|
Plagegeister aller Art und deren Bekämpfung: Trojaner:TR/Dldr.FraudLoaNCWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.08.2008, 18:10 | #1 |
| Trojaner:TR/Dldr.FraudLoaNC Hallo, vielleicht kennt jemand den o. g. Trojaner, den mir mein AntiVir im 12 sec Turnus anzeigt. Außerdem habe ich eine dauernde Antivirus XP 2008 - Meldung, obwohl ich das Programm garnicht aktiviert habe (hab ichs überhaupt?). Und zu allem Überfluss steht im Hintergrund meines Desktops ein Antispamplakat. Was geht da ab? Wird man sowas wieder los? Bin leider nicht besonders versiert in Sachen Rechner. Vielleicht gibts ja ne Rosskur. Bin um jede verständliche Antwort dankbar. Grüße Mike |
14.08.2008, 18:30 | #2 |
Trojaner:TR/Dldr.FraudLoaNC Hi Mike,
__________________poste bitte ein HijackThis Logfile, vergiss aber nicht alle Links unkenntlich zu machen, das gleiche gilt für persönliche Namen. Folge dann diesen Schritten weiter: 1.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
2.) Blacklight scannen lassen
3.) Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier. mfg
__________________ |
14.08.2008, 18:59 | #3 |
| Trojaner:TR/Dldr.FraudLoaNC Hallo,
__________________hoffe das stimmt so lg mike Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:34:24, on 14.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\sm56hlpr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\lphc92sj0et5l.exe C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MESSEN~1\Msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat1.de/index.php?icqpath=icq R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [lphc92sj0et5l] C:\WINDOWS\system32\lphc92sj0et5l.exe O4 - HKLM\..\Run: [SMrhcc2sj0et5l] C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\PC-BIB\PCLib.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7161 bytes Grüße Mike |
14.08.2008, 19:07 | #4 |
Trojaner:TR/Dldr.FraudLoaNC Ok, mach bitte noch das: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\lphc92sj0et5l.exe C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
14.08.2008, 20:25 | #5 |
| Trojaner:TR/Dldr.FraudLoaNC Datei lphc92sj0et5l.exe empfangen 2008.08.14 21:21:34 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 8/36 (22.23%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.15.0 2008.08.14 - AntiVir 7.8.1.19 2008.08.14 - Authentium 5.1.0.4 2008.08.14 - Avast 4.8.1195.0 2008.08.14 - AVG 8.0.0.161 2008.08.14 - BitDefender 7.2 2008.08.14 MemScan:Trojan.FakeAlert.UM CAT-QuickHeal 9.50 2008.08.14 (Suspicious) - DNAScan ClamAV 0.93.1 2008.08.14 - DrWeb 4.44.0.09170 2008.08.14 - eSafe 7.0.17.0 2008.08.14 Suspicious File eTrust-Vet 31.6.6032 2008.08.14 - Ewido 4.0 2008.08.14 - F-Prot 4.4.4.56 2008.08.14 - F-Secure 7.60.13501.0 2008.08.14 - Fortinet 3.14.0.0 2008.08.14 - GData 2.0.7306.1023 2008.08.14 Trojan-Downloader.Win32.FraudLoad.vbde Ikarus T3.1.1.34.0 2008.08.14 Trojan-Downloader.Win32.Renos.AQ K7AntiVirus 7.10.415 2008.08.14 - Kaspersky 7.0.0.125 2008.08.14 Trojan-Downloader.Win32.FraudLoad.vbde McAfee 5361 2008.08.14 - Microsoft 1.3807 2008.08.14 - NOD32v2 3356 2008.08.14 a variant of Win32/TrojanDownloader.FakeAlert.GG Norman 5.80.02 2008.08.14 Smalltroj.gen22 Panda 9.0.0.4 2008.08.14 - PCTools 4.4.2.0 2008.08.14 - Prevx1 V2 2008.08.14 - Rising 20.57.32.00 2008.08.14 - Sophos 4.32.0 2008.08.14 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.14 - TheHacker 6.3.0.3.046 2008.08.13 - TrendMicro 8.700.0.1004 2008.08.14 - VBA32 3.12.8.3 2008.08.14 - ViRobot 2008.8.14.1337 2008.08.14 - VirusBuster 4.5.11.0 2008.08.14 - Webwasher-Gateway 6.6.2 2008.08.14 - weitere Informationen File size: 130560 bytes MD5...: 9c3095d0eb85a6f3ac532050591c2a85 SHA1..: acaadd9e207e903921e98c15a346ca31507bc201 SHA256: dabb382189567759304c09b10c4b89cbf56dec9ac8b858abe97f0263b86fdaf4 SHA512: 5c38da6d4b74d6073ddb420f019b12a4d12abd2ddc5a00e2fbe68596b17ca983 e25a85239a8fd517996540269626fbd901f008b766760c870d0738229f033ced PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402674 timedatestamp.....: 0x48a349bd (Wed Aug 13 20:53:17 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .code 0x1000 0x334c4 0x2600 6.47 5dc212416a9df2be00dbf0863f9d9ad4 .data 0x35000 0x1b9cc 0x1ae00 8.00 7781066dd52ab3572554e454a372a6ba .rsrc 0x51000 0x1000 0x600 7.27 1c352ae8f8e77b51ca6c7c4f8e9a5b9c ( 0 imports ) ( 0 exports ) ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=9c3095d0eb85a6f3ac532050591c2a85 |
14.08.2008, 20:29 | #6 |
Trojaner:TR/Dldr.FraudLoaNC Ok, wie du siehst handelt es sich um einen Downloader, der munter weiter Malware nachläd. Wenn du einen Zweitrechner zur Verfügung hast, trenne den infizierten Rechner vom Netz und lade die entspr. Tools für eine Bereinigung auf den sauberen und übertrage diese via USB-Stick, etc. auf den infizierten um sie dort zu installieren. Am sichersten wäre es jedoch, gründlich Neuaufzusetzen, denn es bleiben bei der Art Infektion immer Reste übrig, die man nicht mit Tools entfernt bekommt. Du kannst dich entscheiden, welchen Weg du gehn willst. mfg
