-Board - Problem mit Dldr.Dyfuca.DB *Hilfe*

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit Dldr.Dyfuca.DB *Hilfe* (https://www.trojaner-board.de/7960-problem-dldr-dyfuca-db-hilfe.html)

Problem mit Dldr.Dyfuca.DB *Hilfe*

Hallo,

hab das Problem, dass jedes mal wenn ich den Rechner hochfahre und dann windows startet sagt mir antivir er hätte den Trojaner "Dldr.Dyfuca.DB" gefunden, dann drückt man löschen.. und es öffnet sich eine Internetseite.

Hab bei euch und Google auch schon einiges über dieses "assi-haustier" gefunden, jedoch mit keiner Lösung hat es geklappt.

Hier das HijackThis Logfile.. hoffe Ihr könnt mir helfen...

Zitat:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\CrazzyCrosser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WIN32SNDS] C:\windows\system32\banc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...31998986b85d10

Schönen Gruß und schonmal Danke
Jonathan

@s2hlwerfer
dein trojaner ist ein dialer,
http://www.sophos.de/virusinfo/analy...aldyfucaa.html
sichere ihm auf diskette zwecks beweissicherung.

downloade dann escan, entpacken nach C:\bases dann updaten wie beschrieben http://www.trojaner-board.de/42731-escan-anleitung.html
führe den scan genauso durch.
mache danach ein scan mit HJT, poste das log und die ergebnisse(nur die) von escan

chaosman

Hallo,
es handelt sich nicht um einen Dialer, sondern um einen Trojaner Downloader, siehe hier http://www.pestpatrol.com/pestinfo/i..._optimizer.asp

Wechsle in den abgesicherten Modus und fixe diese Einträge:
O4 - HKLM\..\Run: [WIN32SNDS] C:\windows\system32\banc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...431998986b85d10

Lösche diese Dateien:
C:\windows\system32\banc.exe

- Wende eScan an
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

@cidre

Danke :party:

Hat wunderbar funktioniert :)

Woher wisst ihr eigentlich welche Einträge man mit HiJackThis fixen muss.. oder gibts da irgendwo ne Liste oder sowas?

Schönen Gruß
Jonathan

Hallo s2hlwerfer,

man kann die automatische Auswertung zu Rate ziehen, braucht aber einige Übung und Erfahrung dazu, da die automatische Auswertung nicht alle Programme erkennt bzw. noch nicht 100% sicher ist. Man sollte die System-Dateien/ laufenden Prozesse u.a.m. erkennen. Notfalls hilft google ... und viel suchen ;-)

SD