Forum
Tipps
News
Menu-Icon

TR/Dldr.Small.ayl.0 ... ätzender Trojaner

Hi
Ich habe einen hartnäckigen Trojaner auf dem Rechner.
Genaugenommen verstehe ich nicht wie sich das Teil aktiviert ..
ist ein wenig strange.

Naja der Trojaner wird von Antivir als TR/Dldr.Small.ayl.0 angegeben
und die Meldung von AntivirGuard wiederholt sich immer nachdem eine Anwendung innerhalb des temp-ordnders (windows/temp) entstanden ist. Mit einer belieben temp-bezeichnung, bis auf das #.exe wie z.b. win2E5.tmp.exe. Diese wird ausgeführt und ist über den Taskmanager sichtbar (prozesse). Hab mit Hijack alles entfernt (schien nichts damit zu tun zu haben), antivir laufen lassen, ccleaner und regcleaner benutzt. Alles im abgesicherten Modus. Nichts gebracht.
Es ist ein verdächtiger Punkt im Hijack-Logfile, den ich mir nicht erklären kann.

Hier das Logfile:
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\nvsvc32.exe
C:\Progis\alcohol120\Alcohol 120\StarWind\StarWindService.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\RunDll32.exe
F:\WINDOWS\system32\RUNDLL32.EXE
C:\Progis\Java1.51\bin\jusched.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\OpenOffice.org 2.0\program\soffice.exe
F:\Programme\OpenOffice.org 2.0\program\soffice.BIN
F:\WINDOWS\system32\wuauclt.exe
F:\WINDOWS\system32\taskmgr.exe
F:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\eMule46\emule.exe
C:\Progis\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Progis\Java1.51\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Progis\Java1.51\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "F:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = F:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with GetRight - C:\Progis\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Progis\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Progis\Java1.51\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Progis\Java1.51\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D480DBED-7CAC-4AEF-9A0A-C8440E699B6E}: NameServer = 213.191.92.87 213.191.74.19
O20 - Winlogon Notify: winhdn32 - F:\WINDOWS\SYSTEM32\winhdn32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Progis\alcohol120\Alcohol 120\StarWind\StarWindService.exe


020 wäre glaube ich das Problem aber ich kann die zugehörige .dll nicht löschen, oder auch nur einen registryeintrag finden. Es gibt einen für die Gesamtzahl dieser Prozesse (020 .. APPInit_DLLs), aber ich wage mich nicht wirklich daran.

Hoffe ihr könnt mir helfen diesen Trojaner zu löschen. 
Wenn es denn TR/Dldr.Small.ayl.0 ist ...



Antworten zu TR/Dldr.Small.ayl.0 ... ätzender Trojaner:

Laut Hijackthis-Auswertung http://www.hijackthis.de hast Du nix definitiv Böses drauf.

Scann mal hiermit: Klick

Ok ich habe den Scan durchgeführt, dabei einige Virusmeldungen über mich ergehen lasen (von antivir, weil IntenretEsplorer) aber Panda hat nichts gefunden.

Der Virus tritt immer dann in Erscheinung, wenn ich verschiedene Internetadressen oder allg. den Internet Explorer öffne. Er lädt sich sozusagen neu. Mitlerweile kann ich ihn vorher unterbrechen (mit ständiger Prüfung des Task-Managers über die Prozesse) und mich insofern frei im Internet bewegen, aber es ist zu stressig, immer in den Temp-Ordner und die besagten #.exe Dateien löschen kann nicht die Lösung sein. Ich möchte diesen Virus ein für alle mal los werden, damit ich wieder ugestört surfen kann ...

Plz help .. ich weiss nichtmehr weiter.

Panda hat nichts angezeigt also ja ?
Von wegen desinfiziert oder so (in der Tabelle darunter) ?
Bist Du auf "Lokale Laufwerke" (scannen) gegangen ?

***

Kann es auch sein das Dein Logfile nicht vollständig ist ?
Kopiers mal bitte komplett rein.


Hey,
ähm ich habe jetzt noch mehrmals versucht mit Panda zu scannen (wusste nichtmehr genau was vorher angezeigt wurde, nur kein Virus), aber jedesmal kahmen mehr als 30 virenmeldungen von dem besagtem Virus, der sich ständig neu lädt, wenn ich im netz surfe. Zudem hat er bei 6x% gestopt, jedesmal ... Also Panda lass ich, zuviel Aufwand für nichts.

