Hallo zusammen!

Hier eine Anleitung, was zu tun ist, wenn sich der Trojaner Cimuz-BD auf dem System befindet!

Symptome:

• Virenscanner findet z.B. "rsvp32_2.dll", "ipv6monl.dll" oder andere DLLs im windows\system32 Ordner, kann diese aber nicht entfernen.
• Windows Explorer bringt beim öffnen "Can't load library from memory" und stürzt gelegentlich ab
• Mozilla Firefox funktioniert nicht mehr und man ist gezwungen, IE zu nutzen.
• (selten) Internet Explorer bringt die Messagebox "Suchseite kann nicht geöffnet werden". Internet funktioniert nicht, weder über url, noch über die IPS. Externe IPs lassen sich anpingen, jedoch lassen sich keine Namen auflösen.

Problemlösung:
Als erstes: Internetverbindung kappen!
Der Trojaner späht Benutzernamen, Passwörter etc. aus.

1. Als erstes sollten die dlls gelöscht werden, die der Virenscanner findet. Da es geschützte Windowsdateien sind, braucht ihr einen Unlocker dazu. (zu finden z.B. hier: Software - Unlocker)
Nachdem ihr die Datein gelöscht habt, wird das Internet zu 95% nicht mehr funktionieren. Aber - keine Panik!

2. Der Trojaner erstellt zwei Logdateien im Windows\system32\-Verzeichnis.
Die erste heisst "info.txt" und enthält euren Hostnamen mit Domain, IP Adresse, Land, die ComputerID und die Windowsversion.
Die zweite Date ist schon interessanter: Sie heisst "form.txt" und beinhaltet ein Menge Informationen:
Datum/Uhrzeit,URL,Benutzername,Passwort und fast jede Eingabe, die im Internet Explorer getätigt wurde. Diese Datei am besten ausdrucken, von einem sicheren PC aus ALLE Logindaten (ebay,onlinebanking etc.) ändern und später nachprüfen, ob auf den aufgelisteten Seiten irgend etwas auffälliges passiert ist.

3. Registry Einträge löschen.
Das aktuellste Update von Spybot findet die Registry Einträge selbstständig und erkennt auch, dass es dieser Trojaner ist.
Die, die ich bis jetzt identifiziert habe liegen unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\ControlPanel\load und heissen net_insll, ino und info_sze

4. Internet Explorer fixen.
Mit dem Tool LSPFix lässt sich der Internet Explorer wieder nutzen. Danach sollten als Präventivmaßnahme die Browser Helper Objects (BHO) deaktiviert werden. Dies lässt sich im Internet Explorer unter dem Menüpunkt Extras/Internetoptionen, dem Reiter Erweitert einstellen.
Entfernt hier die Haken für "Browsererweiterungen von Drittanbietern aktivieren", "Installation bei Bedarf aktivieren (andere)" und "Installation bei Bedarf aktivieren (Internet Explorer)"

5. Windows Explorer fixen.
Am schnellsten lässt sich der Explorer wieder fixen, in dem ihr auf Start/Ausführen geht und dort "rundll32.exe setupapi ,InsallHinfSection DefaultInstall 132 %windir%\inf\ie.inf" eintippt und mit Enter bestätigt. Hat bei zwei PCs von mir wunderbar funktioniert. Nicht sehr elegant, aber effektiv

Das wärs soweit.
Bitte ergänzt den Beitrag falls ihr wisst:

• woher der Trojaner kommt, wie die originale Exe heisst oder ob er auch über Websiten kommen kann
• welche zusätzlichen Registryeinträge, dlls, txt- oder Exedateien er anlegt
• wohin die Daten der beiden txt Datein geschickt werden

Viele Grüße
Bastard Operator
SirDregan

Hallo BOSD,
heute bin ich im Netz auf Deinen Beitrag gestoßen. Mein Problem ist, dass ich den gleichen Fehler auf meinem anderen PC habe, wie ein weiterer User nachfolgend geschildert:

""Windows XP "can´t load library from memory"
Hallo, ich habe folgendes Problem:
Wenn ich mein Windows XP Home Edition normal starte, dann erhalte ich beim klicken auf den Arbeitsplatz oder irgendeinan anderen Dateiordner auf dem Desktop die Fehlermeldung "can´t load library from memory".""

