Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe! Trojaner: TR/Dldr.Esepor.AB (https://www.trojaner-board.de/9932-hilfe-trojaner-tr-dldr-esepor-ab.html)

djblack 22.11.2004 07:59

Hilfe! Trojaner: TR/Dldr.Esepor.AB
 
Hi leute
ich hab das Trojanische Pferd TR/Dldr.Esepor.AB
Kann mir irgendwjemand sagen wie ich es nun los werde?
Bitte um hilfe
Mfg
DjBlack

cacatoa 22.11.2004 09:47

Hi,
als erstes bitte ein HiJackThis Logfile hier rein posten!
cacatoa

djblack 22.11.2004 16:27

ein was soll ich machen?

Shadowdance 22.11.2004 19:22

@ djblack,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

djblack 22.11.2004 21:53

ok jetzt weiß ich bescheid was ich machen soll :D

kann mir nun einer weiterhelfen?

so hier is die Hijackthis log:

Logfile of HijackThis v1.98.2
Scan saved at 21:51:38, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGUARD.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ngucxlmlhfh.us/wzWFve4NWU...hDUpyHTAlY.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=309562
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-search.net/index.php?v=6&aff=309562
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB49407-965A-B831-2B65-6639D81F6878} - C:\DOKUME~1\Andy\ANWEND~1\STOPEX~1\downloadford.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [firstaboutfordvc] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\titlesizefirstabout\Wma Load.exe
O4 - HKCU\..\Run: [inter vc] C:\DOKUME~1\Andy\ANWEND~1\FreeView\Birdproxyjugs.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57874E6F-59AD-4C37-AF07-C245A9C07F37}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{828DD787-D813-4CE5-B7DF-8AFA041D4E51}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5A7DE6-9BA6-4CF9-92AD-D7781B2547D5}: NameServer = 192.168.69.254
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

chaosman 22.11.2004 22:06

@djblack
der hier ist drin
http://www.2-spyware.com/file-xplugin-dll.html
wechsle in den abgesicherten modushier
und fixe(häkchen setzen und Fix Checked klicken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ngucxlmlhfh.us/wzWFve4NW...hhDUpyHTAlY.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=309562
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-search.net/index.php?v=6&aff=309562
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *new-search.net*;*x-google.net*
wenn du diesen eintrag nicht kennst, dann fixen
O2 - BHO: (no name) - {1CB49407-965A-B831-2B65-6639D81F6878} - C:\DOKUME~1\Andy\ANWEND~1\STOPEX~1\downloadford.exe
fixen
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
wenn du diesen einträge nicht kennst, dannfixen
O4 - HKLM\..\Run: [firstaboutfordvc] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\titlesizefirstabout\Wma Load.exe
O4 - HKCU\..\Run: [inter vc] C:\DOKUME~1\Andy\ANWEND~1\FreeView\Birdproxyjugs.exe
fixen
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
lösche manuell
C:\WINDOWS\System32\xplugin.dll
C:\Programme\Messenger Plus! 3\MsgPlus.exe hat spyware
neu starten
poste danach ein nues HJT logfile
chaosman

djblack 22.11.2004 22:33

lol wo soll ich das denn fixen? ich bin zimelich unbegabt in solchen dingen wie man wohl merkt :(

djblack 22.11.2004 22:33

ah hab schon verstanden

djblack 22.11.2004 22:46

SO
hier nun die neue log

Logfile of HijackThis v1.98.2
Scan saved at 22:45:36, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4N...DUpyHTAlY.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57874E6F-59AD-4C37-AF07-C245A9C07F37}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{828DD787-D813-4CE5-B7DF-8AFA041D4E51}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5A7DE6-9BA6-4CF9-92AD-D7781B2547D5}: NameServer = 192.168.69.254


Is damit alles behoben?

chaosman 22.11.2004 22:53

@djblack
lade dir clearprog von www.clearprog.de
programm starten, alle häkchen setzen bei IE + windows, danach löschen
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4...hDUpyHTAlY.html

danach neu starten

chaosman

cacatoa 22.11.2004 22:55

Sieht sehr schön aus.
Wenn du das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysiryveraobh.com/wzWFve4...hDUpyHTAlY.html

nicht kennst, dann auch noch fixen. Der Rest ist o.k.
Zur Sicherheit lasse mal einen eScan laufen.
Lade Dir die in dem link angegebene mwav.exe herunter. Lies genau die Anleitung.
Du mußt vorher einen Ordner C:\ bases erstellen. Dann gemäß Anleitung updaten und den eScan durchführen. poste das Ergebnis hier rein.

cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131