Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Blauer Bildschirm / TR/Dldr.FraudLoa.NC

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.08.2008, 21:04   #1
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hallo,
ich hab ein Problem wie viele andere und hoffe das mir speziell geholfen wird.
Vor kurzem habe ich einen blauen Desktop bekommen mit einer Meldung das Spyware detectet wurde. Mit Combofix konnte ich das Problem beseitigen, es taucht nur leider immer wieder auf....
Seitdem habe ich auch laufen Meldungen über Trojaner "siehe oben im Thema"
Mein Betriebssystem ist Windows XP.
Kann man folgende Webseite auf Viren und Trojanerprüfen lassen? h**p://w*w.dota-league.com/
Hab das Gefühl das immer beim Aufruf der Seite vermehrt Meldungen von Antivir kommen.
Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger

Alt 19.08.2008, 21:36   #2
-SilverDragon-
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Zitat:
Zitat von iceONdope Beitrag anzeigen
Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger
Aber du hast Combofix auf eigene Initiative ausgeführt, und das ist nicht gut, nur wenn es dir jemand aus dem Kompetenzteam empfiehlt, solltest du es anwenden.

Guck mal unter C:\ oder C:\Combofix ob da eine Combofix.txt liegt und poste den Inhalt dieser Textdatei in diesen Thread.

Desweiteren lasse SmitfraudFix scannen und Poste den Report, geh nach der Anleitung auf der verlinkten Seite vor.
Poste danach den Report.
__________________


Alt 20.08.2008, 01:00   #3
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hier der ComboFix-Report
(ich hab keine Ahnung wie man so ein Kästchen mir Scrollbar einfügt, so das der Text hier nicht so lang wird, sry)



ComboFix 08-08-16.01 - Borsti 2008-08-19 18:52:37.1 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Borsti\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Programme\rhcrt5j0elea
C:\WINDOWS\system32\pphcvt5j0elea.exe
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\lphcvt5j0elea.exe
C:\WINDOWS\system32\phcvt5j0elea.bmp
C:\WINDOWS\system32\pphcvt5j0elea.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 18:46 . 2008-08-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-08-19 18:27 . 2008-08-19 18:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-08-19 18:23 . 2008-08-19 18:23 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat
2008-08-19 18:23 . 2008-06-03 04:47 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat
2008-08-19 18:23 . 2008-06-03 05:22 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-19 18:23 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-08-19 18:23 . 2008-05-22 20:46 13,848 -ra------ C:\WINDOWS\atiogl.xml
2008-08-19 18:22 . 2008-08-19 18:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-19 18:22 . 2008-08-19 18:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-17 14:55 . 2008-08-17 14:56 94,208 --a------ C:\WINDOWS\system32\44.tmp
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 14:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 16:25 . 2008-08-07 16:25 <DIR> d-------- C:\Programme\CCleaner
2008-08-07 15:33 . 2008-08-07 15:33 <DIR> d-------- C:\Programme\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 16:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-19 16:32 --------- d-----w C:\Programme\ATI Technologies
2008-08-19 16:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-17 12:19 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\teamspeak2
2008-08-11 13:02 --------- d-----w C:\Programme\Warkeys
2008-08-07 13:33 --------- d-----w C:\Programme\Java
2008-07-04 14:54 --------- d-----w C:\Programme\FLV Player
2008-07-01 17:45 --------- d-----w C:\Programme\ICQLite
2008-07-01 17:45 --------- d-----w C:\Programme\ICQ6
2008-07-01 17:45 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ICQ
2008-07-01 15:56 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\uTorrent
2008-07-01 15:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-01 14:34 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-01 14:34 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-01 12:21 --------- d-----w C:\Programme\Google
2008-07-01 11:36 --------- d-----w C:\Programme\Spyware Doctor
2007-07-16 05:51 52 ----a-w C:\Dokumente und Einstellungen\Borsti\LWT.dat
2006-11-20 23:00 56 --sh--r C:\WINDOWS\system32\D982A528E3.sys
2007-10-10 13:29 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-10 14:52 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 05:04 59392]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 08:15 344064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 12:12 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 22:31 185632]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"lphcvt5j0elea"="C:\WINDOWS\system32\lphcvt5j0elea.exe" [BU]
"SMrhcrt5j0elea"="C:\Programme\rhcrt5j0elea\rhcrt5j0elea.exe" [BU]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCD2000]
--a------ 2007-08-17 17:21 532480 C:\WINDOWS\system32\bcd2kcpan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-06-18 16:10 271360 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-10 20:55 1266936 C:\spiele\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-09-13 22:31 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\spiele\\Steam\\SteamApps\\ice@team-func.de\\counter-strike\\hl.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\spiele\\Warcraft III\\war3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\spiele\\blobby\\volley.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\spiele\\listchecker\\pickup.listchecker.exe"=