Die Meldung kann ich entweder mit X schließen oder (wahrscheinlich schlechter) mit OK bestätigen. Danach geht das Fenster zu und die Anwendung läuft.
In ...System32 stehen keine von Dir beschriebene Dateien (info.txt und form.txt).
In der Registry finden sich jedoch die drei Einträge net_insll, ino und info_sze.
Wenn ich diese drei Einträge lösche, würde dies dann genügen? Oder soll ich sie nur umbenennen? Gibt es evtl. eine Lösung, dass die nervigen Fehlermeldungen (s.o.) nicht mehr vor Öffnen von Ordnern oder sonst. Verknüpfungen erscheinen.
Für Deine Hilfe wäre ich sehr dankbar
frdl. GGrüße
Albhase

Hallo,
meine Frau hatt heute eine ebay Meldung angeklickt,von ebay Kundensupport.
Jemand hätte die email Adresse geändert.
Ich aber noch dazu den Smitfraud-c.ebaybill und den telekombill.fake.
Kann die Anleitung von oben jemand einfacher posten ?
Mozilla geht auch nicht mehr,nur noch Explorer.
vielen Dank

Hi joergabc,
das war's!. Auch ich bin in dieser Mail auf den Anhang reingefallen und habe ihn geöffnet, worauf ich mir scheinbar diesen Trojaner eingefangen habe. Die Mail habe ich danach "leider" gelöscht. Es scheint mal wieder die miese Tour zu sein. Ich habe Web.de davon per Mail informiert (Kundenservice". Dort scheint man das Problem zu unterschätzen. Die Reaktion war

""
Sehr geehrte Damen und Herren,

vielen Dank für Ihre Nachricht.
Bitte haben Sie Verständnis, dass wir an dieser Stelle leider nicht persönlich auf Ihre E-Mail antworten können.

Bitte beachten Sie, dass Kündigungen und Widerrufe, die Sie an diese Adresse schicken, nicht bearbeitet werden und keine Rechtsgültigkeit haben.

Hier finden Sie Ihren richtigen Ansprechpartner:

Kundenservice: http://kundenservice.web.de/
Telefonservice: http://kundenservice.web.de/Services/Telefonnummern/
Jobs bei WEB.DE: http://jobs.web.de/
Fragen zur GmbH: http://www.webde.de/de/
Werbung auf WEB.DE: http://advertising.web.de/de/Kontakt/
Presseservice: http://presslounge.web.de/

Wir wünschen Ihnen weiterhin viel Spaß und gute Kommunikation mit WEB.DE.

Mit freundlichen Grüßen
Ihr WEB.DE Kundenservice""

Das ist Service!!!!

Deshalb ACHTUNG an Alle. Hier ist offensichtlich wieder ein Trojaner unterwegs.
Mein Problem des Erscheinens der Meldung beim Anklicken der Desktopsymbole konnte ich jedenfalls nicht lösen.
albhase

Hallo,
also das Norton findet natürlich(wie immer !!!) nichts.
Leider komm ich mit Anleitung von oben nicht klar.
Gibts den wirklich hier niemand der das einfacher erklären kann ?
Ich habe unlocker und ispfix heruntergeladen.
Nur Spybot findet den Trojaner,kann aber nicht löschen.
Ansonsten werde ich formatieren müssen.
Grüsse jörg

Ich kann nur davor warnen, bei Diagnose und Desinfizierung Alleingänge zu starten. Bei anderen als der BD-Variante von Cimuz kann Backdoorfunktionalität gegeben sein. Und allein anhand der DLLs kann man den Schädling nicht sicher klassifizieren.

Wer Probleme hat oder sich unsicher ist, kann gerne hier im Forum seine Sache unter (Beachtung der Nutzungsbedingungen) posten.

Gruß

Marc

Hallo,

auch ich habe den dummen Trojaner auf meinem Rechner.

Erst spinnte der Pc rum (Abstürze, Fehler der .dll Sachen, cant load libary from memory).
Ab und weg: der geheiligte Virenscanner, der das Übel fand. Nix konnte gelöscht werden, die befallenen dll Sachen habe ich noch nicht mal gefunden, am nächsten Morgen ging garnichts mehr.
An ging er, hochfahren hat er auch noch hinbekommen, aber keine Ordner wurden mehr geöffnet, keine Programme gestartet.
Zuerst die Systemwiederherstellung- Pustekuchen. Nix wollt er.
Ab ins Bios (haha)- wieder Pustekuchen.
Selbst die Windows Neuinstallation hatte er immer wieder abgebrochen.
Nach dem 20sten Mal funktionierte dies.. Das neue Problem trat aber auch auf: Anstatt eine Neuinstallation (die ich auswählte), reparierte er das System und nach wie vor habe ich den Mist drauf... Zum glück "nur" noch die Fehlermeldung "cant load libary from memory" und Firefox Fehler.

