Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner SHeur.CRDK + .CLBO + Agent

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.11.2008, 17:33   #1
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Unglücklich

Trojaner SHeur.CRDK + .CLBO + Agent



Hallo zusammen

Seit ein paar Tagen habe ich ein Virenproblem, speziell, Trojaner auf meinem Laptop. Ich benutze Windows XP Prof, SP3, AVG Anti-Virus free (v. 8.0.175).
Ende Oktober (24.) meldete AVG zweimal "Trojan horse psw_generic_c.lp" in einer .rar Datei, und "SHeur.CLBO" in einer anderen .rar Datei. Diese Dateien habe ich in quarantäne verschoben, danach nochmal einen System Scan gemacht, der nichts zu melden hatte.
Am nächsten Tag dasselbe, wieder in Quarantäne, dann war's erstmal okay.

Am 4.11. fand AVG dann "Trojan Horse SHeur.CRKD" in folgenden Dateien:

C:\Programme\FlashGet\updates.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].ca
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].cab:\updates.exe

Alles in Quarantäne verschoben.
Gestern fand AVG "Trojan horse SHeur.CRDK" hier:

C:\System Volume Information\_restore{0C045E9B-C958-4E96-B847-9213C38B6DAF}\RP80\A0013428.exe

Ebenfalls in Quarantäne. Dann habe ich alle vier Dateien aus der Quarantäne gelöscht (Internet aus, SWH aus, Dateien gelöscht, CCleaner laufen lassen, Neustart, SWH an, Internet an).
HiJackThis habe ich danach laufen lassen:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:27, on 08.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219924901378
O17 - HKLM\System\CCS\Services\Tcpip\..\{22F779A5-1700-4372-B0B3-AA33499BCEA4}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6EAEFB-01C5-4A1A-8FB8-446E20827B39}: NameServer = 192.168.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5462 bytes
         
Dieses Log habe ich bei HiJackThis.de hochgeladen und analysiert, da kamen keine Warnungen (allerdings muss ich mich hier voll auf deren Beurteilung verlassen, ich kenne mich da leider nicht so aus.)

Jetzt läuft AVG gerade wieder durch und findet "Trojan Horse Agent_r.EK" hier:

C:\WINDOWS\system32\msbios.dll (Quarantäne)


Habe ich das soweit richtig gemacht, bzw wie werde ich das alles wieder los?
Danke für die Hilfe!

Alt 08.11.2008, 17:39   #2
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Hi,

Das HijackThis Logfile ist sauber.
Führe aber bitte noch folgende Schritte aus:

1.)
MalwareBytes Anti-Malware :

  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
  • poste das entstandene Logfile

2.)
Secunia PSI:
  • Besuche bitte diese Seite: Secunia PSI
  • Klicke nun auf "Start Now".
  • Lass anschließend dein System scannen.
  • Lade dir alle fehlenden Updates.

3.)
Windows-Update:

=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.
__________________

__________________

Alt 08.11.2008, 19:28   #3
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Danke silent shark, für die schnelle Hilfe!

1. MalwareBytes Log

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1334
Windows 5.1.2600 Service Pack 3

08.11.2008 18:41:17
mbam-log-2008-11-08 (18-41-17).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 94241
Laufzeit: 41 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
2. Secunia PSI laufen gelassen, geupdatet

3. Windows-Updates gesucht, nichts wichtiges gefunden.

______________________________________________________


AVG hat inzwischen (5.37h GMT) fertig gescannt und folgendes gefunden:

# "Trojan Horse Agent_r.EK" : C:\WINDOWS\system32\msbios.dll (Quarantäne)
# "Virus found Win32/Patched" : C:\WINDOWS\system32\sens.dll (Quarantäne)
# "Trojan Horse IRC/Backdoor.SdBot4.GSD" : E:\files\andere\Winamp\WinAMP Patch\Winamp5.0+keymaker_NGEN.exe (Quarantäne)
__________________

Alt 08.11.2008, 19:31   #4
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Zitat:
E:\files\andere\Winamp\WinAMP Patch\Winamp5.0+keymaker_NGEN.exe
Das darf doch nicht wahr sein, oder?
Wenn du den ausgeführt hast, gilt für dich das:
http://www.trojaner-board.de/51262-a...sicherung.html
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.11.2008, 19:36   #5
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



ich bin ziemlich sicher, dass ich das nicht ausgeführt habe... 100% aber nicht.
Gibt es noch einen anderen Weg? Ich bin gerade im Ausland und kann daher nicht neuinstallieren.


