Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojanische Pferd TR/Dldr.Dyfuca.DI.2 und seine spielgefährten (https://www.trojaner-board.de/9558-trojanische-pferd-tr-dldr-dyfuca-di-2-spielgefaehrten.html)

DNS 13.11.2004 20:29
Trojanische Pferd TR/Dldr.Dyfuca.DI.2 und seine spielgefährten
 
ich hatte vergessen nach einer neuinstalattion von xp antivir draufzu schmeissen und jetz hab ich das prob.

wenn ich mit dem i-net verbunden bin kommt immer wieder ne antivir meldung


C:\EXPLOR.EXE

Ist das Trojanische Pferd TR/Dldr.Dyfuca.DH

und

C:\WUACTLD.EXE

Ist das Trojanische Pferd TR/Dldr.Dyfuca.DI.2

und noch 6 andere und ich werde sie nicht mehr los.....

könnt ihr mir bitte helfen.
und bitte so das ein absoluter anfänger das auch versteht :)

Cidre 13.11.2004 20:55
Zitat:
nach einer neuinstalattion von xp antivir draufzu schmeissen
Ein AV Programm ist nach dem Neuaufsetzen nicht zwingend erforderlich, besser wäre eine dementsprechende Absicherung des Systems vor der ersten I-net Verbindung, siehe http://www.trojaner-board.de/showpos...28&postcount=2 .

Zitat:
und noch 6 andere und ich werde sie nicht mehr los
Welche? Ich ahne böses.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

DNS 13.11.2004 21:12
hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 21:05:55, on 13.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Aston\aston.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\Aston\XP\internat.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\WINDOWS\System32\suge.exe
C:\WINDOWS\System32\mscom32.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\mscom32.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\aaupdt.exe
C:\WINDOWS\explorer.exe
D:\Programme\Neuer Ordner\firefox.exe
C:\Dokumente und Einstellungen\DenJo 77\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hanfburg.de/index_d.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F2 - REG:system.ini: Shell=D:\PROGRA~1\Aston\aston.exe ,svchost.exe
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EM_EXEC] d:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\xcobjr.exe
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [MSChoEx] suge.exe
O4 - HKLM\..\Run: [Windows Dcom2 Fix] mscom32.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Compliant] answzp.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [MSChoEx] suge.exe
O4 - HKLM\..\RunServices: [Windows Dcom2 Fix] mscom32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] answzp.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\Run: [MSChoEx] suge.exe
O4 - HKCU\..\Run: [Windows Dcom2 Fix] mscom32.exe
O4 - HKCU\..\Run: [Windows Compliant] answzp.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Didojf32.dll


und hier noch ein paar AV meldungen:

C:\C.HTM

Ist das Trojanische Pferd TR/Dldr.Dyfuca.DG.1

C:\WINDUP.EXE

Ist das Trojanische Pferd TR/Dldr.Dyfuca.DJ

die sehen alle so aus und kommt andauernt wenn ich im i-net verbunden bin.
nur eine ist anders da ist ne datei in C: die msidrive.exe heißt und wenn ich die nicht lösche kommt immer wieder ne fehlermeldung (nicht über AV) die lautet:

die anweisung in "0x74673b60" verweist auf speicher in "0x74673b60". der vorgang "read" konnte nicht auf dem speicher durchgeführt werden.

DNS 13.11.2004 21:46
jetz habe ich noch denn hier reinbekommen. das ist mal was anderes...... :pfui:

C:\WINDOWS\SYSTEM32\DIDOJF32.DLL

Ist das Trojanische Pferd TR/Qukart.A.1

Cidre 13.11.2004 22:11
Zitat:
C:\WINDOWS\System32\suge.exe
C:\WINDOWS\System32\mscom32.exe
Siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437

Setze dein System abermals neu auf und handle nach dieser Anleitung:
http://www.trojaner-board.de/showpos...28&postcount=2

DNS 14.11.2004 10:41
lässt sich da nix machen ohne das system wieder neu zu installieren?

Cidre 14.11.2004 11:09
Nein!
Wo liegt dein Problem?

DNS 14.11.2004 11:46
an denn 12 gb ungesicherten daten ^^

oder würde es reichen wenn ich nur C: leer mache?

DNS 14.11.2004 13:37
ich hab geschafft bin sie alle losgworden..... :)

aber danke an dich ohne dich hätte ich wohl noch nen paar nächte dran gesessen :bussi:

Cidre 14.11.2004 14:14
Wie bist du die Malware jetzt los geworden?

DNS 14.11.2004 17:51
ich hab im abgesicherten modus nen prog durchlaufen lassen der mir gezeigt hat was fehl am platz ist und das beseitigt hat und dann noch mal mit HiJackThis noch mal geprüft und die daten die du mir gesagt hast gefixt und dann ging es dann wieder ein zone alarm draufgeschmissen und noch nen paar mal durchlaufen gelassen und jetz ist er wiede rin bestform.

:party:

Cidre 14.11.2004 17:59
Dann poste nochmals ein aktuelles Log-File.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27