Bin kurz davor alles bunt von meiner Platte zu löschen ^^

Ich werde den Virenscanner im Laufe des Tages nochmal drüber laufen lassen und die befallenen Ordner/ Anwendungen angeben.

Eine Mail von Ebay habe ich nicht geöffnet, soviel ist sicher...


Ich habe mich noch nicht umgeschaut. Aber ich hoffe, dass es ein "Schnellprog" zur Entfernung dieses Ärgernisses gibt (wird ja häufig auf heise.de angeboten)

Nich ärgern, es geht bestimmt noch schlimmer xD

moonwish

Editieren scheint hier nicht zu funktionieren, also so:

Ich habe nochmals den Virenscan (BitDef.) drüber laufen lassen, diesmal die Einstellung auf löschen gestellt, da beim vorherigen Durchlauf eine Verschiebung in Quarantäne oder umbenennen nicht wollte.

Ja und diesmal ging auch alles zu löschen. Von den angegebenen Dateien hatte ich keine gefunden (auch, als ich versteckte Dateien anzeigen lassen habe -.-).

Kein dämliches "cant load libary from memory" Gedöns mehr Hab den Pc neugestartet und es loft rund.

Beim Virenscan hab ich die I net Verbindung gekappt (wie unten gesagt).


Wünsche denen, die ihn noch nicht runter habe viel Erfolg und mal gucken, wie lang es bei mir anhält^^

Hallo zusammen,
es ist halt sch..., wenn man blöd ist, hat mein Kollege Leiter Programmierung mir immer mal wieder gesagt und wo er recht hat hat er halt recht: Ich wußte von Mail-Anhängen mit .pde.exe. Leider hatte ich mir den Dateinamen erst etwas zu spät angesehen und daraufhin das Abspeichern der Datei noch ganz schnell abgebrochen.
Der Trojaner war noch nicht voll zum Zuge gekommen. Er hatte bis zu meinem Abbriuch nur die ipv6monl.dll in mein XP eingeschleußt, was aber reichte, damit der Firefox nicht mehr funktionierte und die Fehlermeldung "Can't load library from memory." kam. Die übrigen Sachen konnte ich vermutlich noch verhindern.
Die dll ging nach manueller Suche im Verzeichnis problemlos zu löschen und damit funktionierte auch das System wieder komplett.

Mich würde mal interessieren, warum noch keiner der Antiviren-Programmierer mal auf die einfache Idee gekommen ist, diese Proggis anhand der Anhänge zu identifizieren. Betriebsmäßig gibt es keine Datei xxx.pdf.exe. Demzufolge wäre es doch das Einfachste, jede Datei xxx.pdf.ece oder xxx.irgendwas.exe als Virus oder Trojaner zu betrachten. Das könnten ja sogar die Browser bewerkstelligen. Wie könnte man die lieben Kollegen mal dazu bringen? Hat jemand eine Idee? Oder sieht jemand bei einer derartigen vorgehensweise ein Problem?

Grüße FF
webmaster / IT-Ing.

Hi, (hoffentlich) hatte auch den virus und bin genau nach dieser Beschreibung vorgegangen.

Die Form.txt und info.txt werden jetzt nicht mehr aktualisiert, das sagt mich doch, das ich den Sausack vertrieben habe, oder?

Aber noch eine Anschlussfrage: Seit ich heute morgen diesen Virus hatte, lässt sich mein Vshield (firewall von VIWAS) nicht mehr aktivieren, aber trotzdem scannt sie Dateien etc. hat das auch mit dem Virus zu tun?

MfG
Marius

Hallo,

Zitat:

nicht mehr aktivieren, aber trotzdem scannt sie Dateien etc

Kann es sein ,das du den Virenscanner meinst ?
Kann es sein,das du den Scanner in Verbindung mit "DATEV" benutzt ?
Kann es sein das daß dann kein privater Rechner mehr ist ?
Antwortest du dreimal mit "Ja" solltest du deinen Admin kontaktieren bzw.die Firma die für dich/euch zuständig ist ........

Zitat:

Die Form.txt und info.txt werden jetzt nicht mehr aktualisiert, das sagt mich doch, das ich den Sausack vertrieben habe, oder?

Das sagt nur,das die beiden Dateien nicht mehr aktualisiert werden....
Irrlicht

....ich bin genau nach der beschreibung vorgegangen und hab mit spybot alle dateien gelöscht....wie weiß ich denn jetzt ob der virus noch drauf ist, oder nicht?!?!

