Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: dialer.gd + classloader.z

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.01.2005, 00:40   #1
Marcello78
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



Hallöchen

Um es kurz zu machen: hab meinen liter Bier bereits getrunken. Danke @DaSnyper

also, zu meinem problem:

Bei einem laptop meiner freunde sind nach dem escan folgende zwei einträge "hängen" geblieben:

Trojan.Win32.Dialer.gd (C:\Windows\System\tmpfile.exe)
und
trojan.Java.ClassLoader.z (C:\Windows\Temp\0A21EC28.TMP\blackbox.class)

hab die files dann manuell (im abgesicherten Modus) gelöscht und anschliessend hijack-this "laufen gelassen" und in der automatischen Auswertung auswerten lassen (klingt komisch, is aber so )

Nun denn. Die Files, http://***.v73.us ff (der offensichtliche dialer, oder?). hab ich dann mit hijack-this fixen lassen. Nach erfolgtem neustart erscheint aber alles wieder und die startseite ist wieder obengenannte. hab hier auch ein log-file, des hijack-this:

Logfile of HijackThis v1.99.0
Scan saved at 20:42:19, on 20.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.v73.us/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.v73.us/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.v73.us/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.v73.us/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v73.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.v73.us/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.v73.us/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.v73.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.v73.us
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [YAMAHA DS-XG Launcher] c:\windows\dslaunch.exe
O4 - HKLM\..\Run: [HKserv.exe] C:\Programme\Sony\HotKey-Dienstprogramm\HKserv.exe
O4 - HKLM\..\Run: [Smart Connect Monitor] C:\Programme\Sony\1394\SCMon.exe
O4 - HKLM\..\Run: [Smart Connect Setup] C:\Programme\Sony\1394\SCSetup.exe -c
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - Startup: PowerPanel.lnk = C:\Programme\PowerPanel\PROGRAM\PcfMgr.exe
O4 - Startup: BatteryScope.lnk = C:\Programme\BatteryScope\batmgr.exe
O4 - Startup: PPK Setup (Server).lnk = C:\Programme\Sony\PPK Setup\SESERVE.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\STMS.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O21 - SSODL: eplrr9 - {505D6280-62AA-11D9-A237-0000C5DD1231} - C:\WINDOWS\SYSTEM\mspdnx.dll

was mach ich hier falsch? kann mir da jemand mit rat zur seite stehen?

was mich persönlich "stutzig" macht, ist der eintrag 021....kennt das jemand? muss ich den auch fixen (inkl. all den anderen R0 und R1)? jotthi konnte nichts auffälliges finden....

natürlich hab ich auch spybot search and destroy 1.3 und ad-aware "laufen lassen".

auf einer anderen (english) site hab ich folgendes gefunden:

Delete files/folder from the following directories (But not the directory itself, for example delete all files/folder IN temp.
C:\Windows\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\ <<<This will delete your files in your internet cache--including cookies.
C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
Empty your "Recycle Bin"

ist das die lösung? also, escan und manuell löschen, dann hijack-this, dann spybot search and destroy, dann ad-aware und dann noch die obengenannten dateien innerhalb des Ordners löschen? sitzt dieser "dialer" irgendwo in den "nicht gelöschten" temp files oder seh ich das falsch?

Ich bedanke mich schon jetzt für eure unterstützung und erklärung!

Gruss
Marcello

Alt 21.01.2005, 00:48   #2
cronos
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



Aufgefallen, das IE 5.x benutzt wird ist dir anscheinend nicht.
Zitat:
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Sonst hättest ja wohl zu nem windowsupdate geraten.
Abgesicherter Modus und deaktivieren der Systemwiederherstellung bekannt?
__________________

__________________

Alt 21.01.2005, 00:50   #3
Marcello78
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



hi cronos

doch, das mit IE ist mir auch aufgefallen und wollte dann auch firefox runterladen, jedoch bricht das netz dann immer zusammen. ich werde dies nun von meinem pc herunterladen und ihm dann installieren.

systemwiederherstellung bei WIN98 hab ich net gfunden...ups...hättest du da 'n tip?
__________________

Alt 21.01.2005, 00:53   #4
cronos
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



Sorry mit der Systemwiederherstellung-hab übersehen, dass du von Win 98 sprichst.Gibts da nicht.
Deine Firefoxlösung bringt nix, da der IE sich ja immer noch auf dem anderen PC befindet und Sicherheitslücken aufweisst.
Deswegen muss das System auf diesem PC upgedated werden.
__________________
Only cronos endures

Alt 21.01.2005, 00:58   #5
Marcello78
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



okey. das heisst, ich werde auf dem anderen pc das ganze system updaten, zusätzlich als "supplement" firefox installieren und den ganzen vorgang mit escan und hijack-this, ad-aware, spybot search and destroy nochmals wiederholen?


