Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus:Trj/Downloader.GK und Starseitenänderung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.11.2004, 14:16   #1
kojack
 
Virus:Trj/Downloader.GK und Starseitenänderung - Beitrag

Virus:Trj/Downloader.GK und Starseitenänderung



Hallo =)
ich hab das Problem, dass ab und zu meine startseite zu "www.real-search.cc" geändert wird!
Ich hab den aktivscan von "http://www.pandasoftware.com/activescan/" laufen lassen und der sagt mir, dass ich den "Virus:Trj/Downloader.GK" in gleich zwei Ordnern haben soll.
Und wenn ich AntiVir laufen lasse sagt der mir, dass in den Archiven, conscorr.cab und localNrd.cab, eine oder mehrere Datein infiziert sein! Ich glaub mit "TR/Dldr.Stubby.C" (in conscorr) und "TR/Dldr.Krepper.3" (in localNrd)!
Hier noch die log-file mit der neuen hijackthis-version:

Logfile of HijackThis v1.98.2
Scan saved at 14:10:52, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
D:\Download\Programms\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\Cojack\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://82.179.166.192/search.php?v=6&aff=197100
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=197100
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [kmzotejizkb] C:\WINDOWS\System32\zdablpu.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Download\Programms\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100009679593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Wär euch echt dankbar, wenn ihr mir sagen könntet, wie ich die lästigen Dinger loswerde ohne C: formatieren zu müssen!

Dank euch schonmal im voraus!!

kojack

Alt 21.11.2004, 14:20   #2
kojack
 
Virus:Trj/Downloader.GK und Starseitenänderung - Standard

Noch ein anhang



PS: hier noch die Reportdatei von AntiVir...vielleicht hilf die ja wem bei der "Diagnose"!

Start des Suchlaufs: Sonntag, 21. November 2004 13:03

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SoftwareDistribution\EventCache
{F307694C-5EAC-47A5-85B3-FCD1D444ECA0}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
{8FCAF82D-F612-4D69-8ED9-5BA26D76F3F7}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Cojack\Lokale Einstellungen\Temp
conscorr.cab
ArchiveType: CAB (Microsoft)
--> conscorr.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Stubby.C
localNrd.cab
ArchiveType: CAB (Microsoft)
--> polall1l.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Krepper.3
C:\Dokumente und Einstellungen\Cojack\Lokale Einstellungen\Temp\THI78E7.tmp
localNrd.cab
ArchiveType: CAB (Microsoft)
--> polall1l.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Krepper.3
C:\Dokumente und Einstellungen\Cojack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43PJ2ENL
HC_USTV[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\Cojack\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5QFOD2Z
Type=click&FlightID=2016376&AdID=2033851&TargetID=2007831&Targets=2005374,2006301,2005970,2005269,2006347,2006098,2004957,2007781,2006455,2004961[2].htm
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
__________________


Alt 21.11.2004, 14:29   #3
Cidre
Administrator, a.D.
 
Virus:Trj/Downloader.GK und Starseitenänderung - Standard

Virus:Trj/Downloader.GK und Starseitenänderung



Auch wenn du es nicht gern hören willst, es bleibt imho nur ein Neuaufsetzen als sicherste Lösung übrig, da bereits ein Wurm mit Backdoor Funktionalität aktiv war.
http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
Siehe http://www.sophos.de/virusinfo/analy...2agobotlz.html
__________________
__________________

Alt 21.11.2004, 14:35   #4
kojack
 
Virus:Trj/Downloader.GK und Starseitenänderung - Standard

Virus:Trj/Downloader.GK und Starseitenänderung



Danke für die leider doch recht vernichtende Diagnose =/
mein Festplatte ist in zwei "aufgeteilt"....muss ich jetzt beide formatieren oder reicht es, wenn ich die formatiere, wo ich Win xp drauf hab?

Alt 21.11.2004, 15:01   #5
Cidre
Administrator, a.D.
 
Virus:Trj/Downloader.GK und Starseitenänderung - Standard

Virus:Trj/Downloader.GK und Starseitenänderung



Besser wäre es, wenn beide Partitionen platt gemacht werden, jedoch sollte die Systempartition ausreichen.

__________________
Gruß, Cidre


Antwort

Themen zu Virus:Trj/Downloader.GK und Starseitenänderung
adobe, antivir, avg, bho, cyberlink, dateien, explorer, file missing, formatieren, hijack, home, icq, infiziert, internet, internet explorer, launch, log-file, mehrere, messenger, microsoft, neue, ordner, problem, programme, system, temp, virus, windows, windows messenger, windows xp




Ähnliche Themen: Virus:Trj/Downloader.GK und Starseitenänderung


  1. not-a-virus:Downloader.Win32.Somato.h
    Log-Analyse und Auswertung - 06.10.2015 (1)
  2. Malware durch dubiosen Downloader (Lightning Downloader)
    Log-Analyse und Auswertung - 10.07.2015 (9)
  3. yourfile downloader. Virus oder Adware?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2014 (19)
  4. TR/Downloader.Gen2 Virus am Laptop
    Log-Analyse und Auswertung - 26.08.2013 (13)
  5. Virus? Facebook-Downloader als Startseite - ich bekomme ihn nicht weg
    Plagegeister aller Art und deren Bekämpfung - 05.08.2013 (17)
  6. Trojan Downloader: Win32 Adload.DA-Virus
    Plagegeister aller Art und deren Bekämpfung - 19.07.2013 (9)
  7. Win32.Downloader.gen Virus
    Log-Analyse und Auswertung - 16.06.2013 (19)
  8. Win32.Downloader.gen Virus
    Log-Analyse und Auswertung - 03.04.2013 (15)
  9. WICHTIG!! Virus legt Pc lahm.. Downloader.lop
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (1)
  10. Virus (Trojan Downloader)
    Plagegeister aller Art und deren Bekämpfung - 17.04.2009 (35)
  11. Downloader Virus, bitte mal Logfile checken
    Log-Analyse und Auswertung - 26.05.2008 (3)
  12. Virus Trojan-Downloader.Win32.Agent.jde
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (1)
  13. Virus ''Downloader''! Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 16.10.2007 (6)
  14. Virus entdekt Downloader Troian
    Log-Analyse und Auswertung - 28.10.2005 (5)
  15. virus Trojan downloader win32 dyfuca.dk
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (13)
  16. Heuristic/Java Downloader - VIRUS
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (7)
  17. Virus Trojan-Downloader.Win32.Small.acw
    Plagegeister aller Art und deren Bekämpfung - 15.01.2005 (7)

Zum Thema Virus:Trj/Downloader.GK und Starseitenänderung - Hallo =) ich hab das Problem, dass ab und zu meine startseite zu "www.real-search.cc" geändert wird! Ich hab den aktivscan von "http://www.pandasoftware.com/activescan/" laufen lassen und der sagt mir, dass ich - Virus:Trj/Downloader.GK und Starseitenänderung...
Archiv
Du betrachtest: Virus:Trj/Downloader.GK und Starseitenänderung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.