Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Dldr.Tracur.B.12

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.08.2009, 12:58   #1
jokosor
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Ich bin sicher nicht mehr der Juengste unter den Anwendern und kenne mich leider in der "Computerei" lediglich auf der "Gebrauchsseite" aus. Aehnlich wie beim Autofahren - Ich kann fahren, tanken und die Inspektionstermine ueberwachen... Mein Problem ist folgendes: Seit einigen Tagen erscheint regelmaessig eine Meldung des AntiVir Guard von AVIRA: C:\Windows\System32\rnr2032.dll Is the TR/Dldr.Tracur.B.12 Trojan
Die Meldung kann weggeklickt werden, erscheint dann nach ca. 5 bis 10 Minuten erneut. Beim Start eines jeden Programmes, wird auch diese Meldung provoziert - praktisch bei jeder Aktion kommt zuerst die Meldung.
Sobald der Explorer geoeffnet wird, erscheint als Erstes diese Meldung. Sobald diese weggeklickt wird, startet der Explorer und dann erscheint ca. 1 Sekunde nach dem Wegklicken immer wieder die gleiche Meldung. Das Loeschen der bezeichneten Datei in Sys 32, ist nicht moeglich. Es ist unglaublich nervig, permanent die Meldung zu erhalten. Ich faende es hervorragend, wenn ich aus dieser Runde, einen fuer mich verstaendlichen und umsetzbaren Tip erhielte (... fahren mit dem Auto ja .... reparieren eher nein). Gelesen habe ich, dass ein "HiJackThis Log-File" von Nutzen ist und "gepostet" werden soll. Damit ist vermutlich gemeint, dass diese Datei hier verschickt werden soll. Dies soll dann auch so geschehen und ich freue mich auf baldige Antwort.
Angehängte Dateien
Dateityp: txt 09_08_05_hijackthis_log.txt (17,3 KB, 293x aufgerufen)

Alt 05.08.2009, 13:17   #2
Deiti
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



HI also , laut dem was ich hier sehe hast du ,
mehrere schädliche sachen auf deinem pc

- C:\Program Files\Search Settings\SearchSettings.exe
- R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
- O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
- O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
-Unbekannt
O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll
-Unbekannt
O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll
-O20 - AppInit_DLLs: C:\WINDOWS\System32\rnr2032.dll


ich würde dir erstmal , empfehlen, nach dem scan mit hijack , O4 O3 O2 O16 R3

zu fixxen, ansonsten evtl. noch mal mbam drüberlaufen lassen, ich denke mal der solte löschbar sein und , wegen der Sache mit "O2" da gibts hier irgend wo einen eintrag , hab das vorhin irgendwo gelesen, müsstes du mal im Forum suchen.

ansonsten kleiner tipp noch, lad dir avast,ccleaner,mbam
Firefox 3.5 und die addons : Wot,Noscript,adblock Plus runter.

lg
__________________


Geändert von Deiti (05.08.2009 um 13:33 Uhr)

Alt 05.08.2009, 14:18   #3
jokosor
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Herzlichen Dank fuer die prompte Reaktion. Die Ratschlaege werde ich nun umsetzen, auch wenn ich nicht genau weiss, was dann passiert. Auf alle Faelle werde ich Dich informieren, was aus meinem Rechenknecht geworden ist.
Bezueglich des Vermerkes "O2", kann ich nicht nachvollziehen, was Du in dem Eintrag siehst. Vielleicht kannst Du mir einen Tip geben. Fuer mich ist dies ein Eintrag, mit dem ich nichts weiter anfangen kann, als dass ich erkenne wo ich den Eintrag finde. Eine Bewertung ist fuer mich unmoeglich.
beste Gruesse
__________________

Alt 05.08.2009, 14:20   #4
Deiti
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Zitat:
Zitat von jokosor Beitrag anzeigen
Herzlichen Dank fuer die prompte Reaktion. Die Ratschlaege werde ich nun umsetzen, auch wenn ich nicht genau weiss, was dann passiert. Auf alle Faelle werde ich Dich informieren, was aus meinem Rechenknecht geworden ist.
Bezueglich des Vermerkes "O2", kann ich nicht nachvollziehen, was Du in dem Eintrag siehst. Vielleicht kannst Du mir einen Tip geben. Fuer mich ist dies ein Eintrag, mit dem ich nichts weiter anfangen kann, als dass ich erkenne wo ich den Eintrag finde. Eine Bewertung ist fuer mich unmoeglich.
beste Gruesse
O2 is die .dll zu O4 demnach anywhere in ur system^^