Alt 21.01.2005, 01:20   #6
Marcello78
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



@cronos
ich denke, ich beantworte mir diese frage selber....

Ich bedanke mich!

Alt 21.01.2005, 02:34   #7
cronos
 
dialer.gd + classloader.z - Standard

dialer.gd + classloader.z



Hilf dir selbst, dann hilft dir Gott!
Oder wie heisst es so schön?

Zu diesem Thema:
Zitat:
Delete files/folder from the following directories (But not the directory itself, for example delete all files/folder IN temp.
C:\Windows\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\ <<<This will delete your files in your internet cache--including cookies.
C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
Empty your "Recycle Bin"
Ist ja gut und schön.Empfehle ich ja manchmal auch.Dann weiss ich aber, dass Malware entweder in den TEMP Ordnern gefunden oder in dem Ornder Content.IE5.Dafür gibt es sogar ein Proggie das unter www.clearprog.de zu finden ist.
Aber hier eben nicht.
Du hast ja nicht deinen ganzen Escan Log gepostet.Wie man das macht lässt sich durch Forensuche rausfinden.
Zu deinem Eintrag:
O21 - SSODL: eplrr9 - {505D6280-62AA-11D9-A237-0000C5DD1231} - C:\WINDOWS\SYSTEM\mspdnx.dll
kann ich dir erstmal nur folgenden Link geben:
http://www.trojaner-board.de/51130-a...ijackthis.html
Man beachte was bei O21 steht

Ansonsten stehts dir auch frei, diese datei:
C:\WINDOWS\SYSTEM\mspdnx.dll
Unter diesem Link zu scannen:
http://virusscan.jotti.org/de
__________________
Only cronos endures

Antwort

Themen zu dialer.gd + classloader.z
8.tmp, abgesicherten modus, ad-aware, auswerten, bho, c:\windows\temp, confused, danke, escan, explorer, google, helper, hijack-this, hijackthis, home, hängen, internet, internet explorer, log-file, löschen, löschen?, neustart, problem, programme, recycle, registry, rundll, seiten, server, software, system, temp, träge, windows, windows\temp



Ähnliche Themen: dialer.gd + classloader.z


  1. JAVA/ClassLoader.AB
    Log-Analyse und Auswertung - 13.05.2011 (21)
  2. Avira findet JAVA/ClassLoader.AB
    Log-Analyse und Auswertung - 10.03.2011 (12)
  3. Antivir meldete Trojaner und Viren unter anderem Java/ClassLoader.AB + TR.Dldr.Laconic.B
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (96)
  4. Multiple Infektionen meines Systems u.a. TR/Dropper.Gen, JAVA/ClassLoader.AV...
    Plagegeister aller Art und deren Bekämpfung - 17.12.2010 (1)
  5. Problem mit Virus \ Java/ClassLoader.BO \
    Log-Analyse und Auswertung - 26.11.2010 (0)
  6. JAVA/ClassLoader - Virus oder Falschmeldung?
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (9)
  7. JAVA/ClassLoader.AG
    Plagegeister aller Art und deren Bekämpfung - 07.10.2010 (1)
  8. Java/ClassLoader.AA Trojaner entfernen
    Antiviren-, Firewall- und andere Schutzprogramme - 31.12.2007 (7)
  9. Trojan.Java.ClassLoader.as
    Plagegeister aller Art und deren Bekämpfung - 06.11.2007 (1)
  10. Zustand nach Trojan.Java.ClassLoader.ao
    Log-Analyse und Auswertung - 28.06.2007 (2)
  11. Bytverify /Classloader
    Log-Analyse und Auswertung - 04.08.2006 (3)
  12. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  13. Trojan.Java.ClassLoader gefunden - wie kann ich ihn entfernen?
    Log-Analyse und Auswertung - 16.05.2005 (1)
  14. ClassLoader.C
    Plagegeister aller Art und deren Bekämpfung - 25.04.2004 (1)
  15. TR/ClassLoader
    Plagegeister aller Art und deren Bekämpfung - 06.12.2003 (0)
  16. Trojan.Java.ClassLoader.D
    Plagegeister aller Art und deren Bekämpfung - 29.11.2003 (0)
  17. TR/ClassLoader.E
    Plagegeister aller Art und deren Bekämpfung - 05.11.2003 (9)

Zum Thema dialer.gd + classloader.z - Hallöchen Um es kurz zu machen: hab meinen liter Bier bereits getrunken. Danke @DaSnyper also, zu meinem problem: Bei einem laptop meiner freunde sind nach dem escan folgende zwei einträge - dialer.gd + classloader.z...
Archiv
Du betrachtest: dialer.gd + classloader.z auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.