Trojaner-Board - Hilfe!!!! Hab TR/PSW.LdPinch.ger!!!! weiß nicht weiter!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe!!!! Hab TR/PSW.LdPinch.ger!!!! weiß nicht weiter! (https://www.trojaner-board.de/50434-hilfe-hab-tr-psw-ldpinch-ger-weiss.html)

Hilfe!!!! Hab TR/PSW.LdPinch.ger!!!! weiß nicht weiter!

Hab hier mal meine log file mit rein. AntiVir meldete TR/PSW.LdPinch.ger !! Weiß nicht was ich machen soll und im netz finde ich keine beschreibung die zu diesem passt...nur abwandlungen der Endung.

Bitte um Hilfe ^^ wäre echt nice wennsich einer meine log anschauen würde bzw wenn mir einer helfen könnte, wie ich ihn entfernen kann ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:07, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6253\SAService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\UAService7.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 6246 bytes

Habe eben per Echtzeitscan von Avira AntiVir denselben Virus gefunden, so komme ich zu deinem Thread. ;)

Werd wohl auch meinen HJT-Log posten müssen, evtl. Fehlalarm, jede ausführbare Datei aus dem Internet wurde vor dem Ausführen paranoiderweise auf www.virustotal.com durchgescannt! ;)

Wenn ihr vielleicht mal offenbaren würdet, wo Antivir ihn findet, dann könnte man sich auch was überlegen. Ich bin nicht mit über einer Million Sachen, die Antivir erkennen kann, per Du.

Gruß, Karl

also er findet ihn 2mal...
einmal hier:

Die Datei 'D:\Schrott\linerider-undo.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.ger' [trojan].

und nochmal :

Die Datei 'D:\System Volume Information\_restore{C158AA0C-40B9-40B8-B6E9-1AC1CD6D15BC}\RP555\A0101578.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.ger' [trojan].

Hoffe es hilft dir weiter...vielen dank schomal ;)

Irgendein Downloadlink in einem Forum, tolles Spiel, "Hat zusätzliche Funktionen!". Natürlich Malware, ich habs gerade bei Virustotal scannen lassen.

Die Datei löschen. wenn der Ordner schon "Schrott" heißt, würde ich ihn gleich komplett entsorgen :D

Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst.

Falls du einen Doppelklick auf die Datei gemacht hast, solltest Du mal ein Hijackthis Log posten.

hm ok danke erstmal für die arbeit und den tipp, aber ich kann eben die datei "linerider-undo.exe" nicht finden in dem ordner....

weiß jetzt nicht ob die datei schon nichtmehr existiert, hab auch mal nach der datei suchen lassen, aber nichts gefunden..
und was ist mit der datei 'D:\System Volume Information\_restore{C158AA0C-40B9-40B8-B6E9-1AC1CD6D15BC}\RP555\A0101578.exe' ?

löscht es diese datei, indem ich diese systemwiederherstellung ausschalte ^^

bitte nochmals um antwort, um endgültig auf nummer sicher zu gehen, aber schonmal vielen Dank für die Bemühungen ;)

Ach ja, Windows versucht eine ganze Menge vor seinen Benutzern zu verstecken. Andere mal folgende Einstellungen:

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Ja, D:\System Volume Information ist die Systemwiederherstellung für Laufwerk D:. Dort entfernt man durch das beschriebene löschen aller Wiederherstellungspunkte. Btw: wenn überhaupt, dann macht Systemwiederherstellung nur auf dem Systemlaufwerk Sinn. Wenn das also bei dir nicht D: ist, dann kannst Du sie dort ausgeschaltet lassen. In dem beschriebenen Dialog lässt sich auch für einzelne Laufwerke ein- und ausschalten.

ok, ich hab mal die dateien in der quarantäne von antiVir gelöscht und das mit der systemwiederherstellung gemacht..hoffe es ist nun wieder sicherer ^^

also herzlichsten dank für die guten ratschläge ;)

Also wenn irgendwie die Möglichkeit besteht, dass auf die Datei ein Doppelklick gemacht wurde, dann sollte das System noch genauer angesehen werden. Ich hab die Datei zwar hier, bin aber nicht soviel Märtyrer, ins Administratorkonto zu wechseln und den Doppelklick zu machen, um dann sagen zu können, was sie auf deinem System alles angestellt hat.

Nein, also ich hab ziemlich sicher keinen doppelklick ausgeführt....
Habe jetzt das mit der Systemweiderherstellung gemacht und die datei in der Quarantäne gelöscht...nun hoffe ich mal dass alles weider soweit in Ordnung ist!

Danke für die HIlfe...ich kann auch nochmal meine aktuelle log hochladen, wenn sich die jemand anschauen will ;)

bis denn, dankeschön