Hallo,

Zitat:

ich bin genau nach der beschreibung vorgegangen

Du sprichst von der Beschreibung von "Sir Dregan" ?
Der ist genau so ein Besucher hier wie du.Ob man deshalb seiner Anleitung folgen möchte,ist jedem freigestellt.
Persönliche Meinung : Ich würde es nicht tun.....
Du solltest zuallererst feststellen welche Variante bei dir untergekrochen ist.
Daher hat der Beitrag von "MM" ist Nummer 6 insgesamt die höchste Bedeutung in diesem Thread.
Die Schlüsse daraus must du aber selbst ziehen.....
Übrigens ist es besser,du machst für dein Problem einen eigenen Thread auf.Es wird so nämlich sehr schnell unübersichtlich.
Irrlicht

Hallo Marcus,

du hast gefragt: "Seit ich heute morgen diesen Virus hatte, lässt sich mein Vshield (firewall von VIWAS) nicht mehr aktivieren, aber trotzdem scannt sie Dateien etc. hat das auch mit dem Virus zu tun?" Ich muß Dir da leider mitteilen, daß dies sicherlich so ist. Ich war auch auf die xxx.pdf.exe hereingefallen (hatte aber den Beschiß bemerkt und die installation vorher noch abgebrochen) und mußte nach der Reinigung des Systems Norton Antivirus 2006 nach einer Deinstallation mit vielen Hindernissen neu Installieren (auch wieder mit vielen Hindernissen). Ich würde Dir dringend raten, das Programm ebenfalls neu zu installieren.

Falls Du Fragen hast, stehe ich Dir auch gern telefonisch zur Verfügung.

Grüße FF

Zitat:

Zitat von ffrenzel

Hallo zusammen,
es ist halt sch..., wenn man blöd ist, hat mein Kollege Leiter Programmierung mir immer mal wieder gesagt und wo er recht hat hat er halt recht: Ich wußte von Mail-Anhängen mit .pde.exe. Leider hatte ich mir den Dateinamen erst etwas zu spät angesehen und daraufhin das Abspeichern der Datei noch ganz schnell abgebrochen.
Der Trojaner war noch nicht voll zum Zuge gekommen. Er hatte bis zu meinem Abbriuch nur die ipv6monl.dll in mein XP eingeschleußt, was aber reichte, damit der Firefox nicht mehr funktionierte und die Fehlermeldung "Can't load library from memory." kam. Die übrigen Sachen konnte ich vermutlich noch verhindern.

Mich würde brennend intressieren wie du deine Annahme "die vollständige Installation verhindert zu haben " begründest ?
Als Webmaster,auch ehrenamtlicher,sollte man unbedingt wissen das Email-Anhänge von unbekannt absolut "bäh" sind.....
...und das diese Anhänge genannt werden dürfen wie der Autor es möchte,daher ist auch diese Annahme:

Zitat:

Mich würde mal interessieren, warum noch keiner der Antiviren-Programmierer mal auf die einfache Idee gekommen ist, diese Proggis anhand der Anhänge zu identifizieren.

ein Griff ins Klo...
er nächste Anhang heißt dann eben nicht mehr pdf.exe sondern dpf.exe und dein Scanner greift wieder mal ins Leere...

Zitat:

Demzufolge wäre es doch das Einfachste, jede Datei xxx.pdf.ece oder xxx.irgendwas.exe als Virus oder Trojaner zu betrachten

Nein so einfach wird das nix.Wieviele Namen willst du aufnehmen ?
Mein Vorschlag an dich wäre folgender : Versuche ma über Google nach der Arbeitsweise eines Scanners zu suchen.Erkennungsroutinen funktionieren anders ,als du es dir vorstellst......

Zitat:

und mußte nach der Reinigung des Systems Norton Antivirus 2006 nach einer Deinstallation mit vielen Hindernissen neu Installieren (auch wieder mit vielen Hindernissen). Ich würde Dir dringend raten,

Ich würde dir dringend raten ,dein System sehr genau zu untersuchen,wenn nicht sofort Neuaufsetzen die bessere Lösung wäre.....
Ein sehr beliebtes Spielchen bei Backdoortrojanern ist die Abschaltung der AV-Scanner.Läuft der Scanner nicht,kann der Trojaner auch nicht entdeckt werden.Klingt logisch,ne ?
Nach der Installation deines Scanners stellt sich der Backdoor dann als Systemdatei vor und dein Scanner läßt ihn fortan freie Hand....
Irrlicht