| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.IstBar.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.12.2004, 15:59
| #1 |
| |  TR/Dldr.IstBar.A Hallo, habe vor einigen Tagen die Meldung bekommen, das sich der Trojaner TR/Dldr.IstBar.A bei mir eingenistet hat. Habe dann die von AntiVir angezeigte Archivdatei gelöscht. Seitdem ist die Meldung weg, aber sobald eine Onlineverbindung hergestellt ist, sendet der Computer ununterbrochen irgendwas irgenwohin. Habe Spybot und Adaware installiert und, die auch infizierte Einträge gefunden und gelöscht haben, das Problem des ständigen Sendens ist trotzdem da. Ist das überhaupt noch der Trojaner? Hier mein Logfile: Logfile of HijackThis v1.99.0 Scan saved at 15:48:39, on 27.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\quuezo.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\hllcxpa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Leseland GmbH\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Relay Manager] quuezo.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HLL Data Parameter] hllcxpa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Relay Manager] quuezo.exe O4 - HKLM\..\RunServices: [HLL Data Parameter] hllcxpa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [HLL Data Parameter] hllcxpa.exe O4 - HKCU\..\RunServices: [HLL Data Parameter] hllcxpa.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O17 - HKLM\System\CCS\Services\Tcpip\..\{1FEB7C36-13D3-42A0-905F-093F95DE02F2}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe Danke schon mal für evtl. Hilfe. |
|
27.12.2004, 16:08
| #2 |
  | TR/Dldr.IstBar.A Hallo,
__________________lass diese beiden Dateien C:\WINDOWS\System32\quuezo.exe C:\WINDOWS\System32\hllcxpa.exe bitte hier überprüfen http://virusscan.jotti.org/de und poste das Ergebnis! |
|
27.12.2004, 16:21
| #3 |
| | TR/Dldr.IstBar.A Hallo HerrKautz,
__________________im Ordner System 32 finde ich diese Dateien nicht. Über die Suche findet er eine Datei HLLCXPA.EXE-1C8AFA20.pf, habe sie auf der Seite scannen lassen, aber ohne Ergebnis, Status ok. quuezo.exe findet der Rechner überhaupt nicht... |
|
27.12.2004, 16:29
| #4 |
| | TR/Dldr.IstBar.A Geh im Explorer bitte auf Extras>Ordneroptionen>Ansicht Bei den beiden Sachen machst du den Punkt raus: Geschützte Systemdateien ausblenden und bei Versteckte Dateien und Ordner gehst du dann auf anzeigen,übernehmen und OK,jetzt sollte man die Dateien finden! |
|
27.12.2004, 16:40
| #5 |
| | TR/Dldr.IstBar.A Super, danke für den Tip. Also beide Dateien scheinen infiziert zu sein. Was kann ich jetzt tun? Service load: 0% 100% File: HLLCXPA.EXE Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.MORPHINE, MORPHINE, PE_PATCH, MEWBUNDLE, MEW AntiVir No viruses found (0.18 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.90 seconds taken) ClamAV Trojan.Mybot-650 (0.35 seconds taken) Dr.Web Win32.HLLW.MyBot (0.53 seconds taken) F-Prot Antivirus No viruses found (0.24 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (1.69 seconds taken) mks_vir Trojan.Rbot.Gen (0.23 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (1.51 seconds taken) Norman Virus Control No viruses found (5.17 seconds taken) Statistics Last piece of malware found was probably unknown NewHeur_PE in undetectable.shutdown.p2p.exe, detected by: Scanner Malware name Time taken AntiVir X 0.15 seconds Avast X 1.51 seconds BitDefender X 0.69 seconds ClamAV X 0.35 seconds Dr.Web X 0.54 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Worm.P2P.gen 0.65 seconds mks_vir X 0.20 seconds NOD32 probably unknown NewHeur_PE 0.46 seconds Norman Virus Control X 0.66 seconds Service load: 0% 100% File: QUUEZO.EXE Status: INFECTED/MALWARE Packers detected: PE-DIMINISHER AntiVir No viruses found (0.17 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Backdoor.RBot.Gen (0.89 seconds taken) ClamAV No viruses found (0.37 seconds taken) Dr.Web Win32.HLLW.MyBot.based (0.66 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.65 seconds taken) mks_vir No viruses found (0.22 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.51 seconds taken) Norman Virus Control Sandbox: W32/Backdoor; [ General information ] * **Locates window "NULL [class mIRC]" on desktop. * File length: 105472 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\xagwxz.exe. * Deletes file 1. [ Changes to registry ] * Creates value "Microsoft Relay Manager"="xagwxz.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "Microsoft Relay Manager"="xagwxz.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates key "HKCU\Software\Microsoft\OLE". * Sets value "Microsoft Relay Manager"="xagwxz.exe" in key "HKCU\Software\Microsoft\OLE". [ Network services ] * Looks for an Internet connection. * Connects to "w33d.zwnd.com" on port 6667 (TCP). * Connects to IRC server. * IRC: Uses nickname NOR, 80340024. * IRC: Uses username ezkieyacag. * IRC: Joins channel #D3.TiT with password 31121986. * IRC: Sets the usermode for user NOR, 80340024 to +x. [ Process/window information ] * Creates a mutex urxbot. * Will automatically restart after boot (I'll be back...). (5.28 seconds taken) Statistics Last piece of malware found was probably unknown NewHeur_PE in undetectable.shutdown.p2p.exe, detected by: Scanner Malware name Time taken AntiVir X 0.15 seconds Avast X 1.51 seconds BitDefender X 0.69 seconds ClamAV X 0.35 seconds Dr.Web X 0.54 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Worm.P2P.gen 0.65 seconds mks_vir X 0.20 seconds NOD32 probably unknown NewHeur_PE 0.46 seconds Norman Virus Control X 0.66 seconds |
|
27.12.2004, 16:45
| #6 |
| | TR/Dldr.IstBar.A Tja, leider hast du einen Backdoor der Rbot Familie auf dem Rechner,dazu auch http://www.sophos.de/virusinfo/analyses/w32rbotgr.html Du solltest daher dein System neu Aufsetzen,siehe dazu auch: http://www.trojaner-board.de/showpos...28&postcount=2 Was anderes kann ich dir nicht raten! Gruss |
|
27.12.2004, 17:03
| #7 |
| | TR/Dldr.IstBar.A Das kling ja übel. Aber vielen Dank für Deine Hilfe. Sitze da schon seit Tagen dran. Nochmal ne Frage: Könnte man auch einfach die beiden betroffenen Dateien ersetzen? |
|
27.12.2004, 17:11
| #8 | |
| Administrator, a.D.  | TR/Dldr.IstBar.AZitat:
Mehr Infos zu Backdoor Rbot.gen: http://www3.ca.com/securityadvisor/v....aspx?id=39437 |
|
| Themen zu TR/Dldr.IstBar.A |
| .inf, adobe, antivir, antivir update, avg, bho, computer, dateien, desktop, einstellungen, explorer, fritz!, hijack, hijackthis, hilfe, infizierte, internet, internet explorer, logfile, microsoft, problem, programme, software, system, tcpip, trojaner, trojaner?, träge, windows, windows xp |
Linear-Darstellung
