|
Trojaner TR/Dldr.Tracur.B.12 Ich bin sicher nicht mehr der Juengste unter den Anwendern und kenne mich leider in der "Computerei" lediglich auf der "Gebrauchsseite" aus. Aehnlich wie beim Autofahren - Ich kann fahren, tanken und die Inspektionstermine ueberwachen... Mein Problem ist folgendes: Seit einigen Tagen erscheint regelmaessig eine Meldung des AntiVir Guard von AVIRA: C:\Windows\System32\rnr2032.dll Is the TR/Dldr.Tracur.B.12 Trojan Die Meldung kann weggeklickt werden, erscheint dann nach ca. 5 bis 10 Minuten erneut. Beim Start eines jeden Programmes, wird auch diese Meldung provoziert - praktisch bei jeder Aktion kommt zuerst die Meldung. Sobald der Explorer geoeffnet wird, erscheint als Erstes diese Meldung. Sobald diese weggeklickt wird, startet der Explorer und dann erscheint ca. 1 Sekunde nach dem Wegklicken immer wieder die gleiche Meldung. Das Loeschen der bezeichneten Datei in Sys 32, ist nicht moeglich. Es ist unglaublich nervig, permanent die Meldung zu erhalten. Ich faende es hervorragend, wenn ich aus dieser Runde, einen fuer mich verstaendlichen und umsetzbaren Tip erhielte (... fahren mit dem Auto ja .... reparieren eher nein). Gelesen habe ich, dass ein "HiJackThis Log-File" von Nutzen ist und "gepostet" werden soll. Damit ist vermutlich gemeint, dass diese Datei hier verschickt werden soll. Dies soll dann auch so geschehen und ich freue mich auf baldige Antwort. |
HI also , laut dem was ich hier sehe hast du , mehrere schädliche sachen auf deinem pc - C:\Program Files\Search Settings\SearchSettings.exe - R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll - O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll - O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe -Unbekannt O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll -Unbekannt O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll -O20 - AppInit_DLLs: C:\WINDOWS\System32\rnr2032.dll ich würde dir erstmal , empfehlen, nach dem scan mit hijack , O4 O3 O2 O16 R3 zu fixxen, ansonsten evtl. noch mal mbam drüberlaufen lassen, ich denke mal der solte löschbar sein und , wegen der Sache mit "O2" da gibts hier irgend wo einen eintrag , hab das vorhin irgendwo gelesen, müsstes du mal im Forum suchen. ansonsten kleiner tipp noch, lad dir avast,ccleaner,mbam Firefox 3.5 und die addons : Wot,Noscript,adblock Plus runter. lg |
Herzlichen Dank fuer die prompte Reaktion. Die Ratschlaege werde ich nun umsetzen, auch wenn ich nicht genau weiss, was dann passiert. Auf alle Faelle werde ich Dich informieren, was aus meinem Rechenknecht geworden ist. Bezueglich des Vermerkes "O2", kann ich nicht nachvollziehen, was Du in dem Eintrag siehst. Vielleicht kannst Du mir einen Tip geben. Fuer mich ist dies ein Eintrag, mit dem ich nichts weiter anfangen kann, als dass ich erkenne wo ich den Eintrag finde. Eine Bewertung ist fuer mich unmoeglich. beste Gruesse |
Zitat:
|
Zitat:
Ausser das der Rechner wahrscheinlich kein AVP mehr startet :headbang: :hallo: jokosor Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Poste bitte alle Logfiles in Code-Tags. Klicke antworten --> # danach [code]text[/code] So sollte das dann hier aussehen nach dem antworten: Code: deine Logfileschritt 1 Wende bitte Malwarebytes nach Anleitung an. schritt 2
|
Auf keinen Fall will ich es "beschreien" aber seit etwa 30 Minuten habe ich keine nervigen Meldungen. Wenn ihr nun erwartet, dass ich genau sagen kann was getan werden muss... Fehlanzeige. Es gab ja einige Tips im Forum. Was sollte ich also tun. Eine ganz eindeutige Anweisung gab es m.E. nicht. Aus diesem Grund habe ich mich entschieden, von jedem Angebot ein wenig umzusetzen, um dann zu sehen, ob sich etwas getan hat. Vorgehen: 1. von "Deiti" habe ich 04 und 03 gefixt. - hab keine Begruendung dafuer :-)) 2. von "Larusso" habe ich "Malwarebytes" ausgefuehrt und eine ganze Menge "netter" Eintraege gesehen. Diese wurden dann geloescht und der Rechenknecht wurde neu gestartet. Das erste Ergebnis war niederschmetternd. Es gelang mir als erstes den Taskmanger zu starten und dann gings auch schon los. Insgesamt kamen mehr als 60 (i.W. sechszig) Meldungen von AVIRA-Guard. Mit jedem Prozess der gestartet wurde, erhielt ich eine neue Meldung. Nachdem alle Prozesse hochgefahren waren, kamen keine neuen Meldungen. Nun habe ich "Malwarebytes" erneut gestartet und nach Moeglichkeiten gesucht. Meine Vermutung war, dass die in der Meldung stehende Datei, der Boesewicht war und keinesfalls geloescht war. Unter Programme findet man ein Programm "Fileassassin", das in der Lage sein soll, gesperrte Dateien vom Rechner zu entfernen. Das Programm bedient sich sehr einfach: Starten - zu loeschende Datei suchen - ausfuehren. In diesem Fall waren es 3 Dateien: C:\Windows\Sxstem32\rnr2032.dll; C:\Windows\Sxstem32\rnr2032. und C:\Windows\Sxstem32\rnr2032.VIR Nachdem die Dateien geloescht waren (nur nach Neustart), war ich die Plagegeister los. Vielen Dank fuer die Unterstuetzung!!! Der Vollstaendigkeit halber hier noch das Protokoll: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2563 Windows 5.1.2600 Service Pack 3 5.8.2009 16:50:21 mbam-log-2009-08-05 (16-50-21).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 223459 Laufzeit: 59 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 2 Infizierte Dateien: 19 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86 (Worm.Archive) -> Quarantined and deleted successfully. Infizierte Dateien: D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd8.exe (Trojan.Tracur) -> Quarantined and deleted successfully. D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd6\keygen_by_SSG.exe (Trojan.Tracur) -> Quarantined and deleted successfully. C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU Save.url (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\WhenU.com Website.url (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Uninstall Instructions.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Customer Support.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\237.crack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\238.keygen.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\239.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\240.setup.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\241.music.au.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\242.music2.au.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\243.music3.au.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\244.music.snd.kwd (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\238.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\239.serial.zip (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\SystemX86\240.setup.zip (Worm.Archive) -> Quarantined and deleted successfully. |
Code: C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.Ausserdem sind diese illegal und somit beschränkt sich der Support auf Anleitung zum Neu aufsetzten Du bist entlassen und ich bin raus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board