|
TR/Fraud.A.2 Hi! Habt Ihr schon einmal von diesem Pferd gehoert? TR/Fraud.A.2 Er hat meine Datei C:\WINDOWS\SYSTEM32\OLEADM.DLL befallen und Antivir meldet sich staendig, wenn ich ein neues Explorerfenster oeffnen will. Gibt es da eine Handhabe? Merci, Cartman |
|
Danke, habe ich versucht. Kriege folgende Meldung: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Was ist zu tun? Cartman |
schau im Taskmanager ob die Datei als Prozess mit geladen ist wenn dann den Prozess beenden und nochmal versuchen hochzuladen |
Nein, die Datei ist im Taskmanager nicht gelistet, hatte ich schon gecheckt. Was nun? Cartman |
Benenn die Datei im abgesicherten Modus um. Danach normal starten und die Datei online bei Jotti scannen. Gruß :daumenhoc Yopie |
Schalte den AV-Guard während des Hochladens ab. |
Ich denke, daß sich eine Überprüfung der o.g. Datei erübrigt, da es sich hierbei um den Trojaners Smitfraud.c handelt. @ cartman04 Wende folgende Vorgehensweise an, um dein Problem zu lösen. |
Okay Jungs, habe den AV-Guard waehrend des Hochladens deaktiviert (super Idee!) und folgendes Ergebnis bekommen... -------------------- Datei: oleadm.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir TR/Fraud.A.2 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Trojan.Fakealert.H gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Fakealert gefunden F-Prot Antivirus W32/Agent.PW gefunden Fortinet W32/Agent.EO-tr gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Win32/Oleloa.A gefunden Norman Virus Control Keine Viren gefunden VBA32 Trojan.Win32.Agent.eo gefunden ------------------- Danke, Cartman |
Danke, Cidre. Ich habe nun versucht, die infizierte Datei oleadm.dll mittles Killbox im abgesicherten Modus zu loeschen, wie es in Deinem Link empfohlen wird. Das funktionierte nicht. (Ist ja wohl auch eine wichtige Systemdatei, oder nicht?) Alle anderen zu loeschenden Dateien (zloader3.exe etc.) sind auf meinem System nicht zu finden. Nun bin ich zu Panda Active Scan und wollte dort ueber ActiveX den OnlineScan runterladen. Als mir mein AntiVir-Programm allerdings meldete, ich sei gerade dabei, mir den "Windows-Virus W95-Bumble" auf den Rechner zu holen, habe ich den Download-Prozess abgebrochen. Was nun? Danke schonmal, Cartman |
Das ist denke ich ein Fehlalarm von Antivir. |
Hi, leider klappt hier gar nix. Besagte Datei (oleadm.dll) laesst sich auch mit Killbox im abgesicherten Modus nicht loeschen, und wenn ich den OnlineScan ueber ActiveX starten will, meldet IE einen Laufzeitfehler und will in den Debugging-Modus. Wie werde ich das Pferd also los? Dauernd poppt mir das nervige Antivir-Fenster um die Ohren... Danke und Gruss, Cartman |
Hallo, nehmt Ihr Euch bitte noch einmal meines Problems an? Hat sich leider noch nicht geloest. Merci, Cartman |
Poste mal HIER ein HijackThis log, informationen hier: http://www.trojaner-board.de/showthread.php?t=17493 |
Ja, mache ich glatt... Danke fuers Durchschauen! Cartman ----------------- Logfile of HijackThis v1.99.1 Scan saved at 20:26:36, on 30.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Alarm\zonealarm.exe C:\WINDOWS\system32\VCool.exe C:\Programme\SmartSurfer3.0\SmartSurfer.exe C:\WINDOWS\slrundll.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Eudora\Eudora.exe C:\Programme\Internet Explorer\iexplore.exe C:\Download\Virus\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Startup: VCool.lnk = C:\WINDOWS\system32\VCool.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Alarm\zonealarm.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{26107654-3458-4CCD-8547-008EA144ACC1}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Dein Log-File weist keine Auffälligkeiten bzgl. Malware auf. Dennoch solltest du diese Einträge fixen: Zitat:
Scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. |
Kleine Zusatzinfo, habe die Sache mal genauer unter die Lupe genommen: Die Datei, die Antivir moniert ist folgende: C:\WINDOWS\SYSTEM32\ACTIVESCAN\IMSCAN.DLL . Diese wird zusätzlich von ClamAV und Avast erkannt. Habe diese den 3 Herstellern zugesandt und mitgeteilt, dass es sich hier wohl um ein False Positive handelt, da diesse .dll eindeutig zu Panda´s Active Scan gehört. Mal sehen, wie schnell sie reagieren ;) |
Antivir hat bestätigt, das es sich um einen Fehlalarm handelt, das aber noch nicht in seine Signaturen eingebunden. |
