Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.CN.1 Antivir Meldung (https://www.trojaner-board.de/55347-tr-dldr-cn-1-antivir-meldung.html)

MoeChillero 04.07.2008 00:37
TR/Dldr.CN.1 Antivir Meldung
 
Hallo,

nach dem Antivir beim aufrufen einer Meldung immer doppelt eine Viruswarnung "TR/Dldr.CN.1 findet, habe ich einen Kaspersky online check gemacht und Hijack Log erstellt:

Hier die Kaspersky Auswertung:

Name des infizierten Objekts Virusname Letzte Aktion
C:\Archivos de programa\Microsoft Office\OFFICE11\Macros\EUROTOOL.XLA Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Historial\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Historial\History.IE5\MSHist012008070320080704\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Temp\~DFC6B7.tmp Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Configuración local\Temp\~DFDA58.tmp Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\Escritorio\Copia de slip control.xls Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\HJ\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{F3EA28DF-8141-4C72-AC1E-A548F1B7D7CB}\RP59\change.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\GI2QFB8D\day[1].js Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\WV599LSO\index[1].htm Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen



Und das Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:45, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Lexmark X74-X75\lxbbbmgr.exe
C:\Archivos de programa\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\archivos de programa\avira\antivir personaledition classic\avcenter.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Archivos de programa\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxtp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214840409921
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA61411E-7EC6-4A04-AD22-C1D12A812259}: NameServer = 200.48.225.130,200.48.225.146
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

--
End of file - 6049 bytes



habe bei Google leider nichts ueber den Virus gefunden, wenn mir irgendjemand sagen kann wie ich ihn loswerde, waere ich sehr erfreut.

Danke

KarlKarl 04.07.2008 01:26
Hi,

und wo findet Antivir den? All deine andere Logs zeigen nichts. wenn Du nicht mit mehr Informationen rüber rücken kannst, kann ich dir eigentlich nur formatieren und neuinstallieren empfehlen mit dem Reisiko dass die Meldung wieder kommt, wenn es z.B. nur ien Fehlalarm ist.

Gruß, Karl

MoeChillero 04.07.2008 16:29
Die Datei wird "irgendwo" in C:/Dokumente und Einstellungen/Aktueller Benutzer gefunden. In einer Datei namens "day[1].js". Der Pfad der dazwischen liegt kann ich aufgrund des zu kleinen Antivir Fenster nicht sehen, habe auch keine moeglichkeit gefunden den Pfad komplett anzeigen zu lassen, Fenster kann ich jedenfalls nicht vergroessern und wenn ich auf Virusinformationen anzeigen klicke, kommt nur Werbung fuer das kostenpflichtige Antivir.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19