| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner SHeur.CRDK + .CLBO + AgentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.11.2008, 18:33
| #1 |
| |  Trojaner SHeur.CRDK + .CLBO + Agent Hallo zusammen  Seit ein paar Tagen habe ich ein Virenproblem, speziell, Trojaner auf meinem Laptop. Ich benutze Windows XP Prof, SP3, AVG Anti-Virus free (v. 8.0.175). Ende Oktober (24.) meldete AVG zweimal "Trojan horse psw_generic_c.lp" in einer .rar Datei, und "SHeur.CLBO" in einer anderen .rar Datei. Diese Dateien habe ich in quarantäne verschoben, danach nochmal einen System Scan gemacht, der nichts zu melden hatte. Am nächsten Tag dasselbe, wieder in Quarantäne, dann war's erstmal okay. Am 4.11. fand AVG dann "Trojan Horse SHeur.CRKD" in folgenden Dateien: C:\Programme\FlashGet\updates.exe C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].ca C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Te,porary Internet Files\Content.IE5\41YNWVIB\updates[1].cab:\updates.exe Alles in Quarantäne verschoben. Gestern fand AVG "Trojan horse SHeur.CRDK" hier: C:\System Volume Information\_restore{0C045E9B-C958-4E96-B847-9213C38B6DAF}\RP80\A0013428.exe Ebenfalls in Quarantäne. Dann habe ich alle vier Dateien aus der Quarantäne gelöscht (Internet aus, SWH aus, Dateien gelöscht, CCleaner laufen lassen, Neustart, SWH an, Internet an). HiJackThis habe ich danach laufen lassen: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:36:27, on 08.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219924901378 O17 - HKLM\System\CCS\Services\Tcpip\..\{22F779A5-1700-4372-B0B3-AA33499BCEA4}: NameServer = 192.168.1.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6EAEFB-01C5-4A1A-8FB8-446E20827B39}: NameServer = 192.168.0.1 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 5462 bytes Jetzt läuft AVG gerade wieder durch und findet "Trojan Horse Agent_r.EK" hier: C:\WINDOWS\system32\msbios.dll (Quarantäne) Habe ich das soweit richtig gemacht, bzw wie werde ich das alles wieder los? Danke für die Hilfe! |
|
08.11.2008, 18:39
| #2 |
  |  Trojaner SHeur.CRDK + .CLBO + Agent Hi,
__________________Das HijackThis Logfile ist sauber. Führe aber bitte noch folgende Schritte aus: 1.) MalwareBytes Anti-Malware :
2.) Secunia PSI:
3.) Windows-Update: => Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.
__________________ |
|
08.11.2008, 20:28
| #3 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Danke silent shark, für die schnelle Hilfe!
__________________1. MalwareBytes Log Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1334
Windows 5.1.2600 Service Pack 3
08.11.2008 18:41:17
mbam-log-2008-11-08 (18-41-17).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 94241
Laufzeit: 41 minute(s), 12 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
3. Windows-Updates gesucht, nichts wichtiges gefunden. ______________________________________________________ AVG hat inzwischen (5.37h GMT) fertig gescannt und folgendes gefunden: # "Trojan Horse Agent_r.EK" : C:\WINDOWS\system32\msbios.dll (Quarantäne) # "Virus found Win32/Patched" : C:\WINDOWS\system32\sens.dll (Quarantäne) # "Trojan Horse IRC/Backdoor.SdBot4.GSD" : E:\files\andere\Winamp\WinAMP Patch\Winamp5.0+keymaker_NGEN.exe (Quarantäne) |
|
08.11.2008, 20:31
| #4 | |
| | Trojaner SHeur.CRDK + .CLBO + AgentZitat:
 Wenn du den ausgeführt hast, gilt für dich das: http://www.trojaner-board.de/51262-a...sicherung.html
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
08.11.2008, 20:36
| #5 |
| | Trojaner SHeur.CRDK + .CLBO + Agent ich bin ziemlich sicher, dass ich das nicht ausgeführt habe... 100% aber nicht.Gibt es noch einen anderen Weg? Ich bin gerade im Ausland und kann daher nicht neuinstallieren. |
|
08.11.2008, 20:37
| #6 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Wer munter alles saugt und auch noch illegale Tools zum Stehlen von Software nutzt, ist selbst Schuld. Tut mir Leid.
__________________ --> Trojaner SHeur.CRDK + .CLBO + Agent |
|
08.11.2008, 20:41
| #7 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Ich versteh dich, aber man muss auch nicht gleich alle über einen Kamm scheren. Meine Programme in dem Ordner habe ich von meinem Cousin, wie der sie bekommen hat, keine Ahnung, der wird sie wahrscheinlich gesaugt haben. Ich mach das nicht. Trotzdem danke. |
|
08.11.2008, 20:43
| #8 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Vorallem, wenn es sich um Cracks von Programmen handelt, die man auch als Freeware Version installieren kann.. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
08.11.2008, 20:48
| #9 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Ich hab ja die freeware Version laufen, deshalb bin ich ziemlich sicher dass ich das da nie angerührt hab. Ich schmeiß es runter, vielleicht hilft ja das.  |
|
08.11.2008, 20:51
| #10 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Wenn es einmal aktiviert wurde, kannst du mit Sicherheit davon ausgehen, das dein System kompromittiert ist.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
08.11.2008, 20:54
| #11 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Ich nehme an, das werde ich bald merken. Danke dir, trotzdem |
|
08.11.2008, 20:59
| #12 |
| | Trojaner SHeur.CRDK + .CLBO + Agent Kein Problem. 
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu Trojaner SHeur.CRDK + .CLBO + Agent |
| adobe, avg, avg free, bho, content.ie5, dateien gelöscht, e-mail, einstellungen, explorer, generic, helper, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla thunderbird, neustart, nvidia, object, pdf, problem, programme, rundll, scan, system, trojaner, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
