Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/RENOS.12288

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.08.2007, 16:33   #1
Lararho
 
Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Hallo
habe seit gestern einen trojaner mit der bezeichnung TR/RENOS.12288 der sich wohl in C./windows/system32/zdwii.dll eingenistet hat. Mein AntiVir kann ihn nicht finden genauso wenig wie Norton Security Scan.
Habe die datei bereits zu virustotal geschickt habe aber noch nichts erhalten..weiss auch nicht wo er mir das hinschickt
Wäre dankbar für Hilfe
Nina

Alt 27.08.2007, 16:49   #2
Sunny
Administrator
> Competence Manager
 

Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288






Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Gruß
Sunny
__________________

__________________

Alt 27.08.2007, 18:35   #3
Lararho
 
Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\upnp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\zdwii.dll
[FUND] Ist das Trojanische Pferd TR/Renos.12288
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 27. August 2007 17:34
Benötigte Zeit: 3:31:19 min

Der Suchlauf wurde vollständig durchgeführt.

5930 Verzeichnisse wurden überprüft
261670 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
63 Dateien konnten nicht durchsucht werden
261669 Dateien ohne Befall
6901 Archive wurden durchsucht
64 Warnungen
4 Hinweise
__________________

Alt 27.08.2007, 18:36   #4
Lararho
 
Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Also das sagt AntiVir

Alt 27.08.2007, 18:45   #5
.::|||::.
 

Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Zitat:
Zitat von Lararho Beitrag anzeigen
Also das sagt AntiVir
Hat dir Sunny dazu geraten einen Ausschnitt aus dem Antivir-Scanreport zu posten?
Wenn du Hilfe willst,mache Bitte das was man dir rät!
Mfg

__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 27.08.2007, 18:47   #6
Lararho
 
Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Der macht mir das Programm nicht auf

Alt 27.08.2007, 18:57   #7
.::|||::.
 

Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Zitat:
Zitat von Lararho Beitrag anzeigen
Der macht mir das Programm nicht auf
Da reicht nicht!
Welches Programm öffnet sich nicht (evt.Fehlermeldung)? Man braucht z.T Admin-Rechte!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 27.08.2007, 18:58   #8
Lararho
 
Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Logfile of HijackThis v1.99.1
Scan saved at 19:04:56, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\MYCONT~1\UGDCcw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\MyContentAssistant\GDC.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\FehlerBeseitiger\ugescw.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Norton Security Scan\Nss.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WYBD9OON\pruefung[1].com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {5DDE5591-A8AB-4897-93EF-1E4E943F85A7} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Protection Bar - {F06E2ABE-3A50-4079-BE25-FC100D9EAA25} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MyContentAssistant] "C:\Programme\MyContentAssistant\GDC.exe"
O4 - HKLM\..\Run: [ugdccw] "C:\PROGRA~1\MYCONT~1\UGDCcw.exe" -start
O4 - HKLM\..\Run: [ugescw] "C:\PROGRA~1\FEHLER~1\ugescw.exe" -start
O4 - HKLM\..\RunOnce: [freinst] "C:\Programme\TrojanerFilter\pgs.exe" /empty
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MyContentAssistant] C:\Programme\MyContentAssistant\GDC.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 212.37.37.60 212.37.37.37
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Alt 27.08.2007, 19:03   #9
Sunny
Administrator
> Competence Manager
 

Trojaner TR/RENOS.12288 - Standard

Trojaner TR/RENOS.12288



Bedenke bitte, ich sitze nicht neben dir vor dem Rechner, du musst wirklich alles kommentieren was passiert oder auch nicht.

Arbeite nun das hier weiter ab:



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans





Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\PROGRA~1\MYCONT~1\UGDCcw.exe
C:\Programme\MyContentAssistant\GDC.exe
C:\Programme\FehlerBeseitiger\ugescw.exe (kennst du das Programm?)
C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WYBD9OON\pruefung[1].com
C:\Programme\TrojanerFilter\pgs.exe
C:\WINDOWS\system32\zdwii.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Trojaner TR/RENOS.12288
antivir, bereits, dankbar, datei, erhalte, geschickt, gestern, nichts, norton, security, troja, trojaner, virus, virustotal, wenig



Ähnliche Themen: Trojaner TR/RENOS.12288


  1. Trojaner win32/renos.mj
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (1)
  2. Trojaner Win32 Renos gefunden
    Plagegeister aller Art und deren Bekämpfung - 21.01.2011 (15)
  3. Trojaner Win32/Renos.Lx und Win32/Renos.Nx + weitere (?)
    Log-Analyse und Auswertung - 09.11.2010 (1)
  4. Trojaner TR/Renos.J.6 in C:\WINDOWS\system32\sshnas21(2).dll
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (28)
  5. Ich hab Ihn auch Renos.mq und Renos.lx
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (2)
  6. trojaner downloader win32/Renos.JW
    Log-Analyse und Auswertung - 08.07.2010 (29)
  7. habe renos.JM trojaner und kp wie ich ihn loswerde
    Plagegeister aller Art und deren Bekämpfung - 01.02.2010 (1)
  8. renos.jm Trojaner
    Log-Analyse und Auswertung - 28.01.2010 (20)
  9. renos.jm Trojaner entfernen
    Log-Analyse und Auswertung - 27.01.2010 (1)
  10. Trojaner: win32.renos.jm
    Plagegeister aller Art und deren Bekämpfung - 21.12.2009 (6)
  11. Trojaner Renos eingefangen?
    Log-Analyse und Auswertung - 05.12.2009 (13)
  12. Win32/Renos.JM Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  13. WinTrojaner: 32/Renos.N, Win32/Renos.JT, Win32/Renos.JI
    Log-Analyse und Auswertung - 05.10.2009 (11)
  14. bitte helft mir - trojaner renos
    Log-Analyse und Auswertung - 26.07.2009 (10)
  15. Trojaner Renos.DZ - Kann nichteinmal HiJackThis ausführen
    Plagegeister aller Art und deren Bekämpfung - 25.05.2009 (12)
  16. Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (22)
  17. Trojaner Renos.8192.2 help
    Plagegeister aller Art und deren Bekämpfung - 18.09.2007 (9)

Zum Thema Trojaner TR/RENOS.12288 - Hallo habe seit gestern einen trojaner mit der bezeichnung TR/RENOS.12288 der sich wohl in C./windows/system32/zdwii.dll eingenistet hat. Mein AntiVir kann ihn nicht finden genauso wenig wie Norton Security Scan. Habe - Trojaner TR/RENOS.12288...
Archiv
Du betrachtest: Trojaner TR/RENOS.12288 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.