R2 PSTRIP;PSTRIP;C:\WINDOWS\system32\DRIVERS\PSTRIP.SYS []
R3 BCD2000;Behringer BCD2000 V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000.SYS [2007-08-17 17:21]
R3 BCD2000WDM;Behringer BCD2000WDM V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000WDM.SYS [2007-08-17 17:21]
R3 DCamUSBSTK018;STK018 Camera;C:\WINDOWS\system32\DRIVERS\STK018W2.sys [2005-06-20 15:08]
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
R3 USB28xxBGA;PCTV 70e Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2007-08-08 08:03]
R3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2007-08-08 08:03]
S0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24]
S0 xmasscsi;xmasscsi;C:\WINDOWS\System32\Drivers\xmasscsi.sys [2003-12-20 20:03]
S1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 22:53]
S2 BBDemon;Backbone Service;C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 07:32]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 13:32]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-09-13 18:03]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O17 -: HKLM\CCS\Interface\{B6889D13-B839-48CD-86EF-E1299165E9AC}: NameServer = 192.168.178.1


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 18:58:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
__________________

Alt 20.08.2008, 01:03   #4
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hier der Logfile von Smitfraudfix nach dem 2. Schritt (Clean)


SmitFraudFix v2.338

Scan done at 1:42:45.17, 2008-08-20
Run from C:\Dokumente und Einstellungen\Borsti\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 22.08.2008, 21:52   #5
-SilverDragon-
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



MalwareBytes Anti-Malware :

  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile


Alt 22.08.2008, 23:43   #6
-SilverDragon-
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Poste bitte auch noch ein HijackThis Logfile, nach dem scan von Malwarebytes, lass alle Funde von Malwarebytes löschen und Poste den Report.

Alt 23.08.2008, 15:40   #7
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hier der Logfile nach dem scan und entfernen mit malware
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 2

16:29:33 2008-08-23
mbam-log-08-23-2008 (16-29-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 180276
Laufzeit: 1 hour(s), 12 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcrt5j0elea (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrt5j0elea (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcvt5j0elea (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcrt5j0elea (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
         

Alt 23.08.2008, 16:49   #8
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Jetzt habe ich grade einen weißen bildschirm bekommen wo drauf steht das spyware detected wurde....
Ich werde jetzt hijack durchführen und das log posten.

Alt 23.08.2008, 17:08   #9
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hijack Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:30, on 2008-08-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Dokumente und Einstellungen\Borsti\Eigene Dateien\downloads\Programme\clock\CLOCK.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQ6\ICQ.exe
C:\spiele\Warcraft III\LWT\LWT.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Borsti\LOKALE~1\Temp\hkgkpkdb.exe
C:\Dokumente und Einstellungen\Borsti\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [lphcvt5j0elea] C:\WINDOWS\system32\lphcvt5j0elea.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Analoguhr.lnk = C:\Dokumente und Einstellungen\Borsti\Eigene Dateien\downloads\Programme\clock\CLOCK.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Geändert von iceONdope (23.08.2008 um 17:26 Uhr)

Alt 23.08.2008, 17:26   #10
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



2.Teil

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193141884921
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6889D13-B839-48CD-86EF-E1299165E9AC}: NameServer = 192.168.178.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8470 bytes

Alt 24.08.2008, 10:43   #11
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Ein paar Informationen über meine jetzig Situation:
  • Datei-Downloadfuntioniert nicht mehr
  • Interseiten lassen sich teilweise nicht mehr aufbauen
  • Links von google wechseln in andere Seiten teilweise
  • Defragmentierung von Windows funtioniert nicht mehr
  • Combofix führt nicht aus weil da so ein root-programm laufen soll

Alt 24.08.2008, 10:46   #12
trojan-death
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Hi

