TR/Dldr.PurScan.B.1 - wie werde ich den los ?

LastDrow · 03.11.2004, 14:20

Hallo !
AntiVir hat den o.g. Trojaner auf meinem System entdeckt, konnte ihn aber nicht entfernen. Was kann ich tun ?

Danke
Steven

Shadowdance · 03.11.2004, 14:50

Hallo LastDrow,

kannst Du bitte den Pfad angeben, wo der Virus gefunden worden ist?
Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

LastDrow · 04.11.2004, 09:05

Der Virus wurde laut AntiVir hier entdeckt:
Reportdatei von AntiVir :

C:\Dokumente und Einstellungen\i\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHISAA57
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurScan.B.1
--> MediaTicketsInstaller.INF
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MFAZ6HM7
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.INF
HINWEIS! Der Archivheader ist defekt
--> MediaTicketsInstaller.ocx
Die Datei enthält Signatur des PMS/Drop.Wintsu-Programmes und wurde vom Benutzer unterdrückt.
--> MediaTicketsInstaller.ocx
HINWEIS! Der Archivheader ist defekt

Hier der HiJacker Log:
Logfile of HijackThis v1.98.2
Scan saved at 09:00:46, on 04.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Workshop\GVWin.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.onvista.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {13111111-1111-1111-1111-111111111162} - file://C:\Windows\e.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - hxxp://www.ravantivirus.com/scan/ravonline.cab

Gruß
Steven

Shadowdance · 04.11.2004, 09:27

@ LastDrow,

leere bitte den Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5 - entweder von Hand oder hiermit: Clear Prog.

Überprüfe mit dem online-scan von virusscan.jotti.dhs.org

C:\Programme\Workshop\GVWin.exe

Ergebnis?

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und wenn Du folgende Einträge nicht kennst/brauchst bitte mit Hijack This fixen (Häk'chen setzen und fix checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/

Folgende Datei bitte vor dem fixen auf Diskette sichern -> Dialer-Hinweis

O16 - DPF: {13111111-1111-1111-1111-111111111162} - file://C:\Windows\e.exe

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD

LastDrow · 05.11.2004, 09:36

Hallo !
Den Ordner habe ich mit ClearProg geleert.
Der Onlinscan funzt nicht (liegts vielleicht an der langsamen modemVerbindung?). Die Datei GVWin.exe gehört aber zu einem Büroprogramm.
Die beiden Dateien habe ich mit Hijack im abgesicherten Modus usw. gefixt !
Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 09:32:08, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis1982\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - hxxp://www.ravantivirus.com/scan/ravonline.cab

LastDrow · 05.11.2004, 13:28

DANKE !!

Ich bin ihn los. Zumindest findet AntiVir nichts mehr. :aplaus:
Ich vermute mal entweder das CleanProg oder die Löschung der e.exe wars, aber egal.
Ich werde mir wohl lieber auch ein eingeschränktes Konto zum surfen einrichten !

Liebe Grüße
Steven

Shadowdance · 05.11.2004, 15:15

@ LastDrow,

schön, das freut mich für Dich!

Ich gebe Dir noch ein bisschen Lektüre mit auf den Weg:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- (Einschränktes Benutzerkonto: www.ntsvcfg.de - bereits bekannt)
- faq.underflow.de

Alles Gute,

SD

LastDrow · 15.03.2011, 21:43

Hallo,

wie kann man alte Beiträge bearbeiten? Würde gern den Namen oben entfernen. Danke!

TR/Dldr.PurScan.B.1 - wie werde ich den los ?

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.PurScan.B.1 - wie werde ich den los ?