| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojanische Pferd TR/Dldr.PassAlert.EWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.12.2005, 00:49
| #1 |
| |  Trojanische Pferd TR/Dldr.PassAlert.E hi. ich bekomme von anti VIr immer die nachricht: [WARNUNG] Ist das Trojanische Pferd TR/Dldr.PassAlert.E! C:\SYSTEM VOLUME INFORMATION\_RESTORE{5E1E2C8D-A738-42B9-8261-0B1117995BF8}\RP269\A0143118.EXE dadurch ist meine festplatte immer voll und ich kann z.b. auch keine Filme mehr angucken, da immer ein error kommt, der ca. soaussieht:  außerdem wird der ordner: C:\SYSTEM VOLUME INFORMATION nicht unter C.\ angezeigt. hier mal meine log: Logfile of HijackThis v1.99.1 Scan saved at 00:29:07, on 21.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\NetLimiter\NetLimiter.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\DOKUME~1\p$yCh0\ANWEND~1\bore eggs wave\amenreal.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Norton GoBack\GBTray.exe C:\Programme\TrilliPlus\trillian.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Norton GoBack\GBPoll.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\p$yCh0\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://h++p://www.ntmjtgspcxakghwyg....YvFLKcXrDm.cgi R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://h++p://www.t-online.de/servic...e_t-online.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://h++ps://msnialogin.passport.c...th.srf?lc=1031 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h++p=127.0.0.1:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\Spyware Doctor\tools\iesdsg.dll O2 - BHO: (no name) - {ABD4E43D-3D75-C726-899D-B1D2342977FB} - (no file) O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\Spyware Doctor\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Shutdown4U] C:\Programme\Shutdown4U\Shutdown4U.exe -t O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\p$yCh0\Desktop\Installationsprogramm\uptime-counter\client.exe O4 - HKCU\..\Run: [baitbleh] C:\DOKUME~1\p$yCh0\ANWEND~1\bore eggs wave\amenreal.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: TrilliPlus.lnk = C:\Programme\TrilliPlus\trillian.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton GoBack\GBTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\Spyware Doctor\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://h++p://messenger.zone.msn.com...t.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://h++p://appdirectory.messenger...haringctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h++p://update.microsoft.com/w...?1127047123062 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h++p://update.microsoft.com/m...?1127047259000 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h++p://messenger.zone.msn.com...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://h++p://messenger.zone.msn.com...o.cab32846.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://h++p://messenger.zone.msn.com...n.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{41F0CC90-00D8-47D3-A886-4CBE0D015513}: NameServer = 217.237.149.225 194.25.2.129 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe O23 - Service: Indexdienst (cisvc) - Unknown owner - C:\WINDOWS\System32\cisvc.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe (file missing) O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton GoBack\GBPoll.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ich hoffe ihr könnt mir helfen. danke! |
|
21.12.2005, 01:10
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojanische Pferd TR/Dldr.PassAlert.E > Platform: Windows XP SP1 (WinNT 5.01.2600)
__________________> MSIE: Unable to get Internet Explorer version! Dein System ist veraltet, das Service Pack 2 fehlt, wahrscheinlich auch weitere kleinere Patches! Leider ist hier nicht die IE-Version ersichtlich, aber womöglich ist auch dieser bei Dir veraltet! > O2 - BHO: (no name) - {ABD4E43D-3D75-C726-899D-B1D2342977FB} - (no file) > O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe (file missing) > O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) > O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) > O23 - Service: Indexdienst (cisvc) - Unknown owner - C:\WINDOWS\System32\cisvc.exe (file missing) > O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe (file missing) > O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing) Unnötige Einträge. Können gefixt werden. > O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll Bereitet mir etwas Migräne  Bin mir nicht sicher was für ein Eintrag das ist, daher bitte die Datei wl_hook.dll ausfindig machen und bei Jottis Malware Scan prüfen lassen. Auswertungsergebnisse bitte posten!
__________________ |
|
21.12.2005, 01:15
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojanische Pferd TR/Dldr.PassAlert.E Achso, dieses Forum erkennt Links als solche und macht diese klickbar aktiv, daher bitte Links von HJT-Logs vorher entschärfen, z.B. das http durch h**p ersetzen oder das gesamte Log durch die Funktion "Code einfügen" in den Beiträgen hier einbinden. Danke!
__________________
__________________ |
|
21.12.2005, 01:36
| #4 |
| | Trojanische Pferd TR/Dldr.PassAlert.E Hallo, kurz einmisch: "023"-Einträge lassen sich nicht fixen, man muss den Dienst deaktivieren (siehe hier . wl_hook.dll -> http://castlecops.com/o20list-127.html Lade Dir clearprog 1.4.1 final Deinstallieren "MessengerPlus! 3" (arbeitet mit Spyware). Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe darüberhinaus(Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [baitbleh] C:\DOKUME~1\p$yCh0\ANWEND~1\bore eggs wave\amenreal.exe Lösche manuell folgende Ordner: C:\Programme\MessengerPlus! 3 C:\DOKUME~1\p$yCh0\ANWEND~1\bore eggs wave "Clearprog starten --> Häckchen bei alles löschen und auf "Löschen" klicken. Neustart -> Systemwiederherstellung kann wieder aktiviert werden neues Logfile und berichten dartus
__________________ Kein Support per PN |
|
21.12.2005, 02:37
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojanische Pferd TR/Dldr.PassAlert.E Hi, die Dateien zu diesen Diensten fehlen ja offensichtlich ("file missing"), lässt es sich dann auch nicht fixen? Für ganz Hartgesottene kann man nat. immernoch das Tool delsrv.exe empfehlen, damit lassen sich Dienste restlos entfernen 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Trojanische Pferd TR/Dldr.PassAlert.E |
| adobe, antivirus, appinit_dlls, avg, bho, browser, danke, desktop, down, drivers, einstellungen, error, excel, explorer, festplatte, hijack, hijackthis, internet, internet explorer, monitor, pc tools spyware doctor, senden, software, spyware, symantec, system, tuneup utilities, warnung, windows, windows xp |
Linear-Darstellung