Ansonsten ist nichts zu finden, was darauf schliessen lässt warum sich dieser ver.....te Virus nur auf bestimmten Seiten (naja auf fast allen) und vorallem im IE neulädt. Er ist definitiv jedesmal gelöscht, mit temp + prefetch!

*verzweifel*

Ach und vonwegen Logfile, warum sollte es nicht komplett sein?
Also es ist komplett, fehlt nichts, ausser Zeitpunkt.

(sry für doppelpost, edit scheint für gast nicht zu funzen)

hab den gleichen trojaner und bekomm ihn nich weg. weder spybot, adaware noch antivir helfen mir da :-C


Logfile of HijackThis v1.99.1
Scan saved at 15:01:49, on 27.02.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\TEMP\win584.tmp.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\TEMP\win550.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\TEMP\win584.tmp.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\TEMP\win550.tmp.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\TEMP\win584.tmp.exe
C:\Dokumente und Einstellungen\nimm2\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {38681651-A393-A867-C00C-AA98CE16A3BA} - C:\WINDOWS\System32\auo.dll
R3 - URLSearchHook: (no name) - {D8E2388E-D91A-DDE0-4DF1-855A123B41BC} - C:\WINDOWS\System32\loked.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {38681651-A393-A867-C00C-AA98CE16A3BA} - C:\WINDOWS\System32\auo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - (no file)
O2 - BHO: (no name) - {D8E2388E-D91A-DDE0-4DF1-855A123B41BC} - C:\WINDOWS\System32\loked.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119875223186
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winauc32 - C:\WINDOWS\SYSTEM32\winauc32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

"hilflos",
dein PC ist heute schon der zweite hier Forum,
der noch mit Windows XP ohne SP betrieben wird.
Bei so vielen nicht gepatchen Sicherheitslücken ist der PC extrem anfällig für Malware und ist für alle eine Gefahr!
Da nütz selbst der Beste Virenscanner nicht viel.

Hier muss jetzt gehandelt werden!

1.
Dein PC benötigt unbedingt  das volle Updateprogramm von Windows.
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.
Bitte ungehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 82MB:
http://download.winboard.org/downloads.php?release_id=1086

2.
Führe im Anschluss noch mal ein Onlinescan zur Kontrolle mit
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Bitte das Scanergebnis  wieder posten.

3.
Erstelle neuen Logfile mit HjackThis
Und poste das Ergebnis

Ist der Trojaner verschwunden, nach dem Punkt 1 und 2 erledigt sind?

Ach und vonwegen Logfile, warum sollte es nicht komplett sein?
Also es ist komplett, fehlt nichts, ausser Zeitpunkt.

Lies Dir das von HELP durch, dann weisste Bescheid warum es wichtig, dass der Logfile komplett ist.

hilflos:
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Und wenn Panda "zu viel Aufwand für nichts" für Dich ist, dann lässte es halt bleiben. Is ja nich mein PC der verseucht ist.
Ausserdem sollteste wohl auch mal überlegen einen anderen Schutz zu wählen. Was nützt Dir dein Prog wenn Dein PC immer wieder infiziert wird ?
Des weiteren hat HELP schön beschrieben was man machen kann, dann vielleicht mal seiner Anleitung folgen.

Logfile of HijackThis v1.99.1
Scan saved at 14:57:04, on 27.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\win6B.tmp.exe
C:\WINDOWS\TEMP\win52.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\win6B.tmp.exe
C:\WINDOWS\TEMP\win52.tmp.exe
C:\DOKUME~1\mundi\LOKALE~1\Temp\Rar$EX02.969\HijackThis.exe
C:\WINDOWS\TEMP\win6B.tmp.exe

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - HKCU\..\Run: [areslite] "C:\Programme\Ares Lite Edition\AresLite.exe" -h
O4 - HKCU\..\Run: [RDC_RUN] C:\Programme\Ragonsoft\RDC2\RDC.exe rdc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DeskMarker] C:\Programme\delight software gmbh\DeskMarker\DeskMarker.exe
O4 - HKCU\..\Run: [HelioBarXP] C:\Programme\HelioBar XP\HelioBarXP.exe start
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,wbsys.dll C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~2\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: winopn32 - C:\WINDOWS\SYSTEM32\winopn32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe


hab mir den trojaner heute vomittag eingefangen und hab ihn bis jetzt noch nicht weggebracht... weiss echt nich mehr weiter könnte mir bitte jemand helfen?

mfg ray

Hi!
Du kannst deine HJT Log. unter: http://www.hijackthis.de/
asuwerten!



with many kiss
misskissyou

Hallo ihr Drei,

wie schon „Flashbag“ in seinen ersten Beitrag feststellte,
gibt es eine Anhaltpunkt dem man sich genauer anschauen sollte. 

