Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/LowZones.AL

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 07.09.2005, 17:15   #1
C_C
 
TR/LowZones.AL - Icon35

TR/LowZones.AL



Hi.. habe anscheinend den oben genannten Wurm.
Manchmal öffnet sich einfach ein Opera Fenster und es wird auf eine Adresse zugegriffen. AntiVir findet dann im Ordner "Content.IE5" in einem JPG (??) den oben genannten Wurm. Außerdem wird eine Datei in C:\ mit beliebigem Namen erstellt (zB FODH.EXE). Diese Datei wird dann auch gleich von AntiVir gelöscht. Außerdem läuft ständig der Task "wordpad.exe", die Datei liegt in C:\Windows. Wenn man sie beendet, ist sie sofort wieder da.

Ich habe folgendes Versucht...
- wordpad.exe gesucht -> vergebens ! Die Datei ist absolut unsichtbar.. VErsteckte Dateien sind bei mir _nicht_ ausgeblendet. Trotzdem merkt man nur dass es die datei gibt, wenn man versucht, eine mit dem selben Namen zu erstellen.
Ich bin also in den abgesicherten Modus. Da ist die Datei sichtbar. Ich habe sie gelöscht und eine Datei "wordpad.exe" neu erstellt & schreibgeschützt. Wähnte mich sicher. Doch eben sehe ich, dass meine erstellte Datei weg ist (trotz schreibschutz ?!) und die alte wieder da (versteckt).
- In der Registry gesucht -> keine einträge
- bei google danach gesucht -> Keine brauchbaren ergebnisse

Langsam bin ich ratlos

wordpad.exe wird übrigends nicht von AntiVir irgendwie erkannt.
Die suche mit AdAware bringt auch nichts.

Das System ist winXP home mit SP 1.
Ich nutze Opera ..


Noch was: Im ordner C:\Dokumente & Einstellungen\ich\Lokale einstellungen\temp sind mir Dateien aufgefallen die wohl damit was zu tun haben. Sie haben alle Namen wie zB. "~DFB01E.tmp" oder "~DFAFF8.tmp" und sind allesamt 16kb groß. Es entstehen immer neue und können nicht gelöscht werden, weil in verwendung.
Noch eine Datei mit 16kb größe ist "Perflib_Perfdata_648.dat".

Falls es hilft, hier ein HijackThis Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
E:\Rainlendar-0.21.2\Rainlendar.exe
C:\Programme\ICQPlus\VPlus.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wordpad.exe
C:\Programme\Opera75\opera.exe
D:\kram\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Verknüpfung mit Rainlendar.exe.lnk = E:\Rainlendar-0.21.2\Rainlendar.exe
O4 - Startup: Verknüpfung mit VPlus.exe.lnk = C:\Programme\ICQPlus\VPlus.exe
O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: c:\programme\google\google desktop search\googledesktopnetwork1.dll
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9996.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{B825EDFD-FC51-4D6D-87D3-D655AAA2BA4A}: NameServer = 217.237.150.141 217.237.151.161
O20 - AppInit_DLLs: UmxSbxExw.dll

Ich hoffe es hat jemand eine idee...

 

Themen zu TR/LowZones.AL
adobe, antivir, appinit_dlls, avg, bho, confused, content.ie5, desktop, einstellungen, file, google, hijack, hijackthis, hijackthis log, home, internet, internet explorer, können nicht gelöscht werden, log, neu, opera, ordner, programme, registry, rundll, software, suche, system, temp, unknown file in winsock lsp, userinit.exe, winxp home, öffnet




Ähnliche Themen: TR/LowZones.AL


  1. Trojaner.LowZones
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (34)
  2. TR/Lowzones.SG
    Mülltonne - 03.06.2008 (0)
  3. Trojan.LowZones
    Log-Analyse und Auswertung - 19.08.2006 (1)
  4. TR/WinREG.LowZones.F.2
    Log-Analyse und Auswertung - 29.06.2006 (6)
  5. TR/Drop.Lowzones.A & Co.
    Plagegeister aller Art und deren Bekämpfung - 09.09.2005 (8)
  6. TR/LowZones.FA
    Plagegeister aller Art und deren Bekämpfung - 31.08.2005 (4)
  7. Bitte Helfen! Lowzones A und Lowzones K 7 !
    Log-Analyse und Auswertung - 10.07.2005 (2)
  8. Lowzones .A und Lowzones K 7 Bitte helfen!
    Log-Analyse und Auswertung - 09.07.2005 (1)
  9. TR/LowZones.P.71
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (1)
  10. Hiiiilfeeeee....TR / Lowzones.A
    Plagegeister aller Art und deren Bekämpfung - 22.05.2005 (1)
  11. TR/Lowzones.AP
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (8)
  12. LowZones.reg
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (1)
  13. lowzones trojaner
    Log-Analyse und Auswertung - 14.03.2005 (2)
  14. Hilfe bei TR/Lowzones.A
    Plagegeister aller Art und deren Bekämpfung - 05.03.2005 (3)
  15. TR/LowZones.Q ???
    Plagegeister aller Art und deren Bekämpfung - 18.02.2005 (1)
  16. TR/LowZones.D
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (1)
  17. TR/LowZones.B
    Log-Analyse und Auswertung - 08.12.2004 (6)

Zum Thema TR/LowZones.AL - Hi.. habe anscheinend den oben genannten Wurm. Manchmal öffnet sich einfach ein Opera Fenster und es wird auf eine Adresse zugegriffen. AntiVir findet dann im Ordner "Content.IE5" in einem JPG - TR/LowZones.AL...
Archiv
Du betrachtest: TR/LowZones.AL auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.