Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.PurScan.B.1 - wie werde ich den los ? (https://www.trojaner-board.de/9142-tr-dldr-purscan-b-1-los.html)

LastDrow 03.11.2004 14:20
TR/Dldr.PurScan.B.1 - wie werde ich den los ?
 
Hallo !
AntiVir hat den o.g. Trojaner auf meinem System entdeckt, konnte ihn aber nicht entfernen. Was kann ich tun ?

Danke
Steven

Shadowdance 03.11.2004 14:50
Hallo LastDrow,

kannst Du bitte den Pfad angeben, wo der Virus gefunden worden ist?
Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

LastDrow 04.11.2004 09:05
Der Virus wurde laut AntiVir hier entdeckt:
Reportdatei von AntiVir :

C:\Dokumente und Einstellungen\i\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHISAA57
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurScan.B.1
--> MediaTicketsInstaller.INF
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MFAZ6HM7
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.INF
HINWEIS! Der Archivheader ist defekt
--> MediaTicketsInstaller.ocx
Die Datei enthält Signatur des PMS/Drop.Wintsu-Programmes und wurde vom Benutzer unterdrückt.
--> MediaTicketsInstaller.ocx
HINWEIS! Der Archivheader ist defekt


Hier der HiJacker Log:
Logfile of HijackThis v1.98.2
Scan saved at 09:00:46, on 04.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Workshop\GVWin.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.onvista.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {13111111-1111-1111-1111-111111111162} - file://C:\Windows\e.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - hxxp://www.ravantivirus.com/scan/ravonline.cab


Gruß
Steven

Shadowdance 04.11.2004 09:27
@ LastDrow,

leere bitte den Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5 - entweder von Hand oder hiermit: Clear Prog.

Überprüfe mit dem online-scan von virusscan.jotti.dhs.org

C:\Programme\Workshop\GVWin.exe

Ergebnis?

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und wenn Du folgende Einträge nicht kennst/brauchst bitte mit Hijack This fixen (Häk'chen setzen und fix checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/

Folgende Datei bitte vor dem fixen auf Diskette sichern -> Dialer-Hinweis

O16 - DPF: {13111111-1111-1111-1111-111111111162} - file://C:\Windows\e.exe

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD

LastDrow 05.11.2004 09:36
Hallo !
Den Ordner habe ich mit ClearProg geleert.
Der Onlinscan funzt nicht (liegts vielleicht an der langsamen modemVerbindung?). Die Datei GVWin.exe gehört aber zu einem Büroprogramm.
Die beiden Dateien habe ich mit Hijack im abgesicherten Modus usw. gefixt !
Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 09:32:08, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis1982\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - hxxp://www.ravantivirus.com/scan/ravonline.cab

LastDrow 05.11.2004 13:28

DANKE !!

Ich bin ihn los. Zumindest findet AntiVir nichts mehr. :aplaus:
Ich vermute mal entweder das CleanProg oder die Löschung der e.exe wars, aber egal.
Ich werde mir wohl lieber auch ein eingeschränktes Konto zum surfen einrichten !

Liebe Grüße
Steven

Shadowdance 05.11.2004 15:15
@ LastDrow,

schön, das freut mich für Dich!

Ich gebe Dir noch ein bisschen Lektüre mit auf den Weg:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- (Einschränktes Benutzerkonto: www.ntsvcfg.de - bereits bekannt)
- faq.underflow.de

Alles Gute,

SD

LastDrow 15.03.2011 21:43
Hallo,

wie kann man alte Beiträge bearbeiten? Würde gern den Namen oben entfernen. Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131