Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ist das Trojanische Pferd TR/Dialer.KK

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.11.2005, 16:30   #1
ger@ld
 
Ist das Trojanische Pferd TR/Dialer.KK - Cool

Ist das Trojanische Pferd TR/Dialer.KK



Netten Gruß und Hallo erstmal!!

Seit einiger Zeit bekomme ich von AV folgende Meldung (siehe auch Anhang):
____________________________
C:\DOKUME~1\USERNAME\LOKALE~1\TEMP\23327.EXE
Ist das Trojanische Pferd TR/Dialer.KK
____________________________

HJT:

Logfile of HijackThis v1.99.1
Scan saved at 17:12:55, on 03.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\cisvc.exe
c:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Parallel Tasking\ptask.exe
C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\WINDOWS\Dit.exe
C:\Programme\Archive\archive.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\dokumente und einstellungen\all users\dokumente\weblcr\_weblcr.exe
C:\Programme\highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h****w.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programme\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Archive] C:\Programme\Archive\archive.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - h****w.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .ivr: C:\Programme\Internet Explorer\PLUGINS\NPRVRT32.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - c:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
______________________________

Muss ich neu aufsetzen oder gibt es noch Hoffnung??

Vielen Dank schonmal für eure Hilfe!!

ger@ld
Miniaturansicht angehängter Grafiken
Ist das Trojanische Pferd TR/Dialer.KK-unbenannt-1.jpg  

Alt 03.11.2005, 16:43   #2
Wildone
 
Ist das Trojanische Pferd TR/Dialer.KK - Standard

Ist das Trojanische Pferd TR/Dialer.KK



Hallo,
beende mal folgende Prozesse im Taskmanager:
C:\Programme\Parallel Tasking\ptask.exe
C:\Programme\Archive\archive.exe
c:\dokumente und einstellungen\all users\dokumente\weblcr\_weblcr.exe
überprüfe die zugehörigen Dateien hier, und poste die jeweiligen Ergebnisse.

Edit
und wenn du schon dabei bist kannst du ja auch gleich die C:\DOKUME~1\USERNAME\LOKALE~1\TEMP\23327.EXE überprüfen (Dateien suchen )

Grüße Wildone
__________________


Alt 03.11.2005, 17:49   #3
ger@ld
 
Ist das Trojanische Pferd TR/Dialer.KK - Standard

Ist das Trojanische Pferd TR/Dialer.KK



Datei: ptask.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:

AntiVir Trojan/Dldr.Centim.gen.2 gefunden
ClamAV Trojan.Downloader.Ptask gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Centim.dj gefunden
NOD32 a variant of Win32/TrojanDownloader.Centim gefunden
VBA32 Trojan-Downloader.Agent.24 gefunden (mögliche Variante)
__________________________
Datei: archive.exe
Status: INFIZIERT/MALWARE

Entdeckte Packprogramme:
AntiVir Trojan/Dldr.Centim.gen.2 gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Centim.ci gefunden
NOD32 a variant of Win32/TrojanDownloader.Centim gefunden
VBA32 Trojan-Downloader.Agent.24 gefunden (mögliche Variante)
__________________________

Datei: _webLCR.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX

VBA32 Trojan.Delf.46 (paranoid heuristics) gefunden (mögliche Variante)

__________________________
23327.EXE ist nicht zu finden, die zahl vor dem prefix ändert sich aber auch bei jeder meldung.

Im tempverzeichnis fand ich allerdings 15846.exe (0 Bytes) -> The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.
__________________

Geändert von ger@ld (03.11.2005 um 18:04 Uhr)

