Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner in System32

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.04.2009, 13:01   #1
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



laut AVG ist diese datei infiziert:

C:\Windows\system32\d3dsdn.dll

einen HJT-log habe ich auch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:05, on 11.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66019
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 8283 bytes

fals mir einer helfen kann, schon mal danke im voraus.

Alt 11.04.2009, 13:15   #2
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



Code:
ATTFilter
 O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll (file missing)
         
Die 2 hier sind überschuss -> Fixen.
Im Rest kann ich nix erkennen...

Lade die Datei

Code:
ATTFilter
 C:\Windows\system32\d3dsdn.dll
         
bei VirusTotal - Free Online Virus and Malware Scan hoch, und lasse sie überprüfen. Schicke uns anschließend das, das bei Virustotal rauskommt.
__________________


Alt 11.04.2009, 13:19   #3
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



offenbar wird die datei nicht gefunden

ich finde sie auch über die suche nicht (versteckte, systemordner usw mit einbezogen)
__________________

Alt 11.04.2009, 13:33   #4
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



mhm.... Das verstehe ich nicht.

Scanne einfach nochmal das ganze System. Vielleicht hat AVG ja was gemacht?

Alt 11.04.2009, 13:54   #5
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



dachte ich auch erst aber die virenmeldung erscheint immer wenn ich firefox oder den internet explorer öffne und wenn ich es dann heilen lasse erscheint nichts mehr.
wenn ich dann neu starte und den internet explorer öffne ist die meldung wieder da
die datei lässt sich aber immer noch nicht finden


Alt 11.04.2009, 13:58   #6
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



mhm...

Hast Du ICQ?

Falls ja, adde mich mal:


495-098-253
__________________
--> Trojaner in System32

Alt 11.04.2009, 14:01   #7
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



nein icq habe ich leider nicht

bisher sind wegen dem virus aber noch keine bemerklichen schäden oder so entstanden

kanns denn sein das etwas ungefährliches von AVG als virus erkannt wird?

Alt 11.04.2009, 14:06   #8
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



Das kann natürlich sein.

Aber die Datei ist ja nicht zu finden...
Sonst könnten wir sie hochladen und sie untersuchen lassen...

Warte mal, ich mache mal einen Versuch. Ich schreib gleich, was dabei rauskam.
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 11.04.2009, 14:13   #9
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



Also: Ich habe die datei bei mir auch gesucht. Mit dem "Such Assistent" konnte ich die Datei auch nicht finden.

Vielleicht ist es ja eine Datei, die man nicht finden kann? (Keine Ahnung... neue Technik der Viren Autoren?)

Such mal per Hand in System32.

ODER:

AVG muss sich ja gespeichert haben, wo sich die vermeidliche Datei befindet!
Öffne AVG mal, und suche nach "Protokollen, Verlauf" oder ähnlichem. Oder "Funde".

Dann klickst Du auf die C:\Windows\system32\d3dsdn.dll

Datei (wenn sie dort angezeigt wird) mit einem Rechtsklick und dann "Ursprungsordner öffnen".
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 11.04.2009, 14:18   #10
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



manuell hab ich schon gesucht -nichts gefunden
im protokoll von AVG kann ich den ursprungsordner nicht öffnen, nicht wegen irgendeinem problem sondern weil die option ursprungsordner oder dateipfad öffnen usw nicht vorhanden ist

allerdings wird die infektion dort einmal als infiziert und nochmal als in quarantäne verschoben angezeigt, die meldung erscheint aber weiterhin...

Alt 11.04.2009, 14:26   #11
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



mhm...

Vielleicht ja auch nur ein Fehler von AVG?
Update hast Du denk ich schon gemacht...

Folgendes herunterladen:

Spybot Klick hier


Nachdem Du Spybot installiert hast,

-> Spybot öffnen
-> Nach Updates suchen
-> Immunisieren
-> PC Scannen (Überprüfen).

Mach Dann bitte einen Screenshot von dem, dass Spybot findet. (Dann noch nichts machen, einfach warten).
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 11.04.2009, 14:28   #12
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



updaten tu ich regelmäßig , wobei AVG schon lang keine updates mehr rausgebracht hat
bei einem gewöhnlichen scan wird auch nichts gefunden ich werd mir spybot einfach mal holen

Alt 11.04.2009, 14:46   #13
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



Gut so.

Hoffen wir, wir bereinigen das System heute noch.
Wer will schon Ostern mit nem Virus Feiern?
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 11.04.2009, 14:51   #14
Snirf
 
Trojaner in System32 - Standard

Trojaner in System32



zur not bleibt ja noch festplatte formatieren =P

der scan mit spybot läuft...

Alt 11.04.2009, 14:53   #15
DJ-D
 
Trojaner in System32 - Standard

Trojaner in System32



Gut.

Lad dann den Screenshot hier hoch:

Tinypic

Nach dem Upload kommen dann vier links.
Nimm diesen hier:

"Direkter Link für Layouts"
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Antwort

Themen zu Trojaner in System32
adobe, avg, avg free, avg security toolbar, bho, defender, download, e-mail, excel, explorer, gservice, hijack, hijackthis, infiziert, internet, internet explorer, micro, microsoft, realplayer, rundll, security, software, spyware, system, trojaner, vista, windows, windows defender, windows sidebar, wmp



Ähnliche Themen: Trojaner in System32


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Trojaner im System32 - Services.exe / Was tun?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  3. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  4. Trojaner in System32
    Log-Analyse und Auswertung - 29.04.2010 (11)
  5. Trojaner im system32
    Plagegeister aller Art und deren Bekämpfung - 19.04.2010 (17)
  6. Trojaner im system32
    Plagegeister aller Art und deren Bekämpfung - 04.02.2010 (21)
  7. TROJANER im system32 ordner
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (1)
  8. 3 Trojaner in system32
    Plagegeister aller Art und deren Bekämpfung - 02.10.2009 (21)
  9. system32 Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.01.2009 (7)
  10. system32 trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.01.2009 (9)
  11. Trojaner im System32
    Log-Analyse und Auswertung - 07.12.2008 (1)
  12. Trojaner im System32
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (14)
  13. Trojaner in Win System32
    Mülltonne - 31.10.2008 (0)
  14. Trojaner im System32 - TR/BHO.GEN
    Log-Analyse und Auswertung - 25.10.2008 (0)
  15. trojaner system32???
    Plagegeister aller Art und deren Bekämpfung - 07.10.2007 (16)
  16. System32 von Trojaner befallen
    Log-Analyse und Auswertung - 14.03.2007 (3)
  17. System32.0 trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2004 (2)

Zum Thema Trojaner in System32 - laut AVG ist diese datei infiziert: C:\Windows\system32\d3dsdn.dll einen HJT-log habe ich auch: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:49:05, on 11.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) - Trojaner in System32...
Archiv
Du betrachtest: Trojaner in System32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.