Also
1. Steht in meiner Signatur "Keine Hilfe per PN" kA wiso ich jetzt trotzdem antworte
2. Silver Dragen hat dir heute morgen in der früh zuletzt geantwortet... Es ist Sonntag und vlt. möchte er ja ausschlafen (oder nicht?)
3. Warst/bist du durch nen Backdoor infiziert (letzte Zeile im MWB Log), wodurch man dir nicht sagen kann ob der nun weg ist oder nicht
4. Du solltest Neuaufsetzen

grüsse trojan-death
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 24.08.2008, 10:47   #13
trojan-death
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Zitat:
Zitat von iceONdope Beitrag anzeigen
[*]Combofix führt nicht aus weil da so ein root-programm laufen soll[/LIST]
Rootkit?
Wenn ja schau mal hier -->Klick
Ist quasi ne Aufforderung zum Neuaufsetzen
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 24.08.2008, 15:53   #14
iceONdope
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Naja du hast mich ja auch nicht per PN Supported, sondern ich hab dich ja nur per PN auf meinen Thread aufmerksam gemacht
Dann danke ich euch für die Hilfe und werde mich dann mal an die Datensicherung machen und mein PC platt machen.
Freundliche Grüße Holger

Alt 24.08.2008, 15:59   #15
trojan-death
 
Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Standard

Blauer Bildschirm / TR/Dldr.FraudLoa.NC



Mach das
Danach hast wenigsten wieder ein Sauberes System...
Vergiss nicht alle deine Passwörter zu ändern
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Antwort

Themen zu Blauer Bildschirm / TR/Dldr.FraudLoa.NC
antivir, aufruf, beseitigen, betriebssystem, bildschirm, blauer, blauer bildschirm, combofix, desktop, durchgeführt, folge, folgende, immer wieder, laufen, meldung, meldungen, personen, problem, spyware, thema, tr/dldr.fraudloa.nc, trojaner, vermehrt, viren, webseite, windows



Ähnliche Themen: Blauer Bildschirm / TR/Dldr.FraudLoa.NC


  1. Blauer Bildschirm mit Fehlermeldung
    Log-Analyse und Auswertung - 31.10.2014 (9)
  2. Blauer Bildschirm
    Alles rund um Windows - 21.12.2013 (2)
  3. Blauer Bildschirm beim booten von USB (Bekämpfung d."Weißer Bildschirm-please wait")
    Log-Analyse und Auswertung - 08.07.2012 (6)
  4. Blauer Bildschirm von Windows
    Alles rund um Windows - 14.02.2012 (17)
  5. PC stürzt ab - Blauer Bildschirm
    Netzwerk und Hardware - 11.10.2010 (4)
  6. Trojaner TR/Dldr.FraudLoa.NC
    Plagegeister aller Art und deren Bekämpfung - 27.12.2008 (0)
  7. TR/Dldr.FraudLoa.NC
    Mülltonne - 27.12.2008 (0)
  8. dldr.fraudloa.nc
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (8)
  9. TR/Dldr.FraudLoa.NC gelöscht oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2008 (29)
  10. TR/Dldr.FraudLoa.NC Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (7)
  11. TR/Dldr.FraudLoa.NC / Blauer Bildschirm
    Mülltonne - 19.08.2008 (0)
  12. TR/Dldr.FraudLoa.NC & Antivir XP 2008
    Log-Analyse und Auswertung - 17.08.2008 (2)
  13. TR/Dldr.FraudLoa.NC (Antivirus XP 2008)
    Plagegeister aller Art und deren Bekämpfung - 17.08.2008 (22)
  14. Virus TR/Dldr.FraudLoa.NC + blauer Bildschirm + Antivirus xp 2008
    Plagegeister aller Art und deren Bekämpfung - 17.08.2008 (3)
  15. TR/Dldr.FraudLoa.NC
    Plagegeister aller Art und deren Bekämpfung - 16.08.2008 (2)
  16. TR/Dldr.FraudLoa.NC Bitte um hilfe.
    Mülltonne - 15.08.2008 (0)
  17. TR/Dldr.FraudLoa.NC und TR/Trash.GEN
    Log-Analyse und Auswertung - 14.08.2008 (1)

Zum Thema Blauer Bildschirm / TR/Dldr.FraudLoa.NC - Hallo, ich hab ein Problem wie viele andere und hoffe das mir speziell geholfen wird. Vor kurzem habe ich einen blauen Desktop bekommen mit einer Meldung das Spyware detectet wurde. - Blauer Bildschirm / TR/Dldr.FraudLoa.NC...
Archiv
Du betrachtest: Blauer Bildschirm / TR/Dldr.FraudLoa.NC auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.