Hi Leute,

kennt jemand von Euch den folgenden Trojaner (Ausschnitt aus dem CMD-Feld):
----------------------------------------
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP Samsung:1051 downloads.aaa1screensavers.com:1110 WARTEND
TCP Samsung:1068 downloads.aaa1screensavers.com:1110 WARTEND
TCP Samsung:1070 downloads.aaa1screensavers.com:1110 WARTEND
TCP Samsung:1110 downloads.aaa1screensavers.com:1050 WARTEND
----------------------------------------
Hab schon ADAware SE, hijackthis und Kasperky drüberlaufen lassen, auch im abgesicherten Modus. Aber der Dienst startet jedes Mal und ich finde ihn nicht.

Bin dankbar für Tipps :-)

Jens

Hallo Jens,
poste uns bitte einmal das Log von HijackThis.

Hier ist das Log:

Logfile of HijackThis v1.99.0
Scan saved at 10:14:49, on 13.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE
C:\Programme\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

danke für die Hilfe,

Jens

Hallo Jens,

ich kann nichts Ungewöhnliches an dem Log erkennen.
Hast Du Deinen Kaspersky-Scanner schon einmal im agesicherten Modus über alle Laufwerke/Festplatten scannen lassen?

Hi Lutz!

Ja, schon alles versucht...Aber der Rechner verbindet sich immer mit dieser aaa1downloadscreensavers-Seite...Bekomme das nicht weg und es macht den Browser langsam. Was mir aber aufgefallen ist, dass er nur beim Firefox die Verbindungen bekommt, beim IE scheint er es zu versuchen, ist aber immer auf wartend.

Kann sich das Deiner Erfahrung nach noch ausbreiten?

lG,

Jens

Hallo Jens,

ganz 'koscher' scheint mir das, was auf der Seite zum Download angeboten wird, nicht zu sein. Ich werde mal versuchen, darüber mehr herauszufinden.

Hast Du -evtl. aus einer ganz anderen Quelle- einen Bildschirmschoner installiert, welcher jetzt ständig 'nach Hause telefonieren' will?

Ich hatte mal einen installiert, aber nur als Wallpaper, nicht als active desktop. Kann aber schon sein, dass er sich dabei "reingelurcht" hat...

lG,

Jens

Hallo jensw,

blocke zunächst die Verbindung zu aaa1screensavers.com:
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts eingeben und mit OK bestätigen.

Danach diesen Eintrag kopieren -> unterhalb von
'127.0.0.1 localhost' in die Hosts eintragen und abspeichern:
127.0.0.1 downloads.aaa1screensavers.com

Sicherheitshalber noch eScan AntiVirus im abgesicherten Modus ausführen und die Virus Log Information posten.

hi Cidre!

danke, die URL war schon geblockz´t, aber trotzdem will sich das System verbinden. Hab folgendes Log bekommen:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 13:22:48 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun May 15 13:22:48 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 13:53:07 2005 => File C:\Meine Downloads\flashget.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Sun May 15 14:28:25 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Sun May 15 15:55:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 14:16:34 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 15:55:16 2005 => Total Virus(es) Found: 3
Sun May 15 15:55:16 2005 => Total Errors: 12
Sun May 15 15:55:16 2005 => Time Elapsed: 02:34:18
Sun May 15 15:55:16 2005 => Total Objects Scanned: 63903
Sun May 15 13:20:03 2005 => Virus Database Date: 2005/05/15
Sun May 15 15:55:16 2005 => Virus Database Date: 2005/05/15
Sun May 15 16:06:22 2005 => Virus Database Date: 2005/05/15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~
lG,

Jens

Hallo Jens,

wie ich bereits vermutete, sind zumindest nicht alle Downloads von besagter Seite ganz 'koscher'.
Auf die Datei, die ich eingesandt habe, bekam ich von KAV heute folgende Antwort:

Zitat:

Hello.

This is advertizing tool not-a-virus:AdWare.Saver.a.
Detection added.

Sincerely yours,
Name
Virus analyst

Kaspersky Lab Ltd
Moscow, Russia
Tel/Fax: XXXXXXXXXX
E-mail: newvirus(at)kaspersky.com
Internet: h**p://www.kaspersky.com, h**p://www.viruslist.com

Zur Zeit erkennt KAV -auch mit erweiterten Signaturen- diese Datei noch nicht. Wird dann aber in einem der nächsten Updates enthalten sein...

Zitat:

Zitat von Lutz

Zur Zeit erkennt KAV -auch mit erweiterten Signaturen- diese Datei noch nicht

Also AVK 2004 (Kaspersky-Engine) erkennt die Dateien (ob wirklich alle erkannt werden weiß ich nicht) schon als Trojan-Downloader.Win32.Vivia.l...
Den Uninstaller erkennt die Bitdefender-Engine heuristisch als "BehavesLike:Trojan.StartPage".

Danke Leute. Wisst ihr auch, wie man ihn löschen kann?

lG,

Jens

Ich hoffe, dass klärt sich, wenn KAV den Übeltäter erkennt. Das Problem ist, dass wir im Moment noch nicht wissen, welche Datei genau bei Dir betroffen ist.

Alles klar. Danke jedenfalls!

lG,

Jens

Hallo,
finde hier auch das STichwort

"downloads.aaa1screensvers.com"

Was auch unter:
http://www.trojaner-board.de/showthread.php?t=16320&highlight=aaa1screensavers.com
gefragt wird.

Sobald ich ins Netz gehe wird versucht dorthin eine Verbindung herzustellen.

Den Weg Systemwiderherstellung aus, Abgesicherter Modus hochfahren und alle Programme (addaware, Spybot, CWShredder, STinger, a-sqared, usw.) durchlaufen lassen hat nichts gebracht.

Wisst ihr inzwischen mehr, was das genau ist?

Vielen Dank im Voraus,
Güße