Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wer kennt TROJ_DLOAD.D? (https://www.trojaner-board.de/20843-kennt-troj_dload-d.html)

moziny 16.08.2005 08:10
Wer kennt TROJ_DLOAD.D?
 
Hallo Forumsmitglieder!

Ich bin verzweifelt, denn offenbar hat sich eine Freundin einen Trojaner eingefangen, den keiner kennt. Sie hat Windows NT, es läuft ein aktualisiertes Symantec Virenprogramm, das keine Viren entdeckt hat. Sie bekam in letzter Zeit öfter Mails mit dem Hinweis, ihre Emails seien nicht zugestellt worden, da sie gefährliche Anlagen versenden würde, obwohl sie keine Emails verschickt hatte. Ich nahm an, daß ihre Adresse gehijackt worden sei und vermutlich alles in Ordnung sei mit ihrem PC. Aber.... es sollte anders kommen...

Angefangen hatte es damit, daß ich einen Online-Virenscan bei Trend Micro gemacht habe. Dieser Scan hat 1 infizierte Datei gefunden:

C:\WINNT\Downloaded Program Files\on-line.exe

(associated Virus Name: TROJ.DLOAD.D)

Als ich weitere Informationen zu diesem Virus haben wollte, konnte weder Trend Micro noch sonst eine Suchmaschine mir etwas zu diesem Virus sagen. Es gibt zwar verschiedene Versionen von TROJ.DLOAD...., aber nicht .D.

Bis dahin lief das Internet noch, das über eine Lan-Schnittstelle mit DSL verbunden ist. Als ich auf der Seite von Trend Micro mit "weiter" versuchen wollte, die Sache zu fixen, ging die Internetverbindung verloren.

Seitdem zeigt der IE beim Start immer die Seite "about:blank" an und die Internetverbindung ist völlig hinüber.

Die Datei on-line.exe kann ich den angegebenen Ordner nicht entdecken, habe aber in der registry danach gesucht und es wurde auch etwas ausgespuckt mit dem Namen, das ich gelöscht habe.

Ich habe auch Hijackthis laufen lassen. Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:04:43, on 2005.08.15
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\RpcSs.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Profiles\Administrator\Desktop\hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.takas.lt:8080
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [hpsjbmgr] c:\Program Files\Hewlett-Packard\Precisionscan Pro 3.1\hpsjbmgr.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 212.59.0.1 212.59.0.2
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 212.59.0.1 212.59.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 212.59.0.1 212.59.0.2
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

Das fixen der als gefährlich angesehenen Dateien hat leider nichts gebracht, die Internetverbindung steht immer noch nicht.

Weiß jemand weiter oder kann mir jemand sagen, wo ich eine Anleitung finde, um diesen Virus wieder loszuwerden?

Vielen Dank im Voraus!
Monika

moziny 16.08.2005 08:46
Hurra! Ich kann gottseidank meine Frage zurückziehen! Es läuft wieder alles. Ich hatte leider einen Eintrag bei hijackthis übersehen, der hat es dann wieder gefixt.

Dennoch wäre es interessant, etwas über den gefundenen Virus zu erfahren. TROJ_DLOAD.D ist nirgendwo bekannt.

Schöne Woche!
Monika


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131