TR/Dldr.VB.aad.1 und TR/Dldr.Adload.AN
 

Hi, ich habe ein Problem mit den im Titel genannten Trojanern. AntiVir zeigt mir nach einiger Zeit immer an, dass einer der beiden gefunden wurde und zwar unter dem Verzeichnis C:\System Volume Information\_restore{C021F2D6-E59B-4D16-84A1-AF707A7F9D5D}\RP41\A0004593.exe . Anscheinend kann Antivir diese Trojaner nicht richtig löschen, denn nach einiger Zeit kommt wieder eine Meldung mit einem Fund und ich glaube die .exe-Datei ändert sich immer das weiß ich aber nicht so genau.

Ich habe mal eine hijackthis-logfile erstellen lassen und hoffe ihr könnt mir helfen. Im Internet finde ich nämlich nichts zu den Trojanern anscheinend hatte vorher noch keiner ein Problem damit gehabt.

Logfile of HijackThis v1.99.1
Scan saved at 18:41:46, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\ALCFDRTM.EXE
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Real\RealPlayer\realplay.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
D:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [\\Benjamin\EPSON Stylus DX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P37 "\\Benjamin\EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX4200 Series auf Benjamin] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P51 "Automatisch EPSON Stylus DX4200 Series auf Benjamin" /O16 "\\BENJAMIN\EPSON" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\World of Warcraft\BLASC\BLASC.exe"
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe es kann mir jemand weiterhelfen, wie man diese Plagegeister endgültig beseitigen kann. Kann es durch diese Trojaner auch sein, dass ich deswegen in letzter Zeit öfters E-Mails bekomme, bei denen die Adresse unbekannt war und deshalb wieder zurückgeschickt wurden?

Das ist der Ordner für die Systemwiederherstellung. Deaktiviere die, hier eine Anleitug dazu.

Lass diese Datei mal bitte bei Kasperskyauswerten und poste das Ergebnis.

Das hier spuckt der mir dann aus:

You're clean!

Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.

However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.

Systemwiederherstellung ist deaktiviert?
Mach mal einen Check mit escan, gemäß dieser Anleitung. Poste das "gefilterte" Log.

Oops, hatte das vorher noch nicht deaktiviert. Aber obwohl die jetzt deaktiviert ist, zeigt die mir das gleiche an. Muss ich das vielleicht im abgesicherten Modus machen?

Kann mir denn sonst keiner weiterhelfen?

Hi Bunninho,

bin absolut kein Experte, auch
Neuling, hatte aber das mit dem
System Volume.... genauso,
schau mal in den Threat: wie fackelt man den ab,

und mach mal das, was CAD mir am Schluß
empfohlen hat, mit Systemwiederherstellung
und Bereinigung, das könnt funzen!!

LG----Grec

Mach erstmal das was man Dir sagt, also mit eScan den PC scannen...alternativ auch hiermit. Öffne die Seite mit dem Internet Explorer und und klick dort auf Kaspersky Online Scanner. Warte dann ab, bis die Signaturen aktualisierst sind, danach auf Next klicken als Scanbereich am besten "My Computer" auswählen. Poste die Scanergebnisse.

Hmm. Ich habe jetzt mal mit e-Scan mein System gescannt und der hat 3 Viren gefunden. Die log-Datei ist mehrere Seiten lang. Muss ich die jetzt komplett im Forum posten? Oder gibt es da noch ne Kurz-Version mit den gefundenen Viren?

Hallo,

hatte genau diesen Effekt bei Kunden-PC.

DrWeb hat alles gefunden und entfernt.

Falls das Problem noch besteht - hier ist die freie Version dafuer:

http://www.drweb-online.com/de/cure_it.asp

Nach dem Neustart danach nochmal scannen zum Ueberpruefen.

Micha

Nun lies die Anleitung dochmal genau, ganz unten unter Punkt [5]. Also nur relevante Einträge aus der Logdatei posten.

Hallo,
verstehe ich die Behauptung richtig, das DrWeb Trojaner aus der Systemwiederherstellung löschen kann?
Arbeitest du für DrWeb oder machst du gratis Werbung?


Grüße Wildone

Das Motiv sollte klar sein, wenn man den Link postet und auch noch "drweb-online" als Nick hat! :lach:

So, das hier steht in der Virus Protokoll Information:

Object "smartadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe markiert als "not-a-virus:AdWare.Win32.MediaTickets.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Alles weitere such ich jetzt mal in der log-Datei :zzwhip:

So das hier steht in der log-Datei:

Sun Apr 23 15:14:48 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Sun Apr 23 15:14:48 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun Apr 23 15:14:48 2006 => Loading Spyware Signatures from new External Database (Size: 154889).
Sun Apr 23 15:14:51 2006 => Indexed Spyware Databases Successfully Created...

Sun Apr 23 15:14:59 2006 => Offending file found: D:\WINDOWS\run.ini
Sun Apr 23 15:14:59 2006 => System found infected with smartadware Spyware/Adware (run.ini)! Action taken: Keine Aktion vorgenommen.


UND:

Sun Apr 23 15:16:34 2006 => Scanne Datei D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe
Sun Apr 23 15:16:34 2006 => File D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe markiert als "not-a-virus:AdWare.Win32.MediaTickets.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Was soll ich jetzt mit den Dateien machen? Mit Kaspersky Online überprüfen?

Also Kaspersky Online bestätigt mir folgendes:

Scanned file: mshtml2.exe - Infected
mshtml2.exe - infected by not-a-virus:AdWare.Win32.MediaTickets.r


Und bei der run.ini zeigt der mir nichts an.Also die Datei scheint OK zu sein :aplaus:

Ja, wie sieht es denn jetzt aus? Was soll ich mit den infizierten Dateien machen?

Löschen ;)

Auch die run.ini?

Siehe Seite 3...

Poste mal den Inhalt der run.ini

[Variablen]
PSpice-Pfad=C:\MSIMEV8
PSpice-Ini-Datei=MSIM.INI
APLAC-Pfad=C:\APLAC73
ELEKTA-Pfad=C:\E2000
Windows-Pfad=D:\WINDOWS
Ini-Datei_benutzen=1

Sagen Dir diese Pfade etwas?
M.E. kannst Du die run.ini löschen.

Also ELEKTA is en Elektronikprogramm. Das andere sagt mir nichts.

Kann wohl sein, dass das auch von dem Elektronikprogramm ist.
Ansonsten scheint Dein System sauber zu sein.

Muss ich denn nach den Trojanern irgendetwas befürchten?

Können die trotzdem irgendeinen Schaden zufügen obwohl diese von Antivir erkannt wurden und ich dann auf "Zugriff verweigern" geklickt habe?

Und warum hat nur eScan die beiden Trojaner entdeckt und Antivir nicht?

Wohl nicht, Dein System scheint sauber zu sein, möglich wäre auch ein Fehlalarm von den Virenscanner - kann ich nicht sagen. 100%ige Sicherheit gibt's aber nicht!

Alles klar, dann danke ich dir mal für deine Hilfe.

Grüß sinus und tangens von mir ;)

Ich mal wieder:

Heute morgen hatte ich etwas ganz komisches. Meine Tastatur ging nach dem Hochfahren nicht mehr. Ein Neustart brachte keinen Erfolg. Als ich mein System dann zu einem früheren Wiederherstellungspunkt wiederhergestellt habe ging es auf einmal wieder. Kann sich dahinter noch ein anderer Trojaner verstecken? Von AntiVir wurde mir mal nichts ungewöhnliches angezeigt.

Kann ich mir jedenfalls nicht vorstellen, dass ein Schädling was damit zu tun haben könnte...