@Cronos: Danke fuers Checken bwei Antivir! @all: So, habe jetzt escan uebers System laufen lassen und folgenden Log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 01 18:05:00 2005 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken. Fri Jul 01 18:05:00 2005 => File C:\WINDOWS\system32\OLEADM.dll infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken. Fri Jul 01 18:05:54 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Fri Jul 01 18:06:51 2005 => File C:\!Submit\oleadm.dll infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken. Fri Jul 01 18:15:11 2005 => File C:\info6.cab infected by "Trojan.Win32.Dialer.t" Virus! Action Taken: No Action Taken. Fri Jul 01 18:18:00 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Jul 01 19:00:58 2005 => File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken. Fri Jul 01 19:03:27 2005 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken. Fri Jul 01 19:03:48 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken. Fri Jul 01 19:13:29 2005 => Total Disinfected Files: 0 Danke fuer die Hilfe, Cartman |
@ cartman04 Lade die Killbox deaktiviere die Systemwiederherstellung boote in den abgesicherten Modus Klicke bei der Killbox auf Delete on Reboot, danach Dateien nacheinander rein laden und auf das rote Kreuz drücken. Wenn du gefragt wirst „ Do you want to reboot?“ auf no, erst bei der letzten Datei auf yes drücken. den Dialer vorher auf Diskette sichern es sei denn du gehst ausschliesslich mit DSL ins Internet Dialer-Hinweis lösche mit Hilfe der Killbox folgende Dateien: C:\WINDOWS\system32\OLEADM.dll C:\WINDOWS\system32\WININET.dll --> sollte die Datei so nicht zu löschen sein dann Umbenennen C:\!Submit\oleadm.dll C:\info6.cab infected by "Trojan.Win32.Dialer.t C:\WINDOWS\uninstIU.exe leer danach zusätzlich den Ordner C:\!Submit neu booten gehe auf die Seite und lade dir eine neue wininet.dll ins Windows\System32 poste dann ein aktuelles HJT |
Führe nun dies aus und lösche zusätzlich noch diese Dateien: C:\WINDOWS\uninstIU.exe und C:\info6.cab |
Vielen Dank fuer den Beistand. Ich bin gerade am Abarbeiten der Punkte, hoffentlich klappt alles. Aber eine Frage habe ich schon: Wie sichere ich den Dialer auf Diskette, und wozu? Ich gehe ueber ein 56k-Modem ins Internet. Merci, Cartman |
Deine Frage wird hier beantwortet -> http://www.dialerschutz.de/schadensfall.php ;) |
Hallo Leute, das sieht alles schon ganz gut aus. Trotzdem noch drei Dinge: 1. Ich habe jetzt einfach c:\info.cab geloescht, damit sollte der Dialer ja wohl auch weg sein. Oder? 2. wininet.dll liess sich nicht loeschen. Nachdem ich die Datei umbenannt und geloescht hatte, hatte ich sie nach dem Reboot wieder auf dem Rechner. Sie wird allerdings nicht als infiziert gemeldet. Mit escan habe ich nun noch Folgendes gefunden: Tue Jul 05 14:25:17 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Jul 05 16:06:27 2005 => File D:\Skat\install.exe infected by "Trojan-Dropper.Win32.Small.bf" Virus! Action Taken: No Action Taken. 3. Was macht denn die Alexa-Spyware? Wie werde ich die los? 4. Und wie kriege ich den "Trojan-Dropper" in der install.exe wieder los (die Datei wollte ich eigentlich behalten)? Danke, Cartman |
Zitat:
Zitat:
Gruß :daumenhoc Yopie |
Hi. Muss ich die install.exe wirklich loeschen oder kann man da noch was retten? Auf alle Faelle poste ich noch ein aktuelles HJT-Logfile und bedanke mich sehr herzlich bei allen Mithelfern. Mein System scheint ja wieder clean zu sein :daumenhoc Koennt Ihr nochmal das Logfile durchschauen? Danke, Cartman ----------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 18:52:54, on 05.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Alarm\zonealarm.exe C:\WINDOWS\system32\VCool.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\SmartSurfer3.0\SmartSurfer.exe C:\WINDOWS\slrundll.exe C:\Download\Virus\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Startup: VCool.lnk = C:\WINDOWS\system32\VCool.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Alarm\zonealarm.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{26107654-3458-4CCD-8547-008EA144ACC1}: NameServer = 195.71.150.69 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Schicke diese Datei zur Überprüfung an Kaspersky, wie hier beschrieben, damit imho dieser Fehlalarm bestätigt wird. Ansonsten weist dein Log-File keine Auffälligkeiten mehr auf und jetzt sollte schleunigst das SP2 installiert werden. Aus dem 'Neuaufsetzen-Link' in meiner Signatur kannst du noch weitere sinnvolle und kostenlose Absicherungsmaßnahmen entnehmen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:39 Uhr. |
Copyright ©2000-2024, Trojaner-Board