Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB (https://www.trojaner-board.de/7423-hilfe-tr-dldr-small-tr-dldr-agent-cb.html)

Kayli16 08.09.2004 12:33
Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
 
Hallo zusammen! Ich bin neu hier.
Ich hab ein Trojanerproblem und keine Ahnung, wie ich damit umgehen muss. Könnt ihr mir vielleicht helfen? Antivir hat gestern folgenden Report ausgegeben. Es hat vier Trojaner gefunden, konnte sie aber nicht löschen oder reparieren, da sie sich in Archiven befinden.

C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR
gobackio.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
w32_API.cab
ArchiveType: CAB (Microsoft)
--> hermes.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.CB
C:\Dokumente und Einstellungen\Besitzer
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Eleni
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Eleni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Eleni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4P63C1QF
adapi[1].cab
ArchiveType: CAB (Microsoft)
--> hermes.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.CB
C:\Dokumente und Einstellungen\Eleni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MBY3APMZ
clpages[1].cab
ArchiveType: CAB (Microsoft)
--> ad_supported.htm
HINWEIS! Der Archivheader ist defekt
--> apm_eula.txt
HINWEIS! Der Archivheader ist defekt
--> apm_eula_txt.js
HINWEIS! Der Archivheader ist defekt
--> bullet.gif
HINWEIS! Der Archivheader ist defekt
--> b_arrow.gif
HINWEIS! Der Archivheader ist defekt
--> cl.css
HINWEIS! Der Archivheader ist defekt
--> cloudloader.js
HINWEIS! Der Archivheader ist defekt
--> configure.htm
HINWEIS! Der Archivheader ist defekt
--> download.htm
HINWEIS! Der Archivheader ist defekt
--> error_kmd.htm
HINWEIS! Der Archivheader ist defekt
--> error_p2p.htm
HINWEIS! Der Archivheader ist defekt
--> eula_altnet.htm
HINWEIS! Der Archivheader ist defekt
--> eula_gain.htm
HINWEIS! Der Archivheader ist defekt
--> eula_gain_txt.js
HINWEIS! Der Archivheader ist defekt
--> eula_kmd.htm
HINWEIS! Der Archivheader ist defekt
--> eula_kmd_read.htm
HINWEIS! Der Archivheader ist defekt
--> finish.htm
HINWEIS! Der Archivheader ist defekt
--> gator_eula.txt
HINWEIS! Der Archivheader ist defekt
--> icon_print.gif
HINWEIS! Der Archivheader ist defekt
--> installing.htm
HINWEIS! Der Archivheader ist defekt
--> kazaa_certified.gif
HINWEIS! Der Archivheader ist defekt
--> kmd_eula.txt
HINWEIS! Der Archivheader ist defekt
--> kmd_eula_txt.js
HINWEIS! Der Archivheader ist defekt
--> plus_upsell.gif
HINWEIS! Der Archivheader ist defekt
--> tick.gif
HINWEIS! Der Archivheader ist defekt
--> welcome.htm
HINWEIS! Der Archivheader ist defekt
SGWH[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\Eleni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5GDQRCT
explorer43[1].cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR


Ich habe schon in Foren herumgelesen, wo ähnliche Probleme vorlagen, da wurde immer empfohlen HiJackThis laufen zu lassen. Das hab ich auch mal gemacht, aber ich werde nicht schlau draus. Hier ist die Log.


Logfile of HijackThis v1.97.7
Scan saved at 13:06:22, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programs\AVPersonal\AVGUARD.EXE
C:\Programs\AVPersonal\AVWUPSRV.EXE
C:\Programs\norton systemworks\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programs\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\programs\Scanner\OCR\opware32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programs\AVPersonal\AVGNT.EXE
C:\Programme\Generic\802.11b Wireless USB Adapter\drivers\WINXP\NBUSBMonitor.exe
C:\Programs\Norton SystemWorks\Roxio\GoBack\GBTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programs\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stargate-board.net/board/portal.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OmniPage] c:\programs\Scanner\OCR\opware32.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programs\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 24***
O4 - HKLM\..\Run: [AVGCtrl] C:\Programs\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: 802.11b Wireless USB Adapter.lnk = C:\Programme\Generic\802.11b Wireless USB Adapter\drivers\WINXP\NBUSBMonitor.exe
O4 - Global Startup: GoBack.lnk = C:\Programs\Norton SystemWorks\Roxio\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programs\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programs\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/166d3321e42e25a...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7684.464849537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC1189F3-AFE4-4130-950A-9592F913B792}: NameServer = 192.168.121.252,192.168.121.253


