| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Adload.BM.8 und TR/Crypt.F.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
12.09.2006, 13:20
| #1 |
 |  TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Hallo erstmal! Ich bin neu und kenn mich nicht gut mit Trojanern aus.Deswegen hoffe ich auf eure Hilfe.Also: AntiVir hat die 2 Trojaner TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen gefunden und ich weiß nicht, wie ich die wegkriegen kann! Erstmal:TR/Dldr.Adload.BM.8 ist in D:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7F1JZ5KW\drsmartload815a[1].exe und in D:\WINDOWS\system32\drsmartload815a.exe und TR/Crypt.F.Gen in D:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7F1JZ5KW\loadadv559[1].exe Wenn ich die Trojaner in dem Ordner "Temporary Internet Files" oder in "system32" lösche,sind die nach einem Neustart wieder da. Logfile of HijackThis v1.99.1 Scan saved at 14:13:25, on 12.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\brsvc01a.exe D:\WINDOWS\system32\brss01a.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\SCardSvr.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\wdfmgr.exe D:\WINDOWS\system32\UAService7.exe D:\PROGRA~1\Medion\KeyStat\KeyStat.exe D:\WINDOWS\Dit.exe D:\WINDOWS\system32\RunDll32.exe D:\WINDOWS\AGRSMMSG.exe D:\Programme\DAEMON Tools\daemon.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\vsnpstd.exe D:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE D:\WINDOWS\system32\dllmsc32.exe D:\WINDOWS\system32\dmdlgs.exe D:\WINDOWS\System32\alg.exe D:\WINDOWS\system32\iasacct.exe D:\WINDOWS\system32\wscntfy.exe D:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\WINDOWS\System32\svchost.exe D:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\svchost.exe D:\Dokumente und Einstellungen\Name\Eigene Dateien\Hijackthis\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Little Fighter 2 Toolbar Helper - {AB41010D-4804-4793-A6A2-3B5EBE2348DD} - D:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll O3 - Toolbar: Little Fighter 2 Toolbar - {C11483F7-D7D8-4804-98D8-6055470BB989} - D:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll O4 - HKLM\..\Run: [Keyboard Status] D:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [snpstd] D:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [dllmsc32] D:\WINDOWS\system32\dllmsc32.exe O4 - HKCU\..\Run: [dmdlgs] D:\WINDOWS\system32\dmdlgs.exe O4 - HKCU\..\Run: [iasacct] D:\WINDOWS\system32\iasacct.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - [url]h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab[/url O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - [url]h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab[/url O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - [url]h**ps://signup.msn.com/pages/MsnInstC.cab[/url O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - [url]h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab[/url O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - [url]h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab[/url O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - [url]h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab[/url O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe O23 - Service: cards.exe - Unknown owner - D:\WINDOWS\system32\cards.exe (file missing) O23 - Service: cdm.exe - Unknown owner - D:\WINDOWS\system32\cdm.exe O23 - Service: dfrgres.exe - Unknown owner - D:\WINDOWS\system32\dfrgres.exe O23 - Service: ds16gt.exe - Unknown owner - D:\WINDOWS\system32\ds16gt.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kbdsf.exe - Unknown owner - D:\WINDOWS\system32\kbdsf.exe (file missing) O23 - Service: ntdll.exe - Unknown owner - D:\WINDOWS\system32\ntdll.exe (file missing) O23 - Service: pubole32.exe - Unknown owner - D:\WINDOWS\system32\pubole32.exe (file missing) O23 - Service: regsvc.exe - Unknown owner - D:\WINDOWS\system32\regsvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - D:\WINDOWS\system32\UAService7.exe O23 - Service: wowfax.exe - Unknown owner - D:\WINDOWS\system32\wowfax.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Ich hoffe ,ihr könnt mir helfen! MfG MuHu |
|
13.09.2006, 14:34
| #2 |
| | TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Es wäre wirklich nett ,wenn jemand mir helfen könnte.Und bitte nicht wie "Bitte Suchfunktion benutzen!" .Habe ich bereits,aber ich versteh nur Bahnhof.Deswegen würde ich auf eine Antwort ,die alles ausführlich beschreibt,sehr freuen!
