|
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Dadobra.bpaWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.11.2008, 14:22 | #1 |
| TR/Dldr.Dadobra.bpa Huhu, gott sei dank hab ich das board gefunden ich habe eben gerade einen Virus über Avira AntiVir gefunden ... ich habe mich schon ein bissl umgeguckt aber habe keine richtige lösung gefunden ... Die Datei heißt regexe.exe und ist im verzeichnes: C:\WINDOWS\system32\Tools aufgetaucht und sieht so aus als wenn er eigendlich dahin gehören würde. nu hab ich die datei mal bei virus total hoch geladen und folgendes ist dabei rausgekommen AhnLab-V3 2008.11.13.2 2008.11.13 - AntiVir 7.9.0.31 2008.11.13 TR/Dldr.Dadobra.bpa Authentium 5.1.0.4 2008.11.12 - Avast 4.8.1248.0 2008.11.12 - AVG 8.0.0.199 2008.11.12 Downloader.Generic8.COX BitDefender 7.2 2008.11.13 - CAT-QuickHeal 9.50 2008.11.12 - ClamAV 0.94.1 2008.11.13 - DrWeb 4.44.0.09170 2008.11.13 - eSafe 7.0.17.0 2008.11.12 - eTrust-Vet 31.6.6204 2008.11.11 - Ewido 4.0 2008.11.12 - F-Prot 4.4.4.56 2008.11.12 - F-Secure 8.0.14332.0 2008.11.13 Suspicious:W32/Malware!Gemini Fortinet 3.117.0.0 2008.11.13 - GData 19 2008.11.13 - Ikarus T3.1.1.45.0 2008.11.13 - K7AntiVirus 7.10.523 2008.11.12 - Kaspersky 7.0.0.125 2008.11.13 - McAfee 5432 2008.11.13 - Microsoft 1.4104 2008.11.13 - NOD32 3609 2008.11.13 - Norman 5.80.02 2008.11.12 - Panda 9.0.0.4 2008.11.12 - PCTools 4.4.2.0 2008.11.13 - Prevx1 V2 2008.11.13 - Rising 21.03.31.00 2008.11.13 - SecureWeb-Gateway 6.7.6 2008.11.13 Trojan.Dldr.Dadobra.bpa Sophos 4.35.0 2008.11.13 - Sunbelt 3.1.1785.2 2008.11.11 - Symantec 10 2008.11.13 - TheHacker 6.3.1.1.151 2008.11.13 - TrendMicro 8.700.0.1004 2008.11.13 - VBA32 3.12.8.9 2008.11.12 - ViRobot 2008.11.13.1466 2008.11.13 - VirusBuster 4.5.11.0 2008.11.12 - das bedeutet 4 Antivirenprggys haben nen fund , aber aus keinem werde ich schlau. Grund für die untersuchung war bei mir das mein PunkBuster net mehr funzt und ich bei BF2 seit gestern nacht dauerhaft rausgekick werde mit der begründung RESTRICTION:Service Co mmunication Failure: PnkBstrB.exe heart beats stopped. Hat das was mit diesem Virus zu tun und wenn ja langt es wenn ich den Virus lösche ?! bin net alt zu fitt im PC bereich benutze den nur um mal zu spielen. ich schreib nochmal nen HijackThis log dazu falls da was wichtiges zu finden ist ?! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:20:32, on 13.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe C:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Opera\opera.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Ad-Watch] D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5391 bytes Danke für die eventuelle Hilfe Gruß flwnah |
14.11.2008, 19:20 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dldr.Dadobra.bpa Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
Themen zu TR/Dldr.Dadobra.bpa |
ad-aware, ad-watch, adobe, antivir, avira, bho, dateien, excel, explorer, gservice, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, messenger, monitor, nvidia, opera, programme, rundll, software, system, teamspeak, virus, virus total, windows, windows xp |