Alt 08.11.2008, 19:37   #6
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Wer munter alles saugt und auch noch illegale Tools zum Stehlen von Software nutzt, ist selbst Schuld.

Tut mir Leid.
__________________
--> Trojaner SHeur.CRDK + .CLBO + Agent

Alt 08.11.2008, 19:41   #7
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Ich versteh dich, aber man muss auch nicht gleich alle über einen Kamm scheren. Meine Programme in dem Ordner habe ich von meinem Cousin, wie der sie bekommen hat, keine Ahnung, der wird sie wahrscheinlich gesaugt haben. Ich mach das nicht.
Trotzdem danke.

Alt 08.11.2008, 19:43   #8
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Vorallem, wenn es sich um Cracks von Programmen handelt, die man auch als Freeware Version installieren kann..

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.11.2008, 19:48   #9
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Ich hab ja die freeware Version laufen, deshalb bin ich ziemlich sicher dass ich das da nie angerührt hab. Ich schmeiß es runter, vielleicht hilft ja das.

Alt 08.11.2008, 19:51   #10
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Wenn es einmal aktiviert wurde, kannst du mit Sicherheit davon ausgehen, das dein System kompromittiert ist.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.11.2008, 19:54   #11
stellara
 
Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Ich nehme an, das werde ich bald merken. Danke dir, trotzdem

Alt 08.11.2008, 19:59   #12
Silent sharK
 

Trojaner SHeur.CRDK + .CLBO + Agent - Standard

Trojaner SHeur.CRDK + .CLBO + Agent



Kein Problem.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Trojaner SHeur.CRDK + .CLBO + Agent
adobe, avg, avg free, bho, content.ie5, dateien gelöscht, e-mail, einstellungen, explorer, generic, helper, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla thunderbird, neustart, nvidia, object, pdf, problem, programme, rundll, scan, system, trojaner, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Trojaner SHeur.CRDK + .CLBO + Agent


  1. Trojanerproblem : Backdoor.Agent und Trojaner.Agent
    Log-Analyse und Auswertung - 06.06.2013 (8)
  2. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  3. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  4. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  5. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  6. AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (37)
  7. AVG 9 finden SHeuer3.AQUM Dropper und Sheur.AQRA
    Plagegeister aller Art und deren Bekämpfung - 07.08.2010 (4)
  8. 7 Trojaner gefunden. u.a. TR/Agent.692736, TR/Agent.AO.808, TR/Disabler.NAJ.44..
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (2)
  9. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  10. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  11. Trojaner Sheur 2.AMSD /Genetic 13.BBYW /Pakes.DRR
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (3)
  12. SHeur.ADZB in NTDetect.com
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (2)
  13. Trojan horse SHeur.ALSO
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (6)
  14. Trojaner SHeur.WUN
    Plagegeister aller Art und deren Bekämpfung - 16.11.2007 (0)
  15. Trojaner DR/Agent.BQ.2 und TR/Agent.BI
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (2)
  16. Trojaner TR/Agent.Bl / Droppers DR/Agent.BQ.2
    Log-Analyse und Auswertung - 06.05.2005 (0)
  17. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)

Zum Thema Trojaner SHeur.CRDK + .CLBO + Agent - Hallo zusammen Seit ein paar Tagen habe ich ein Virenproblem, speziell, Trojaner auf meinem Laptop. Ich benutze Windows XP Prof, SP3, AVG Anti-Virus free (v. 8.0.175). Ende Oktober (24.) meldete - Trojaner SHeur.CRDK + .CLBO + Agent...
Archiv
Du betrachtest: Trojaner SHeur.CRDK + .CLBO + Agent auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.