Flashbag
winhdn32.dll
F:\WINDOWS\SYSTEM32\winhdn32.dll

hilflos
winauc32.dll
C:\WINDOWS\SYSTEM32\winauc32.dll

Sway
winopn32.dll
C:\WINDOWS\SYSTEM32\winopn32.dll

Ich vermute, das diese Dateien mit dem Trojaner zusammenhängen.
Bitte scannt jeder von Euch die jeweilige Datei hiermit
http://www.virustotal.com/flash/index_en.html
und postet das Ergebnis hier.

Vorab könnt ihr das folgende Tool schon mal runterladen,
http://ccollomb.free.fr/unlocker/
aber bitte noch nicht benützen!
Wir wollen erst mal schauen, ob es die ein und die selbe Malware ist, wenn überhaupt.
Versucht auch mal die Datei zu kopieren, eigentlich sollte AntiVir anschlagen, wenn es der Trojaner ist. Wenn ja, dann postet auch die Logfiles von AntiVir.

Bis später...

boaRGH thx HELP fuer das unlocktool, hab die winauc32.dll schon von anfang an im auge gehabt aber nich gewusst wat ich machen soll. hab nach ca 5 stunden virenscanmatyrium mut gefasst und dat ding mittels unlocker in die ewigen jagdgruende verbannt...hollflich folgenlos fuer mein sys  aber WECH ISSA DER PISSA ;-) und ich bin um einiges weiser was den virenkampf angeht CU LEUDE

hi,
also bei mir hieß die .dll winzwr32.dll und lag im /winnt/system32 ordner... ließ sich natürlich auch net löschen , da sie direkt beim winlogon mitgeladen wurde. gefunden hab ich das teil dann mit housecall. issn wirklich guter virenscanner muß ich sagen. der untersucht gleich auch mal auf mögliche windows sicherheitslücken.
hier mal ein link...die geschichte ist natürlich kostenlos aber nicht umsonst :)

http://de.trendmicro-europe.com/housecall/v6.5/

danach hab ich die .dll einfach gelöscht. am besten man macht sich ne boot cd , weil linux so seine problemchen mit dem ntfs hat (esseiden man ne distri , in der die captive treiber drinne sind).
boot cd kammer mit pe builder ganz einfach von einer "normalen" winxp cd erstellen lassen (es läuft auch auf win2000 aber er braucht ne xp cd oder 2003server). hier mal die addy für pe builder:

http://www.nu2.nu/pebuilder/

wenn cd erstellt bootet man von dieser und löscht die schwule dll einfach raus. danach neu booten (F8->abgesicherter modus). danach jagt man am besten so n tool wie ad-aware oder spyware doctor (kostet was) drüber und löscht die registry einträge. toll war bei mir das er sie gar net gelöscht hat , weil er trotz abgesichertem modus die registry wiederhergestellt hatte (von wegen die tools kriegen alles weg....tzzzz). also hab ich nachdem die einträge "offensichtlich" gelöscht wurden einfach den rechner brutal ausgeschaltet (nicht runtergefahren). deshalb konnte der auch nix mehr wiederherstellen. schön war danach war alles wieder friede freude eierkucken. man kann jetzt im normalen modus all die .tmp im /winnt/temp ordner löschen und das system arbeitet wieder virenfrei.
by the way sei angemerkt...die als so toll funktionierenden tools bringen gar nix, wenn man es net wirklich mit der brechstange versucht, also niemals auf sowas verlassen...wir wissen ja, nach nem neustart sieht die welt wieder gaaanz anders aus.

mein system: windows2000 service pack4 , internet explorer6.0 SP1 , norton antivirus , spyware doctor , spybot s&d , skyDSL als sat router konfiguriert

Jo thx HELP, der unlocker war gold wert.
War echt am verzweifeln.
Damit sollte das Problem wohl gelöst sein, ansonsten komme ich wieder. ^^

@Orchidee
Auch dir vielen dank, in keiner Weise habe ich die Intentionen verfolgt dich herabzusetzen, oder deine Hilfe als nichtig darzustellen.
Panda habe ich 4mal versucht, nach dem ersten Versuch, und es ist an der gleichen Stelle abgestürzt, 4 mal.


« Problembericht an Microsoft senden? und Virus einfangen?IT Security Portal »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...