__________________ |
|
13.09.2006, 16:07
| #3 |
 | TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Hallo,
__________________also Dein Log ist ja mal unter aler Sau. Da sind sachen drinn, die ich noch nie geshen oder gehört habe.Google gibt mir über vieles auch nichts. Eigentlich würde ich ja sagen, bei Jotti und Virustotal die Datein auswerten, doch die sind auf Deinem PC net mehr vorhanden. Einiges ist noch da......lasse dies mal auswerten und Poste das Gesamte Ergebnis, einschließlich der dort angegeben Größe. Link in meiner SIG! D:\WINDOWS\system32\dfrgres.exe D:\WINDOWS\system32\dllmsc32.exe Danach sehen wir weiter...... Gruß Mellosun
__________________ |
|
13.09.2006, 18:27
| #4 |
| | TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Danke,Danke schonmal,dass du mir antwortest! Also ich hab das jetzt mit diesem Jotti gemacht ,aber weiß nicht ,was du mit der angegeben Größe meinst.Na egal ,hier erstmal das Ergebnis: Datei: dllmsc32.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/TrojanDownloader.Agent.ACR gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Malware.Agent.32 gefunden (mögliche Variante) UND Datei: dfrgres.dll Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
|
13.09.2006, 18:39
| #5 | |
| | TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Hallo, Zitat:
Wenn ich an Deiner Stelle wäre, ioch würde die Kiste Platt machen und Neuaufsetzen. Da sind soviele unbekannte Sachen drinn.........die man leider net mehr Prüfen kann, da "file missing" z.B: D:\WINDOWS\system32\cards.exe (file missing) D:\WINDOWS\system32\kbdsf.exe (file missing) D:\WINDOWS\system32\ntdll.exe (file missing) D:\WINDOWS\system32\pubole32.exe (file missing) usw. Über diese hier: D:\WINDOWS\system32\ntdll.exe (file missing) hab ich gelesen, das es sich dabei um einen Backdoor handeln soll! Wie gesagt, ich würde XP Neuaufsetzen......wenn du Dich dazu entschließen tust, Link in meiner SIG beachten. Wenn du Dich nicht dazu entschleißen willst, mache bitte einen eScann. Alles dazu gibts hier mit Anleitung . Bitte ganz genau Lesen, vorallem Punkt 5 mit der find.zip. Poste dann das Ergebniss mit hilfe dieser find.zip! Gruß Mellosun |
|
13.09.2006, 18:47
| #6 |
| | TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen Ahja die Größe steht aber nur bei diesem Virustotal . Hier nochmal das Ganze : Complete scanning result of "dllmsc32.exe", received in VirusTotal at 09.13.2006, 19:34:30 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.13.2006 no virus found Authentium 4.93.8 09.13.2006 no virus found Avast 4.7.844.0 09.13.2006 no virus found AVG 386 09.12.2006 no virus found BitDefender 7.2 09.13.2006 no virus found CAT-QuickHeal 8.00 09.13.2006 no virus found ClamAV devel-20060426 09.13.2006 no virus found DrWeb 4.33 09.13.2006 no virus found eTrust-InoculateIT 23.72.123 09.13.2006 no virus found eTrust-Vet 30.3.3076 09.13.2006 no virus found Ewido 4.0 09.13.2006 no virus found Fortinet 2.77.0.0 09.13.2006 suspicious F-Prot 3.16f 09.13.2006 no virus found F-Prot4 4.2.1.29 09.13.2006 no virus found Ikarus 0.2.65.0 09.13.2006 no virus found Kaspersky 4.0.2.24 09.13.2006 no virus found McAfee 4851 09.13.2006 no virus found Microsoft 1.1560 09.13.2006 no virus found NOD32v2 1.1754 09.13.2006 a variant of Win32/TrojanDownloader.Agent.ACR Norman 5.90.23 09.13.2006 no virus found Panda 9.0.0.4 09.12.2006 Suspicious file Sophos 4.09.0 09.13.2006 no virus found Symantec 8.0 09.13.2006 no virus found TheHacker 5.9.8.210 09.13.2006 no virus found UNA 1.83 09.13.2006 no virus found VBA32 3.11.1 09.13.2006 suspected of Malware.Agent.32 VirusBuster 4.3.7:9 09.13.2006 no virus found Aditional Information File size: 137760 bytes MD5: 48d4510974fba0047c49f2c1e6e88cd4 SHA1: 19b7b4d3de25e520187db9ff1ba37be921cac0a8 UND Complete scanning result of "dfrgres.dll", received in VirusTotal at 09.13.2006, 19:33:43 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.13.2006 no virus found Authentium 4.93.8 09.13.2006 no virus found Avast 4.7.844.0 09.13.2006 no virus found AVG 386 09.12.2006 no virus found BitDefender 7.2 09.13.2006 no virus found CAT-QuickHeal 8.00 09.13.2006 no virus found ClamAV devel-20060426 09.13.2006 no virus found DrWeb 4.33 09.13.2006 no virus found eTrust-InoculateIT 23.72.123 09.13.2006 no virus found eTrust-Vet 30.3.3076 09.13.2006 no virus found Ewido 4.0 09.13.2006 no virus found Fortinet 2.77.0.0 09.13.2006 no virus found F-Prot 3.16f 09.13.2006 no virus found F-Prot4 4.2.1.29 09.13.2006 no virus found Ikarus 0.2.65.0 09.13.2006 no virus found Kaspersky 4.0.2.24 09.13.2006 no virus found McAfee 4851 09.13.2006 no virus found Microsoft 1.1560 09.13.2006 no virus found NOD32v2 1.1754 09.13.2006 no virus found Norman 5.90.23 09.13.2006 no virus found Panda 9.0.0.4 09.12.2006 no virus found Sophos 4.09.0 09.13.2006 no virus found Symantec 8.0 09.13.2006 no virus found TheHacker 5.9.8.210 09.13.2006 no virus found UNA 1.83 09.13.2006 no virus found VBA32 3.11.1 09.13.2006 no virus found VirusBuster 4.3.7:9 09.13.2006 no virus found Aditional Information File size: 54784 bytes MD5: 89cbbe01078e12eb98c4fb2f8690c339 SHA1: fe38181c05a2b33036425105105979b39f90c58a packers: embedded Ich mach jetzt lieber das mit dem escan. |
|
| Themen zu TR/Dldr.Adload.BM.8 und TR/Crypt.F.Gen |
| adobe, avira, bho, content.ie5, dll, einstellungen, explorer, firefox, helfen, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, mozilla, mozilla firefox, neu, neustart, object, ordner, programme, rundll, software, system, trojaner, tuneup utilities, windows, windows xp |
Hybrid-Darstellung
