Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/obfuscated.BL !! Und was nun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2007, 15:36   #1
stormy acher
 
TR/obfuscated.BL !! Und was nun? - Icon17

TR/obfuscated.BL !! Und was nun?



Hallo community!
Ich habe mir gestern diesen Trojaner eingefangen. Natürlich aus reiner Blödheit.

Nachdem ich jetzt Forum gestöbert habe, scheint es das Beste zu sein XP SP2 neu zu installieren. (Dank an Cidre). Vielleicht gibt es für mich aber noch eine andere Lösung. Und zwar habe ich auf einer anderen Partition noch Windows 2000 installiert und könnte von dort aus booten und die betroffene Partition C scannen. Das ist jetzt so eine fixe Idee von mir, und ich habe zuwenig Ahnung von der gesamten Materie um abschätzen zu können ob dies eine Option ist.
Also meine Frage: ist das sinnvoll?
Antivir meldet bis jetzt nur .ex Dateien in C, aber ist wirklich nur C betroffen?
Ich hoffe das mir jemand helfen kann. Ich mag keine Zombies!!
Danke

Alt 07.01.2007, 15:39   #2
Sunny
Administrator
> Competence Manager
 

TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



Hallo.

Es können alle Festplatten/Partitionen betroffen sein, auch die System, die über ein Netzwerk verbunden sind.

Poste als erstes ein Hijacklog vom betroffenen System, Anleitung in meiner Signatur verlinkt.

Zusätzlich solltest du im letzten Report vom AV-Scanner nachsehen, wo der o.g. Trojaner gefunden wurde.

Gruß
Sunny
__________________

__________________

Alt 07.01.2007, 19:37   #3
stormy acher
 
TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



Hallo Sunny, hat ein wenig länger gedauert. Aber wenn das Kind schon im Brunnen liegt.
Die Auffindungsorte sind:
'C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\bauuurtv.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\ugggqtza.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\ugggqtza.exe'
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\vxcaqfvq.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\vxcaqfvq.exe'


Und hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:38, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MuteForSkype\MuteForSkype.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\freeCommander2006\freeCommander.exe
D:\Download\ANTIVIR#ANTISPY\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP07089 - {120BA604-51BC-4BB8-8627-25AF02F16885} - C:\PROGRA~1\KEYGEN~1\ZINSER~1.DLL (file missing)
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Debugpopfindblue] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Savepokedebugpop\Denttime.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HOPEUP] C:\DOKUME~1\****\ANWEND~1\PINGON~1\Mail Bows.exe
O4 - Global Startup: MuteForSkype.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


In der Hoffnung alles richtig gemacht zu haben, danke ich schon einmal für die Hilfe.
__________________

Alt 07.01.2007, 19:47   #4
Sunny
Administrator
> Competence Manager
 

TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



Arbeite das hier ab:

1.) Entfernung Swizzor.A

* Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten
-> Entfernung Swizzor.A

* Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende:

Zitat:
O4 - HKLM\..\Run: [Debugpopfindblue] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Savepokedebugpop\Denttime.ex e
O4 - HKCU\..\Run: [HOPEUP] C:\DOKUME~1\****\ANWEND~1\PINGON~1\Mail Bows.exe
O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
2.) Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:
Folder to delete:
C:\PROGRA~1\KEYGEN~1
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 09.01.2007, 16:31   #5
HH-Rahlstedt user
 
TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



Auch ich hab diesen Trojaner er ist da seit ich bei Live Messenger Plus das Sponsorenprogramm. Ich hab ihn mit Anti Vir gelöscht! Aber er kommt immer wieder. Der Pfad lautet: C:/Dokumente und Einstellungen/Anwendungsdatein/Nurb live mags und hier sind einige Anwendungen:

Wenn man die Bone 1 long ausführt ist er im Task-Manager und nimmt CPU-Auslastung weg.


Alt 09.01.2007, 17:10   #6
Sunny
Administrator
> Competence Manager
 

TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



@HH

Bitte eröffne für dein Problem einen eigenen Beitrag, da es hier zu unübersichtlich wird.

Poste auch gleich ein Hijacklog, Anleitung in meiner Signatur verlinkt.


Gruß
Sunny
__________________
--> TR/obfuscated.BL !! Und was nun?

Alt 12.01.2007, 02:05   #7
stormy acher
 
TR/obfuscated.BL !! Und was nun? - Standard

TR/obfuscated.BL !! Und was nun?



Hallo Sunny, hallo alle Anderen!

Ich habe mich bemüht, wirklich! Aber ob es gefruchtet hat? Leider hat Avenger nicht funktioniert, keinen blassen Dunst warum.

Hier die txt Datei:

Avenger Pre-Processor log

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!


Und hier das neuste Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:41:53, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MuteForSkype\MuteForSkype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: AutoUpdate Monitor.lnk.disabled
O4 - Global Startup: MuteForSkype.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mit bestem Dank

stormy acher

Antwort

Themen zu TR/obfuscated.BL !! Und was nun?
ahnung, andere, anderen, beste, booten, cidre, community, dateien, forum, frage, installiert, melde, meldet, natürlich, neu, partition, scan, scanne, schei, sinnvoll, sp2, trojaner, voll, windows, wirklich



Ähnliche Themen: TR/obfuscated.BL !! Und was nun?


  1. TR/Dldr.Obfuscated.fsy
    Log-Analyse und Auswertung - 27.01.2009 (0)
  2. TR/Obfuscated/vji.1 - 13 Warnungen
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (0)
  3. TR/Obfuscated.GX
    Mülltonne - 21.10.2008 (0)
  4. TR/Obfuscated.GX.2344
    Log-Analyse und Auswertung - 21.10.2008 (1)
  5. TR/Obfuscated
    Mülltonne - 13.10.2008 (0)
  6. TR/Obfuscated.gx.2552
    Log-Analyse und Auswertung - 11.10.2008 (3)
  7. TR/Obfuscated.GX.2151
    Mülltonne - 11.10.2008 (0)
  8. Win32.Obfuscated.gx
    Mülltonne - 30.12.2007 (1)
  9. TR/Obfuscated.BL
    Log-Analyse und Auswertung - 05.02.2007 (5)
  10. TR/Obfuscated.BL
    Log-Analyse und Auswertung - 05.02.2007 (4)
  11. TR/Obfuscated.BL bitte helfen
    Log-Analyse und Auswertung - 04.02.2007 (9)
  12. TR/Obfuscated.BL
    Plagegeister aller Art und deren Bekämpfung - 28.01.2007 (13)
  13. TR/Obfuscated.BL
    Log-Analyse und Auswertung - 24.01.2007 (3)
  14. TR/Obfuscated.BL - whuttu do?
    Plagegeister aller Art und deren Bekämpfung - 23.01.2007 (9)
  15. Hilfe ....TR/Obfuscated/BL
    Plagegeister aller Art und deren Bekämpfung - 19.01.2007 (7)
  16. TR/obfuscated.BL
    Mülltonne - 10.01.2007 (1)
  17. about blank obfuscated
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (4)

Zum Thema TR/obfuscated.BL !! Und was nun? - Hallo community! Ich habe mir gestern diesen Trojaner eingefangen. Natürlich aus reiner Blödheit. Nachdem ich jetzt Forum gestöbert habe, scheint es das Beste zu sein XP SP2 neu zu installieren. - TR/obfuscated.BL !! Und was nun?...
Archiv
Du betrachtest: TR/obfuscated.BL !! Und was nun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.