Alt 03.11.2005, 18:08   #4
Wildone
 
Ist das Trojanische Pferd TR/Dialer.KK - Standard

Ist das Trojanische Pferd TR/Dialer.KK



Hallo,
danngehe mal in den abgesicherten Modus (F8 beim booten) und lösche folgende Dateien:
C:\Programme\Parallel Tasking\ptask.exe (am besten gleich den ganzen Ordner)
C:\Programme\Archive\archive.exe "
c:\dokumente und einstellungen\all users\dokumente\weblcr\_weblcr.exe
C:\DOKUME~1\USERNAME\LOKALE~1\TEMP\23327.EXE (falls du sie findest)

dann fixt du folgende Einträge mit HijackThis:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programme\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [Archive] C:\Programme\Archive\archive.exe
O15 - Trusted Zone: *.musicmatch.com (falls unbekannt)
O15 - Trusted Zone: *.musicmatch.com (HKLM)

Lass danach noch mal CleanUp! drüberlaufen, damit sollte sich das Problem mit der 23327.EXE erledigt haben.


Grüße Wildone


Grüße Wildone

Alt 03.11.2005, 19:09   #5
ger@ld
 
Ist das Trojanische Pferd TR/Dialer.KK - Standard

Ist das Trojanische Pferd TR/Dialer.KK



Ok vielen Dank,
wurde alles soweit durchgeführt bis das Löschen der 23327.EXE, die wie vom Erdboden verschwunden ist.


Falls die og. Meldung nicht mehr kommt bist du heute am "Welttag des Mannes" der Mann des Tages!

Beste Grüße

Ger@ld


Antwort

Themen zu Ist das Trojanische Pferd TR/Dialer.KK
adobe, adobe reader, antivir, bho, dateien, drivers, einstellungen, excel, explorer, firefox, highjackthis, hijack, hijackthis, hotkey, icq, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, neu aufsetzen, programme, software, system, temp, thomson, tuneup utilities, urlsearchhook, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Ist das Trojanische Pferd TR/Dialer.KK


  1. Trojanische Pferd
    Log-Analyse und Auswertung - 20.06.2010 (3)
  2. Trojanische Pferd TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2008 (8)
  3. Das Trojanische Pferd TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2008 (4)
  4. Trojanische Pferd TR/Rootkit.Gen
    Mülltonne - 16.04.2008 (0)
  5. Trojanische Pferd TR/Agent.VB.CB
    Plagegeister aller Art und deren Bekämpfung - 07.02.2008 (16)
  6. Trojanische Pferd TR/Sniffer.VB.C.2
    Plagegeister aller Art und deren Bekämpfung - 24.06.2007 (8)
  7. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  8. Was nun das Trojanische Pferd TR/Rootkit.L ist da
    Plagegeister aller Art und deren Bekämpfung - 16.07.2005 (2)
  9. Trojanische Pferd TR/Rootkit.L
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (8)
  10. Trojanische Pferd TR/Cleaner.A
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (3)
  11. Trojanische Pferd TR/Pakes.2
    Plagegeister aller Art und deren Bekämpfung - 09.04.2005 (23)
  12. Trojanische Pferd TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 26.02.2005 (3)
  13. Trojanische Pferd TR StartPage.qr.DLL
    Log-Analyse und Auswertung - 20.02.2005 (0)
  14. Trojanische Pferd TR/StartPage.qr.DLL
    Plagegeister aller Art und deren Bekämpfung - 10.02.2005 (6)
  15. Trojanische Pferd TR/Ciadoor.13.A
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (5)
  16. Trojanische Pferd TR/StartPage.lj
    Log-Analyse und Auswertung - 21.01.2005 (4)
  17. Trojanische Pferd TR/Dia ??
    Plagegeister aller Art und deren Bekämpfung - 12.01.2004 (2)

Zum Thema Ist das Trojanische Pferd TR/Dialer.KK - Netten Gruß und Hallo erstmal!! Seit einiger Zeit bekomme ich von AV folgende Meldung (siehe auch Anhang): ____________________________ C:\DOKUME~1\USERNAME\LOKALE~1\TEMP\23327.EXE Ist das Trojanische Pferd TR/Dialer.KK ____________________________ HJT: Logfile of HijackThis v1.99.1 - Ist das Trojanische Pferd TR/Dialer.KK...
Archiv
Du betrachtest: Ist das Trojanische Pferd TR/Dialer.KK auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.