| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.bips.46 eingefangen - aber wenig AuffälligkeitenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.05.2009, 21:11
| #1 |
| |  TR/Dldr.Agent.bips.46 eingefangen - aber wenig Auffälligkeiten Hallo zusammen, normalerweise bin ich sehr vorsichtig was das downloaden und ausführen von Software betrifft. Letzte Woche allerdings habe ich dummerweise eine Virenwarnung von AntiVir ignoriert und ein .exe file trotzdem ausgeführt (ich war mir sicher das dies ein Fehlalarm ist). Antivir sprach dabei von einem Trojaner namens TR/Dldr.Agebt.bips.46 Ich habe vorher einen Wiederherstellungspunkt gesetzt und mir die folgenden Tage das Verhalten meines PCs genau angesehen. Zunächst war nichts auffällig bis ich heute stutzig wurde das mein Antivir seit letztem Donnerstag kein Virenupdate mehr auf die Kette bekommt. Es kommt immer die selbe Fehlermeldung im Error Log welche ich hier einmal poste: Code:
ATTFilter Avira AntiVir Personal - Free Antivirus Updater
Erstellungszeitpunkt: Mon May 11 21:49:38 2009
Betriebssystem:
Windows XP (Service Pack 3) [5.1.2600]
Produktinformationen:
Produktversion: 9.0.0.394
Updater: C:\Programme\Avira\AntiVir Desktop\update.exe 9.0.0.46
Plugin: C:\Programme\Avira\AntiVir Desktop\updext.dll 9.0.0.6
Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\
Backupverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\BACKUP\
Installationsverzeichnis: C:\Programme\Avira\AntiVir Desktop\
Updaterverzeichnis: C:\Programme\Avira\AntiVir Desktop\
AppData Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\
[UPD] [INFO] Prüfe ob neuere Dateien zur Verfügung stehen.
[UPD] [INFO] Wähle Updateserver 'ht*p://80.190.143.236/update'.
[UPD] [INFO] Herunterladen von 'ht*p://80.190.143.236/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager:Beim Download von Datei 'h*tp://80.190.143.236/update/idx/master.idx' wurde HTTP Statuscode 403 erhalten.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler aufgetreten.
[UPD] [INFO] Herunterladen von 'h*tp://80.190.143.236/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager:Beim Download von Datei 'ht*p://80.190.143.236/update/idx/master.idx' wurde HTTP Statuscode 403 erhalten.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler aufgetreten.
[UPD] [INFO] Herunterladen von 'ht*p://80.190.143.236/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Downloadmanager:Beim Download von Datei 'h*tp://80.190.143.236/update/idx/master.idx' wurde HTTP Statuscode 403 erhalten.
[UPDLIB] [ERROR] Downloadmanager: Innerhalb der WinINet- Bibliothek ist ein Fehler aufgetreten.
[...]
[UPDLIB] [ERROR] Auflösen des Hostnamens 'ht*p://perspeak.avira-update.com/update' ist fehlgeschlagen. Fehler: Der angeforderte Name ist gültig und wurde in der Datenbank gefunden. Er verfügt jedoch nicht über die richtigen zugeordneten Daten, die ausgewertet werden sollten.
[UPDLIB] [ERROR] Keine weiteren Server vorhanden.
[UPD] [ERROR] Erzeugen der Updatestruktur ist fehlgeschlagen. Die UpdateLib liefert den Fehler 8.
Zusammenfassung:
****************
0 Dateien heruntergeladen
0 Dateien installiert
21:49:40 Das Update ist fehlgeschlagen!
Also scheinbar ist es doch keine falsche Virenmeldung gewesen.. habe daraufhin google gefragt wie man den Plagegeist los wird und nicht viel nützliches gefunden. Mein HJT log hilft mir auch nicht wirklich weiter (sieht alles in Ordnung aus für mein Verständnis). Die Wiederherstellung des Systemsicherungspunktes sagt mir "Es wurden keine Dateien geändert - daher ist eine Wiederherstellung nicht möglich". Nun Frage ich mich ob ich das Problem irgendwie beheben kann oder ob ich um ein formatieren nicht herumkomme.. wenn der Trojaner lediglich den Zugriff auf cmd und regedit einschränkt ist mir das relativ wurst, weil die kann ich auch über command.com noch starten; aber das er das Update der Virendefinitionen unterbindet ist schon sehr nervtötend.. Es gibt hier auch einen ähnlichen Thread darüber, jedoch war dort nicht die Rede von einer Unterdrückung des Virenscanner updates. Hier noch abschließend eine aktuelle HJT-log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:01:10, on 11.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.21020) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\WinFast\WFDTV\DVBTAP.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\ntvdm.exe C:\Dokumente und Einstellungen\*\Desktop\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: AutorunsDisabled O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\*\Desktop\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\*\Desktop\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Dokumente und Einstellungen\*\Desktop\Games\PokerStars\PokerStarsUpdate.exe (HKCU) O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - ht*p://dev.srtest.com/srl_bin/sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*p://ww*.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204926113359 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht*p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204926100515 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h*tp://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Unknown owner - C:\Programme\PC Connectivity Solution\ServiceLayer.exe (file missing) O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe -- End of file - 8064 bytes Nutmeg |
|
| Themen zu TR/Dldr.Agent.bips.46 eingefangen - aber wenig Auffälligkeiten |
| antivir, antivir guard, antivirus, avira, bho, bonjour, desktop, error, fehlalarm, firefox, frage, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine dateien, launch, logfile, malwarebytes' anti-malware, mozilla, nicht möglich, problem, rundll, scan, software, solution, starten, trojaner, warnung |
Linear-Darstellung