Wäre super, wenn mir jemand helfen könnte.
MFG, Kayli

MountainKing 08.09.2004 12:47
Besorg dir bitte die aktuelle Version von Hijackthis:

http://www.hijackthis.de/hijackthis_198.zip

Lösche deine temporären Internetdateien.
Lade dann dieses Programm herunter, update und lass es wie beschrieben laufen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Erstelle dann im normalen Modus ein neues Log und poste es, schreibe auch genau auf, welche Schädlinge durch E-Scan gefunden wurden.
Welche Bezeichnung hat dein Motherboard (du müsstest ein Handbuch dazu bekommen haben)?

Kayli16 08.09.2004 14:12
Hi. Vielen Dank für die schnelle Antwort erstmal.

Muss ich vor dem Installieren von escann AntiVir deinstallieren oder verträgt sich das?
Ist dieses escann als Virenprogramm besser als Antivir oder was ist das?

Wegen dem Motherboard muss ich mal suchen...

MountainKing 08.09.2004 14:18
Nein, musst du nicht installieren, da E-Scan nicht wirklich installiert wird, die kommen sich nicht in die Quere, wenn du es im abgesicherten Modus scannen lässt. Ansonsten müsstest du höchstens den Hintergrundwächter von Antivir während du E-Scan laufen lässt, evtl. deaktivieren (ist im abgesicherten Modus aber eh nicht da).

E-Scan verwendet die Scanengine und die Signaturen von Kaspersky, der in der Regel eine etwas höhere Erkennungsrate als Antivir hat, ohne letzteres schlechtmachen zu wollen. Und da du es nicht wirklich installieren musst (s.o.) ist E-Scan als Zweitscanner außerdem sehr gut.

Kayli16 08.09.2004 17:23
Puh, das hat ganz schön gedauert, scheint sich aber gelohnt zu haben. Die vier, die AntiVir gefunden hatte, sind gelöscht, dafür hat escann noch ein paar andere gefunden und umbenannt.

Also das kam bei Escann (im abgesicherten Modus) raus:

File C:\explorer.cab infected by "Trojan.Win32.Dialer.em" Virus. Action Taken: File Deleted.
File C:\Programs\Breakit\setup\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
File C:\RECYCLER\NPROTECT\00009685. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\RECYCLER\NPROTECT\00009688. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\RECYCLER\NPROTECT\00009768. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{BA671CE2-35CE-4E1A-8BF0-F5F3A9D000F9}\RP207\A0033790.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\w32_API.cab infected by "TrojanDownloader.Win32.Agent.cb" Virus. Action Taken: File Deleted.


Und das ist das neue Log von HiJackThis (im normalen Modus):

Logfile of HijackThis v1.98.2
Scan saved at 18:08:17, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programs\AVPersonal\AVGUARD.EXE
C:\Programs\Server\Apache\Apache\Apache.exe
C:\Programs\AVPersonal\AVWUPSRV.EXE
C:\Programs\norton systemworks\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programs\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programs\Server\Apache\Apache\Apache.exe
C:\programs\Scanner\OCR\opware32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programs\AVPersonal\AVGNT.EXE
C:\Programme\Generic\802.11b Wireless USB Adapter\drivers\WINXP\NBUSBMonitor.exe
C:\Programs\Norton SystemWorks\Roxio\GoBack\GBTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programs\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stargate-board.net/board/portal.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OmniPage] c:\programs\Scanner\OCR\opware32.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programs\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programs\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: 802.11b Wireless USB Adapter.lnk = C:\Programme\Generic\802.11b Wireless USB Adapter\drivers\WINXP\NBUSBMonitor.exe
O4 - Global Startup: GoBack.lnk = C:\Programs\Norton SystemWorks\Roxio\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programs\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programs\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programs\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programs\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programs\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programs\Translator.lnk (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programs\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programs\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/166d3321e42e25a...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC1189F3-AFE4-4130-950A-9592F913B792}: NameServer = 192.168.121.252,192.168.121.253

Muss ich da noch was tun?

*Christian* 08.09.2004 23:23
Ich sehe im Log nichts ungewöhnliches.

Dies kannst du jedoch fixen:

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programs\Translator.lnk (file missing)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/166d3321e42e25...RdxIE601_de.cab

Kayli16 09.09.2004 11:54
Ok, hab ich gemacht!

Vielen, vielen lieben Dank euch beiden!! Habt mir echt sehr geholfen. :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131