Trojan.Downloader.Banload.AM

solon · 28.07.2006, 15:51

hi,
Neulich bein durchlauf von Spyware Doc ver 4.0 hat folgendes gefunden,
Log file:
Trojan.Downloader.Banload.AM HKLM\SOFTWARE\Microsoft\Tracing\FWCFG
Trojan.Downloader.Banload.AM HKLM\SOFTWARE\Microsoft\Tracing\FWCFG## Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##ConsoleTracingMask
Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##EnableConsoleTracing
Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##EnableFileTracing
Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##FileDirectory
Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##FileTracingMask
Trojan.Downloader.Banload.AMHKLM\SOFTWARE\Microsoft\Tracing\FWCFG##MaxFileSize

Weis hier jamand was diese eintäge zu bedeuten haben??
gruss solon

Darthshoot · 28.07.2006, 16:13

Das du einen Trojan.Downloader drauf hast. Bitte ein HijackThis Logfile und Problem genauer beschreiben.

solon · 28.07.2006, 19:46

Danke ,hier nochmal mein log von hijackthis:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente \hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [speedfan] C:\Programme\SpeedFan\speedfan.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B172B8-5223-462E-B511-120FF91D9278}: NameServer = xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1137292-9A6F-42F5-8107-3889DA608C75}: NameServer = xxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{46B172B8-5223-462E-B511-120FF91D9278}: NameServer = xxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{46B172B8-5223-462E-B511-120FF91D9278}: NameServer = xxxxxxxx
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Fällt Dir da irgentetwas auf?? Übrigens den tojaner hab ich mit Spyware Doc wegbekommen ,hoffe ich doch.
Wozu soll das gutsein das löschen von dlls ich kenn mich da nicht so aus ??
gruss solon

felix1 · 28.07.2006, 19:50

Wenn schon HJT-Log, dann komplett

iso9001 · 28.07.2006, 22:52

wer Spyware Doctor installiert kann gleich Neu installieren.

da ist Hopfen und Malz verloren.

felix1 · 28.07.2006, 23:05

Zitat:

Zitat von iso9001

wer Spyware Doctor installiert kann gleich Neu installieren.

da ist Hopfen und Malz verloren.

Was bewegt Dich zu dieser Aussage?

iso9001 · 28.07.2006, 23:15

Zitat:

Zitat von felix1

Was bewegt Dich zu dieser Aussage?

"PCTools" bewegt mich.

felix1 · 28.07.2006, 23:38

Den Zusammenhang kann ich nicht nachvollziehen

iso9001 · 28.07.2006, 23:42

Zitat:

Zitat von felix1

Den Zusammenhang kann ich nicht nachvollziehen

warum nicht ? schau dir pctools.com mal ganz genau an.
grossartig diskutieren brauch man da nicht, die Seite verändert sich ständig.

felix1 · 28.07.2006, 23:49

Kann sein, muss nicht. Ich habe noch andere Verdächtige. Aber so lange TO das Log nicht komplett postet, sollte keine weitere Hilfe und Diskussion stattfinden.

solon · 29.07.2006, 13:46

hi,
hab die anleitung von felix s.o durchgeführt und anschliesend mit kaspersky durchgescan+siehe da der hat gleich 4 stück gefunden und alles bereinigt.
Danke nochmal für eure tipps.
Übrigens mir ist es furz-egal wie der scaner heist ob spybot oder spy-doc oder e-scan die habsache ist das das ding die viecher findet!!

gruss solon

28.07.2006, 19:50	#4
felix1 /// Helfer-Team	Trojan.Downloader.Banload.AM Wenn schon HJT-Log, dann komplett __________________ LG Der Felix Keine Hilfe per PN und E-Mail

28.07.2006, 23:38	#8
felix1 /// Helfer-Team	Trojan.Downloader.Banload.AM Den Zusammenhang kann ich nicht nachvollziehen __________________ LG Der Felix Keine Hilfe per PN und E-Mail

28.07.2006, 23:49	#10
felix1 /// Helfer-Team	Trojan.Downloader.Banload.AM Kann sein, muss nicht. Ich habe noch andere Verdächtige. Aber so lange TO das Log nicht komplett postet, sollte keine weitere Hilfe und Diskussion stattfinden. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Trojan.Downloader.Banload.AM

Plagegeister aller Art und deren Bekämpfung: Trojan.Downloader.Banload.AM