Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Beagle-KB2 und Virus in edlm2.exe - zu Hülfäää (https://www.trojaner-board.de/28404-beagle-kb2-virus-edlm2-exe-huelfaeaeae.html)

Erdbeerblondie 14.04.2006 16:32

Beagle-KB2 und Virus in edlm2.exe - zu Hülfäää
 
Hallo Ihr da draussen,

heute morgen hat Window ein update gemacht und das hab ich dann installiert. Ob es was damit zu tun hat oder reiner Zufall ist, auf jeden Fall wenn ich den IE, Firefox oder Outlook Express öffne bekomme ich von meinem Avast-Virenprogramm folgende Warn-Meldung:

Datei-Name: http://benininfo.com/444.jpg
Malware Name: Win32:Beagle-KB2 [Wrm]
Malware Typ: Virus/Wurm
VPS Version: 0615-3, 14.04.2006

Kann dann nur auf x Schliessen drücken oder auf "Verbindung trennen". Egal was ich anklicke, nach kurzer Zeit schliessen sich IE, Firefox oder OE von ganz alleine.

Vorher hatte ich noch eine Virenmeldung mit Virus :
Windows\System32\edlm2.exe

hab ich in Container geschoben, kam aber immer wieder bei Windows Neustart.

Zum Glück hab ich noch ein zweites Windows auf dem PC, mit dem kann ich ohne Probleme arbeiten,.... wie man hier sehen kann ;-)...

Also.... hat Jemand schon mal was von beagle-KB2 gehört oder was ist edlm2.exe und wie krieg ich das wieder loooooossss????:( :( :(

hab schon gegoogelt aber nix gefunden.:koch:

Markus1234 14.04.2006 16:37

Poste doch bitte mal ein komplettes HJT Logfile vom "unsauberen" Windows.

Erdbeerblondie 14.04.2006 16:41

für Blonde, wie soll das gehen? Kiste runterfahren, Drecks-Windows starten, hijacken, speichern, sauberes Win hochfahren und hier posten??? Oder wie???

Erdbeerblondie 14.04.2006 17:38

Logfile of HijackThis v1.99.1
Scan saved at 18:18:07, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\_AASicherheit\Sygate\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\Programme\_AASicherheit\AntiSpamWare\Spamfighter 4.0.4\SFAgent.exe
I:\Programme\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
D:\Tools\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
D:\Tools\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
I:\download-exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\_AASicherheit\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.35.127.146:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - I:\Programme\Preispiraten\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\_AASIC~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DataLayer] REM C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe"
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\_AASicherheit\AntiSpamWare\Spamfighter 4.0.4\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [UIWatcher] I:\Programme\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Ashampoo Magic Defrag.lnk = D:\Tools\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - I:\\Programme\\Preispiraten\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - I:\Programme\Preispiraten\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: RaptisoftGameLoader - http://real.gamehouse.com/real/games/raptisoft/raptisoftgameloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Programme\A***.exe (file missing)
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\Tools\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\_AASicherheit\Sygate\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\*** 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\_AASicherheit\TuneUp Utilities2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - Unknown owner - C:\WINDOWS\wanmpsvc.exe (file missing)


Bin jetzt grad mit verseuchten *g* Win hier drinne und nix passiert. Ich weiss ja auch nicht, alles sehr merkwürdig...

Vielleicht findet ja doch Jemand was in meinem HjT-Logfile...??!!??
:headbang:

Manne 24.04.2006 20:49

Mich hat die edlm2.exe auch wahnsinnig genervt...
In einem französischen Board, (http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/virus_spyware_ou_trojan-398615/messages-1.html), wird das Problem folgendermaßen gelöst:

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

Files to Delete:
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\WINDOWS\system32\edlm2.exe

Bei mir hats funktioniert, ich hoffe, bei den anderen Betroffenen auch

F_A_H 25.04.2006 07:09

Hallo
Ich habe noch eine 3. Datei gefunden die auch gelöscht werden solte:

EDLM2.EXE-2561CA28.pf --> C:\WINDOWS\Prefetch :daumenhoc

Markus1234 25.04.2006 14:50

Uff das war wohl ein Sonntag ... völlig verschlampt :D

Alle Beagle/Bagle Varianten haben eins gemeinsam:
Zitat:

Lädt Code aus dem Internet herunter
Gerade heute gab es ein nettes Beispiel, wo jemand einen Trojaner augenscheinlich entfernt hatte. Im HJT Logfile war nichts zu sehen und doch wurden Antivirenlösungen deaktiviert und und und.

"Läd Code aus dem Internet herunter" ... sicherlich kein abc und alles wird gut - code ...

In diesem Sinne kann ich nur zur Anleitung zum Neuaufsetzen weiterleiten.
Alles andere wäre keine wirkliche Lösung ...

mfg,
Markus

buli 26.04.2006 23:10

Hallo!

Ich hab erst die
C:\WINDOWS\system32\edlm2.exe und
C:\WINDOWS\system32\edlm.exe
gelöscht und aus dem Papierkorb entfernt.

Dann in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
die ldr64 gelöscht.

Am Ende bin ich dann in den abgesicherten Modus gegangen und hab
C:\WINDOWS\SYSTEM32\ldr64.dll
gelöscht.

Das war vor 4 Stunden. Seitdem meldet Norton Antivirus keinen Virus mehr.

Gruß
Buli

Markus1234 27.04.2006 13:48

Fein, Norton meldet auch keine umgeschriebenen Systemdateien oder veränderte Registrierungseinträge.

mfg,
Markus


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131