Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Beloru (https://www.trojaner-board.de/2520-trojaner-tr-beloru.html)

Vledermaus 07.01.2004 16:04
Hi, mein Virenprogramm AntiVir hat Gestern auf meinem Rechner den Trojaner TR/Beloru gemeldet.
Genauer gesagt die Datei A0076282.EXE.VIR sei das trojanische Pferd TR/Beloru.
Ich hab das Ding dann durch AntiVir löschen lassen, aber das hat wohl nix gebracht, denn heute ist das gleiche wieder passiert.
Hab das Teil jetzt erstmal ins Quarantäneverzeichnis verschoben, nur was mach ich jetzt? :confused: Wäre schön wenn mir hier jemand weiterhelfen könnte.

Hijackthis hab ich runtergeladen und hier ist das Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 15:44:58, on 07.01.04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\Sierra\After Dark\After Dark.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\AOL 8.0\waol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Dokumente und Einstellungen\Mona\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.internet-search.info/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.internet-search.info/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.internet-search.info/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchwww.com/bar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [After Dark QuickAccess] "c:\Sierra\After Dark\After Dark.exe" /taskbar
O4 - HKLM\..\Run: [AGNTD] C:\WINDOWS\AGNTD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.saturn.de
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall....eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://germany.trendmicro.de/housecall/xscan53.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci161.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AF83D4C-5A4A-4574-AF06-D965FF399008}: NameServer = 195.93.73.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EA75183-8E6A-4B5F-87D6-CC0C20BCC194}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA7A4D18-B5AC-4A3E-AD91-43839823F240}: NameServer = 192.168.120.252,192.168.120.253

MyThinkTank 07.01.2004 17:23
In dieser Zeile

</font><blockquote>Zitat:</font><hr />O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - ht*p://install.global-netcom.de/ieloader.cab </font>[/QUOTE]bekommst Du, wenn Du den IE benutzt, einen Trojaner untergejubelt, der laut Kaspersky "Win32.ladder" heißt.
Es handelt sich dabei um einen Browser-HiJacker.
Du solltest diesen Eintrag und die Datei "ieloader.dll" unbedingt löschen.

Danach lade Dir eine Testversion von KAV herunter und scanne Dein System gründlich. Das Ergebnis dann ggf. hier posten.
Link: www.kaspersky.com/de

Ein bißchen Aufräumarbeit in Deinem System bzw. Autostart dürfte auch nicht schaden ;) Darüber hinaus sei Dir ein anderer Browser empfohlen, z. B. Mozilla Firebird.

Gruß!
MyThinkTank

[ 07. Januar 2004, 17:28: Beitrag editiert von: MyThinkTank ]

Vledermaus 07.01.2004 19:02
Hi,

</font><blockquote>Zitat:</font><hr /> O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - ht*p://install.global-netcom.de/ieloader.cab
bekommst Du, wenn Du den IE benutzt, einen Trojaner untergejubelt, der laut Kaspersky "Win32.ladder" heißt.
Es handelt sich dabei um einen Browser-HiJacker.
Du solltest diesen Eintrag und die Datei "ieloader.dll" unbedingt löschen. </font>[/QUOTE]Hab ich gemacht, vielen Dank für die Info. [img]smile.gif[/img]
Mozilla Firebird hab ich runtergeladen und bei Kaspersky ein Antragsformular ausgefüllt und hoffe die melden sich bald.
Verträgt sich denn der Kaspersky AV mit meinem AntiVir oder soll ich den lieber rausschmeißen?
Und was mach ich nun mit dem TR/Beloru?
Fragen über Fragen.... [img]graemlins/dummguck.gif[/img]

Gruß
Mona

MyThinkTank 07.01.2004 19:22
Also:

1. Zwei Antiviren-Programme vertragen sich im Regelfall nicht, wenn sie gleichzeitig laufen. Normalerweise genügt Kaspersky! Willst Du Antivir zusätzlich zum Scannen haben, solltest Du dabei den KAV-Monitor abschalten. Eigentlich ist Antivir aber überflüssig.

2. Hast Du einen Probescan mit der 30-Tage-Trial-Version von Kaspersky gemacht? Wurde etwas gefunden?

3. "A0076282.EXE" bzw. "TR/beloru" sagen mir gar nichts. Das könnte auch ein Fehlalarm sein. Bitte mit KAV überprüfen!

Gruß!
MyThinkTank

sPaCeLoRd 07.01.2004 22:20
"A0076282.EXE" - TR/beloru
Tippe mal auf Dialer. Die Datei könntest du auch mal mit YAW - www.ya.at überprüfen.


C:\WINDOWS\AGNTD.exe
Was'n das ?


Folgende Einträge von HjT fixen lassen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.internet-search.info/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.internet-search.info/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.internet-search.info/searchbar

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchwww.com/bar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R3 - Default URLSearchHook is missing

QuickTime, RealPlayer und evtl. auch WinAmp kann man auch aus dem Autostart nehmen. Muß man natürlich nicht...

sPaCeLoRd 08.01.2004 12:08
Naja, Link versaut, www.yaw.at war gemeint.
Mit aktivierter Heuristik am besten...

Vledermaus 08.01.2004 16:01
Hi,
vielen Dank für Eure Hilfe [img]graemlins/aplaus.gif[/img]
Habe Gestern noch einen Scan mit KAV gemacht und dieser TR/Beloru scheint wohl wirlich ein Fehlalarm zu sein, Kaspinsky sagt jedenfalls das Ding wäre harmlos.
Es wurden dann noch zwei andere Dialer gefunden und gleich beseitigt.
Im Moment scheint jedenfalls alles ok zu sein.

Den Browser hab ich auch gewechselt, habe jetzt den Firebird und finde den sehr gut. Jetzt bin ich nur noch auf der Suche nach einem anderen Newsreader, habt ihr da vielleicht ne Empfehlung für mich?

Gruß
Mona


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:13 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28