Anti Vir meldet folgenes TR/DLdr.Adloa.bg sowie ein infiziertes Java Script

#0
07.06.2006, 00:21
Member

Beiträge: 119
#1 Hallöchen,
das antivir hat den TR/DLdr.Adload.bg gemeldet in dem Pfad
C\System Volume Information\_restore {29C7666D-ED5F-4A18-BD 78-D2DEB2F4DE46}RP258\A0042566.exe
sowie eine infiziertes java script JS,Click.Tagem.A.
Den Trojaner habe ich erstmal gelöscht aber ich befürchte der kommt wieder.
Das java script wurde beim scan entdeckt und ist in die Quarantäne verschoben worden.
Da ich eifrige Leserin hier bin habe ich bei meinem Sohn auf dem Rechner ein Admin konto (Vollzugriff) und ein oem Konto mit beschränktem Zugriff.
Ich kann hijackthis und die datfindbat ja nur im adminmodus runterladen. Wo soll ich diese dateien abspeichern und müssen beide konten geprüft werden?

Liebe Grüße
Fratzi
Seitenanfang Seitenende
07.06.2006, 17:26
Moderator

Beiträge: 7805
#2 Auf welchem Konto trat die Infektion auf? Das Hijackthis log muss von dem Konto erfolgen, das von datfindbat vom Admin Konto aus.

Mir faellt gerade ein, das Antivir bei einem Update einen Fehlalarm auf diesen Trojaner hatte. Mache vorher ein Update, und pruefe die Datei erneut.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.06.2006, 21:21
Member

Themenstarter

Beiträge: 119
#3 Hallo Ralf,

die Infektion wurde im Konto von Junior gemeldet. Ich habe ein Update gemacht und einen Scan gemacht. Da der Trojaner durch den Guard gemeldet wurde habe ich mal den Rechner länger laufen lassen. Es wurde keine Infektion bisher mehr gemeldet. Zur Info habe ich noch Auszüge aus den Protokolldateien hier eingefügt. Wenn ich trotzdem noch was veranlassen soll sage mir bitte Bescheid.


Ich bin Euch wirklich sehr dankbar für eure Hilfe!!!!!!

Liebe Grüße
Fratzi

Fund des AV Guard

06.06.2006,21:28:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Adload.bp!
C:\Programme\Support Tools\activate.exe
[INFO] Die Datei wird gelöscht!
06.06.2006,22:24:51 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Adload.bp!
C:\System Volume Information\_restore{29C7666D-ED5F-4A18-BD78-D2DEB2F4DE46}\RP258\A0042566.exe
[INFO] Die Datei wird gelöscht!


Fund des Scans

C:\Dokumente und Einstellungen\Nicolas Grier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NTR3YETT\rmtag2[1].js
[0] Archivtyp: GZ
--> rmtag2[1]
[FUND] Enthält Signatur des Java-Scriptvirus JS/Click.Tagem.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44f9ef09.qua' verschoben!
C:\Dokumente und Einstellungen\Nicolas Grier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NTR3YETT\rmtag2[2].js
[FUND] Enthält Signatur des Java-Scriptvirus JS/Click.Tagem.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44f9ef67.qua' verschoben!
Seitenanfang Seitenende
08.06.2006, 21:39
Moderator

Beiträge: 7805
#4 Nutze bitte mal CCleaner von www.CCleaner.com Bei der installation bitte die Yahoo Toolbar nicht installieren!

Deaktiviere und aktiviere bitte auch noch die Systemwiederherstellung: http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.06.2006, 13:42
Member

Themenstarter

Beiträge: 119
#5 Hallo Ralf,

ich danke dir für die Antwort. Bevor ich etwas falsch mache hab ich es so richtig verstanden
CCleaner runterladen im Admin konto speichern
Systemwiederherstellung deaktivieren
im abgesicherten Modus den cleaner arbeiten lassen
zuletzt Systemwiederherstellung aktivieren

Gruß Fratzi
Seitenanfang Seitenende
09.06.2006, 13:52
Moderator

Beiträge: 7805
#6 Ja, so kannst du es machen. Obwohl fuer CCleaner der abgesicherte Modus nicht noetig ist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.06.2006, 22:44
Member

Themenstarter

Beiträge: 119
#7 Hallo Ralf,

ich habe alles erledigt. Ich hoffe das es sich damit erledigt hat.
Vielen lieben Dank für deine Hilfe!!!!
Ihr seit schon ein tolles Team.

Lieben Gruß
Fratzi
Seitenanfang Seitenende
10.06.2006, 15:18
...neu hier

Beiträge: 6
#8 Hallo!
Ich habe dasselbe Problem wie Fratzi. Bei mir meldet AntiVir seit 3 Tagen die Virusmeldung mit der Datei rmtag2[1].js . Ich habe auch raman's Hinweise mit dem CCleaner versucht, aber er kommt immer wieder. Die Virusmeldung kommt bei mir allerdings nur wenn sich so komische Seiten öffnen. Diese Seiten gehören allerdings nicht zu den Seiten die ich gerade benutze.
Bitte helft mir, ich will meinen PC nicht neu aufsetzen.
Seitenanfang Seitenende
11.06.2006, 16:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 FC_Liverpool

**
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

**
poste hier bitte den scan-report vom Antivirus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.06.2006, 16:27
...neu hier

Beiträge: 6
#10 THX an dich.
Hab das Problem behoben. ;)
Seitenanfang Seitenende