Trojaner TR/Dldr.Small.aupt

[Amy]

Hallo
beim Virenscan mit Antivir pro wurde bei mir der obengenannte Trojaner 4 mal gefunden.
Ich habe die Trojaner mit Hilfe des Virenscanners in die Quarantäne verschoben.
Nun meine Frage: Genügt das, oder muss ich sonst noch etwas tun?
Ich arbeite mit XP Pro. In der Beilage habe ich das Scanergebnis als Textdatei angefügt.
Ich wäre froh, wenn mir jemand sagen könnte, ob dieser Trojaner gefährlich ist, da ich auch auf dem Laptop mit welchem ich E-Banking mache, dieses Ding gefunden habe.
Herzlichen Dank.

 

[Swisstreasure]

Herzlich Willkommen auf PCtipp.ch

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

[size=+1]Vista[/size] und [size=+1]Win7 User[/size]
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Der Fund versteckt sich nur noch in der Systemwiederherstellung. Aber schauen wir nach ob noch was anderes auf dem System lauert :)



[size=+1]Schritt 1[/size]

Downloade Malwarebytes Anti-Malware (ca. 2 MB) von diesen Downloadspiegel:

Malwarebytes​

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
• Aktiviere "Komplett Scan durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

[size=+1]Schritt 2[/size]

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  
  Textbox.

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf
  
  .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

 

[Amy]

Hallo Swisstreasure

Ich habe nun endlich die Scans abgeschlossen und die Resultate gespeichert.
Da ich ziemlich neu bin in diesen Forum musst Du mir nun helfen, wie ich die Logfiles posten soll, da diese sehr gross sind. Du sagst, dass ich die Files direkt in den Thread kopieren soll, nur weiss ich nicht sicher wie das geht.
Herzlichen Dank und sorry, dass ich vielleicht etwas schwer von Begriff bin.

 

[Swisstreasure]

Du kannst die Logs als Anhänge posten. Klicke dazu bei Antworten unten auf Anhänge verwalten. Dort kannst Du dann die Anhänge hochladen.

 

[Amy]

Gut, dann poste ich die Logs im Anhang.
Das OTL Log poste ich in einer zweiten Nachricht, da es zu gross ist.
Ich habe nun alle Deine Anweisungen befolgt und nochmals den Avira Antivir durchlaufen lassen. Resultat: Kein Virus gefunden! Kann ich nun sicher sein, dass der Trojaner endgültig weg ist, oder hält sich das Ding noch irgendwo versteckt. Ich frage mich auch, wie es soweit kommen konnte, dass ich in der gleichen Datei auf zwei verschiedenen Computer diesen Trojaner haben konnte. Kann es sein, dass die Datei mit dem Update von HP infiziert wurde?
Da ich mit dem Laptop mein E-Banking mache und sonst weder damit maile noch surfe, möchte ich ganz sicher sein, dass alles bereinigt ist, sonst mache ich dann lieber ein Neuaufsetzen.
Nochmals vielen Dank

p.s. die

 

[Amy]

Leider funktioniert es nicht, da der Anhang zu gross ist. Was also tun?

 

[Swisstreasure]

Der Anhang für OTL? Lösche zuerst den Anhang aus deinem ersten Post und versuche es dann nochmals.

 

[Amy]

Nun hat es funktioniert. Ich habe die Anhänge in zwei Teile aufgeteilt, da das ganze File zu gross war.

 

[Swisstreasure]

Ich sehe keine schädlichen Einträge.

[SIZE=+1]Schritt 1[/SIZE]

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]

• und füge es hier ein:
  
  
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klicke auf
  
  .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

[SIZE=+1]Schritt 2[/SIZE]

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.​

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den
  
  Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• Start drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

 

[Amy]

Ich habe nun Schritt 1 (Reinigung mit OTL) erledigt und einen Neustart gemacht. Nur leider bleibt mein Computer bei "Windows wird heruntergefahren" stehen und rührt sich nicht mehr. Kann ich einen Neustart mit Reset erzwingen?
Danke

 

[Amy]

Scanergebnisse

Nachdem ih den Computer manuell zum Neuaufstarten gezwungen habe, sind hier die Resultate der Scans. Da es scheint, dass auf dem lokalen Laufwerk E: noch ein anderer Trojaner vorhanden ist, könnte ich ev. dieses Laufwerk formatieren?