__________________ --> Trojaner:TR/Dldr.FraudLoaNC |
14.08.2008, 20:33 | #7 |
| Trojaner:TR/Dldr.FraudLoaNC zu der datei rhcc2sj0et5l.exe.local gibt es nur diese angabe 0 bytes size received / Se ha recibido un archivo vacio |
14.08.2008, 20:48 | #8 |
Trojaner:TR/Dldr.FraudLoaNC Okay, das heißt sie will sich nicht hochladen lassen. Naja, lass uns mal die zwei Downloader löschen, damit die weitere Bereinigung erleichtert wird: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter files to delete: C:\WINDOWS\system32\lphc92sj0et5l.exe C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe folders to delete: C:\Programme\rhcc2sj0et5l 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
15.08.2008, 13:13 | #9 |
| Trojaner:TR/Dldr.FraudLoaNC Hallo Dark, war spät gestern. Also eiter gehts: Hab den Avenger gestartet. Avir hat sich noch nicht gemeldet, Desktop ist immer noch plakatiert und sehr blau. Hier der Report: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\lphc92sj0et5l.exe" deleted successfully. File "C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe" deleted successfully. Folder "C:\Programme\rhcc2sj0et5l" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
15.08.2008, 13:15 | #10 |
Trojaner:TR/Dldr.FraudLoaNC So, schonmal gut. Jetzt geht's dem Desktop an den Kragen: Folge der Anleitung für Malwarebytes Anti-Malware, sowie die von SUPERAntiSpyware und poste die Logfiles. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
15.08.2008, 16:04 | #11 |
| Trojaner:TR/Dldr.FraudLoaNC Ok Malware hab ich durchlaufen lassen. Superantispyware auch, hab ich aber wohl falschen Reiter angeklickt, jetzt ist Plakat weg, aber Desktop noch superblau. Nochmal laufen lassen? ansonsten trotzdem Riesenstein vom Herz gefallen. Mannomann, wo lernt man sowas? Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1054 Windows 5.1.2600 Service Pack 2 15:32:31 15.08.2008 mbam-log-8-15-2008 (15-32-31).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 92328 Laufzeit: 49 minute(s), 29 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 11 Infizierte Dateien: 6 Infizierte Speicherprozesse: C:\WINDOWS\system32\blphc92sj0et5l.scr (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc92sj0et5l (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcc2sj0et5l (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\Adnin\Eigene Dateien\backup_lola\daniel\eigene_datein\Schule\Stundenplan\License\Novasphere13_demo - 03.09.2004\setup.exe (Trojan.Toolbar) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Adnin\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphc92sj0et5l.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phc92sj0et5l.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
15.08.2008, 16:07 | #12 | |
Trojaner:TR/Dldr.FraudLoaNC Poste nochmal ein HijackThis Logfile und lass Malwarebytes nochmal laufen, lese davor aber die Anleitung für SmitFraudFix und führe diese aus, diesmal aber mit der Option 2 für Reinigung. Zitat:
mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
15.08.2008, 16:13 | #13 |
| Trojaner:TR/Dldr.FraudLoaNC na die anwendung sollcher programme, sind für mich bömische dörfer, aber hilfreich Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:08:44, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\sm56hlpr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\MESSEN~1\Msmsgs.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\PC-BIB\PCLib.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6538 bytes |
15.08.2008, 16:17 | #14 | |
Trojaner:TR/Dldr.FraudLoaNC Na das lernt man leider nicht im Studium So muss man sich das Wissen hier im Net verschaffen. So zum Logfile: Zitat:
Wenn nicht, lade die Datei bei Virustotal hoch und poste das Ergebnis. Sonst nur noch die Reinigung mit Malwarebytes und SmitfraudFix. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
15.08.2008, 17:09 | #15 |
| Trojaner:TR/Dldr.FraudLoaNC 2er scan. Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1054 Windows 5.1.2600 Service Pack 2 18:06:56 15.08.2008 mbam-log-8-15-2008 (18-06-56).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 92158 Laufzeit: 48 minute(s), 31 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) was mach ichjetzt? |
Themen zu Trojaner:TR/Dldr.FraudLoaNC |
aktiviert, antivir, antivirus, antivirus xp 2008, antwort, besonders, dauernde, garnicht, hintergrund, meldung, programm, sache, sachen, troja, trojaner, verständliche, überhaupt |