Alt 05.08.2009, 14:32   #5
Larusso
/// Selecta Jahrusso
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Zitat:
ich würde dir erstmal , empfehlen, nach dem scan mit hijack , O4 O3 O2 O16 R3

zu fixxen,
Und was willst Du damit bewirken?
Ausser das der Rechner wahrscheinlich kein AVP mehr startet


jokosor

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile
         

schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.08.2009, 18:28   #6
jokosor
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Auf keinen Fall will ich es "beschreien" aber seit etwa 30 Minuten habe ich keine nervigen Meldungen. Wenn ihr nun erwartet, dass ich genau sagen kann was getan werden muss... Fehlanzeige. Es gab ja einige Tips im Forum. Was sollte ich also tun. Eine ganz eindeutige Anweisung gab es m.E. nicht. Aus diesem Grund habe ich mich entschieden, von jedem Angebot ein wenig umzusetzen, um dann zu sehen, ob sich etwas getan hat.
Vorgehen:
1. von "Deiti" habe ich 04 und 03 gefixt. - hab keine Begruendung dafuer :-))
2. von "Larusso" habe ich "Malwarebytes" ausgefuehrt und eine ganze Menge "netter" Eintraege gesehen. Diese wurden dann geloescht und der Rechenknecht wurde neu gestartet.
Das erste Ergebnis war niederschmetternd. Es gelang mir als erstes den Taskmanger zu starten und dann gings auch schon los. Insgesamt kamen mehr als 60 (i.W. sechszig) Meldungen von AVIRA-Guard. Mit jedem Prozess der gestartet wurde, erhielt ich eine neue Meldung.
Nachdem alle Prozesse hochgefahren waren, kamen keine neuen Meldungen. Nun habe ich "Malwarebytes" erneut gestartet und nach Moeglichkeiten gesucht. Meine Vermutung war, dass die in der Meldung stehende Datei, der Boesewicht war und keinesfalls geloescht war.
Unter Programme findet man ein Programm "Fileassassin", das in der Lage sein soll, gesperrte Dateien vom Rechner zu entfernen. Das Programm bedient sich sehr einfach: Starten - zu loeschende Datei suchen - ausfuehren. In diesem Fall waren es 3 Dateien: C:\Windows\Sxstem32\rnr2032.dll; C:\Windows\Sxstem32\rnr2032. und C:\Windows\Sxstem32\rnr2032.VIR
Nachdem die Dateien geloescht waren (nur nach Neustart), war ich die Plagegeister los.

Vielen Dank fuer die Unterstuetzung!!!


Der Vollstaendigkeit halber hier noch das Protokoll:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2563
Windows 5.1.2600 Service Pack 3

5.8.2009 16:50:21
mbam-log-2009-08-05 (16-50-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 223459
Laufzeit: 59 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86 (Worm.Archive) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd8.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd6\keygen_by_SSG.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU Save.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\WhenU.com Website.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Uninstall Instructions.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Customer Support.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\237.crack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\241.music.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\242.music2.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\243.music3.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\244.music.snd.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip (Worm.Archive) -> Quarantined and deleted successfully.

Alt 05.08.2009, 22:53   #7
Larusso
/// Selecta Jahrusso
 
Trojaner TR/Dldr.Tracur.B.12 - Standard

Trojaner TR/Dldr.Tracur.B.12



Code:
ATTFilter
C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip (Worm.Archive) -> Quarantined and deleted successfully.
         
Dateien, die crack.exe, keygen.exe oder patch.exe enthalten, sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Du bist entlassen und ich bin raus
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Trojaner TR/Dldr.Tracur.B.12
.dll, antivir, antivir guard, avira, c:\windows, datei, explorer, folge, guard, hijack, hijackthis, hijackthis log-file, immer wieder, log-file, meldung, nervig, nicht mehr, nutzen, problem, reparieren, start, startet, system, system32, tr/dldr., trojaner, windows



Ähnliche Themen: Trojaner TR/Dldr.Tracur.B.12


  1. Win7: TR/Tracur.Gen sagt Avira
    Log-Analyse und Auswertung - 02.03.2014 (9)
  2. Trojan Agent / Gen Tracur und Gen Multidrop! Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2013 (3)
  3. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  4. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  6. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  7. TR/Dldr.Tracur.B.182
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (32)
  8. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  9. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  10. TR/Agent.dkug & TR/Dldr.Tracur.B43 können nicht gelöscht werden
    Log-Analyse und Auswertung - 28.02.2010 (3)
  11. problem mit TR/Dldr.Tracur.b.35
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (13)
  12. Trojanische Pferd TR/Dldr.Tracur.B.9
    Plagegeister aller Art und deren Bekämpfung - 12.09.2009 (3)
  13. tr/dldr.tracur.b.11 läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (1)
  14. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  15. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  16. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  17. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)

Zum Thema Trojaner TR/Dldr.Tracur.B.12 - Ich bin sicher nicht mehr der Juengste unter den Anwendern und kenne mich leider in der "Computerei" lediglich auf der "Gebrauchsseite" aus. Aehnlich wie beim Autofahren - Ich kann fahren, - Trojaner TR/Dldr.Tracur.B.12...
Archiv
Du betrachtest: Trojaner TR/Dldr.Tracur.B.12 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.