Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme mit TR/Dldr.Ag.24576.TA (https://www.trojaner-board.de/54617-probleme-tr-dldr-ag-24576-ta.html)

DJKat 24.06.2008 07:10
Probleme mit TR/Dldr.Ag.24576.TA
 
Hallo!

Wir haben mit einem Rechner massive Probleme mit TR/Dldr.Ag.24576.TA.
Hab bereits alles mögliche versucht um den Plagegeist loszuwerden, AntiVir findet ihn aber immer noch.
Umbenennen oder löschen im laufenden Betrieb unmöglich.

Hab bereits
- Spybot
- Trojan Remover
- Malwarebytes Anti-Malware

Alles bislang ohne Erfolg.

Hier das HJT-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:14:02, on 24.06.2008
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OGSid\V2R1Client\updater\OGSidClientUpdate.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - C:\WINNT\system32\nnnnKddd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OGSid V2R1 Updater.lnk = C:\Programme\OGSid\V2R1Client\updater\OGSidClientUpdate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8A8FE87-BB2B-4FE9-BFFF-D0517E8AE6DC}: NameServer = 192.168.0.xxx
O20 - Winlogon Notify: nnnnKddd - C:\WINNT\SYSTEM32\nnnnKddd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 4381 bytes
Jemand noch weitere Ideen oder muss ich den Rechner wirklich komplett plattmachen und Windows 2000 neu draufziehen?

LG Dany

DJKat 24.06.2008 08:40
Ach ja - der Trojaner steckt lt Antivir in der Datei C:\WINNT\SYSTEM32\nnnnKddd.dll.

Lucky 24.06.2008 09:48
Am besten einmal mit Malwarebyte Antivirus scannen und das Ergebnis hier posten.

DJKat 24.06.2008 11:01
Also hier das Log:

Code:
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 881

11:52:20 24.06.2008
mbam-log-6-24-2008 (11-52-20).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 69570
Scan Dauer: 29 minute(s), 27 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINNT\system32\nnnnKddd.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5f11d5d5-3fb2-4add-84ad-d69bc9a5d312} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5f11d5d5-3fb2-4add-84ad-d69bc9a5d312} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnkddd (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5f11d5d5-3fb2-4add-84ad-d69bc9a5d312} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINNT\system32\nnnnKddd.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINNT\system32\rqRIyApN.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\pmnoMdec.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\awtqnlJd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\hgGxVOgH.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\mlJBQJbA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\ljJBqnOg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\system32\ljJARhGW.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Wo der Vundo schon wieder herkommt weiß ich nicht, der war eigentlich ausgerottet.

Aber C:\WINNT\system32\nnnnKddd.dll ist immer noch da, kann nicht gelöscht werden.

DJKat 26.06.2008 15:36
Mmmhhh....
Keine Antwort mehr?
Soll ich das System platt machen?

DJKat 27.06.2008 15:00
Da es hier anscheinend niemanden mehr interessiert hab ich die Festplatte gerade formatiert und das System neugemacht.

:headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129