All processes killed
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33438 bytes
->Flash cache emptied: 56545 bytes
 
User: LocalService
->Temp folder emptied: 72606 bytes
->Temporary Internet Files folder emptied: 11059675 bytes
->Flash cache emptied: 456 bytes
 
User: NetworkService
->Temp folder emptied: 757930 bytes
->Temporary Internet Files folder emptied: 115145172 bytes
->FireFox cache emptied: 3039711 bytes
 
User: Ruth Glatthard
->Temp folder emptied: 151413335 bytes
->Temporary Internet Files folder emptied: 13827381 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44398986 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 2099135 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138908 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 92423952 bytes
RecycleBin emptied: 6594613 bytes
 
Total Files Cleaned = 422.00 mb

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=a909a16914f4fa45916ccdca75200233
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-10-01 08:42:00
# local_time=2010-10-01 10:42:00 (+0100, Westeuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 42580675 42580675 0 0
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 118 118 0 0
# scanned=460005
# found=8
# cleaned=0
# scan_time=11293
C:\Dokumente und Einstellungen\Ruth Glatthard\Anwendungsdaten\phonostar-Player\update2.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Ruth Glatthard\Eigene Dateien\Download\ps_radio2014.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
E:\2009\12\C_Dokumente und Einstellungen\Ruth Glatthard\Anwendungsdaten\phonostar-Player\update2.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
E:\2009\12\C_Dokumente und Einstellungen\Ruth Glatthard\Eigene Dateien\Download\ps_radio2014.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
E:\2009\12\C_Dokumente und Einstellungen\Ruth Glatthard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4YWG1H6\google[1]	JS/TrojanDownloader.Iframe.NGU trojan	00000000000000000000000000000000	I
E:\2009\Download\ps_radio2014.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
M:\20100520_181501_201014.nba	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I
N:\Download\ps_radio2014.exe	a variant of Win32/Adware.ADON application	00000000000000000000000000000000	I

 

[Swisstreasure]

Ich nehme an, dass dies Dein Backup ist? Wenn ja dann lösche das gesamte und mache ein neues nach der Reinigung.

 

[Amy]

Kann ich das E: auch formatieren, da ich beim Löschen Meldungen bekomme, dass gewisse Dateien nicht gelöscht werden können?

 

[Swisstreasure]

Ist das ein Laufwerk oder eine Partition?

 

[Amy]

Es ist ein Laufwerk

 

[Swisstreasure]

Ja dann kannst Du es formatieren.

Danach beachte folgendes:
http://www.hijackthis-forum.de/tipp...sta-und-windows-7-anleitungen.html#post255576

 

[Amy]

So nun habe ich das Laufwerk formatiert. Muss ich sonst noch etwas tun, oder kann ich nun davon ausgehen, dass mein Computer wieder sauber ist?

 

[Swisstreasure]

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

[size=+1]Schritt 1[/size]

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


[size=+1]Schritt 2[/size]

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


[size=+1]Schritt 3[/size]

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hierhttp://www.hijackthis-forum.de/tipps-tricks/13130-spywareblaster-de-anleitung.html
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

[size=+1]Schritt 4[/size]

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScripthttps://addons.mozilla.org/de/firefox/addon/722
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlushttps://addons.mozilla.org/de/firefox/addon/1865
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOThttps://addons.mozilla.org/de/firefox/addon/3456 (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

 

[Amy]

Danke

Hallo Swisstreasure
nochmals ganz herzlichen Dank für Deine Geduld mit mir und Deine Hilfe. Ich habe nun meinen Computer nach Deinen Anweisungen gesäubert und auch die von Dir vorgeschlagenen Programme installiert.
Ich hoffe, dass das Problem damit gelöst ist und ich wieder ohne Gefahr meinen Compi gebrauchen kann.
Interessiert hätte mich aber doch noch, wie der gleiche Trojaner auf meinen Computer UND meinen Laptop geraten konnte. Mit dem Destop PC surfe ich im Internet und lade auch Programme herunter. Aber den Laptop benutze ich nur für das E-Banking und brauche diesen weder fürs Mailen noch sonst im Internet.

 

[Swisstreasure]

Bei der Infizierung handelte es sich um Adware. Das kann von Programmen stammen, welches nebenbei noch anderes auf den PC läd was z.B. mit Werbung vebunden ist. Du hast evtl auf beiden System das gleiche geladen und somit auch die "Infektionen" auf beiden Systemen erlebt.

Aber Du musst Dir keine Sorgen machen. Was da gefunden wurde ist halb so wild :) Quasi eine kleine Erkältung.