Servus wieder, anna!

An wen hast Du denn die Datei gesendet? Kaspersky eh auch dabei gewesen?

Habe ein bißchen Geduld, diese Analysen dauern mitunter einige Zeit!

Diese eine Rückmeldung besagt schon mal, dass diesem Empfänger die Datei verdächtig vorkommt - nicht mehr und nicht weniger!

stupormundi

Hi,

ich hab die Datei erstmal nur an die ersten 4 oder 6 die da auf der Liste standen geschickt. Ich hatte nicht mehr Zeit.
Habe das Problem jetzt an meinen Bruder weiter gegeben. Der musste sich nur erstmal um seinen eigenen PC kümmern, denn irgendein Virus hat sein Virenprogramm außer Kraft gesetzt, ohne dass er es bemerkt hat und nun war der ganze Rechner voll mit Würmern, Viren und was es noch so alles gibt...
Zum Glück ist er ganz fit in solchen Sachen und kümmert sich hoffentlich jetzt darum.
Ich werde ihm aber sagen, dass er sich hier melden soll, wenn er irgendwas Neues weiß, denn vielleicht kann jemand anders noch davon profitieren.

Vielen Dank für eure Hilfe!!!

Zitat:

Zitat von Wildone

Hallo,
@Anna200985
Du kannst schonmal damit anfangen weil du noch zusätzlich zu der Malware ein Rootkit auf dem Rechner hast das sich nicht ohne weiteres beseitigen läßt, eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest hier.

Grüße Wildone

*hüstel* das gilt aber immernoch.
Besser wäre es gewesen wenn ihr die Samples an die großen AV Hersteller(Symantec, CA, Kaspersky (der erkennt es ja eigentlich schon), Sophos usw.) geschickt hättet.


Grüße Wildone

Hallo zusammen!

habe seit gestern auch dieses Prob und auch wie alle anderen nix komischen angesurft, installiert etc. habe hier auchmal die Scans reingesetzt und das HJT Log. Vielleicht könnte ja einer mal rüberschauen! Ich habe bei der Suche auf meinem Comp nämlich noch TASKDIR.DLL.vir gefunden und gestern sah ich da auch noch die prefetch Datei wie bei Anna, welche aber heute weg ist!

Bitte bitte bloß kein neu Aufsetzen des Systems!!!


Datei: taskdir.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------

Datei: TASKDIR.DLL.vir
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------------------------------------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL.vir" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------

HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:50, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Hallo @all (speziell zuletzt Caranthir)!
Bitte eröffnet - auch wenn ihr glaubt, ein gleiches/ähnliches Problem zu haben - ein eigenes Thema. Es wird sonst vollkommen unübersichtlich wer auf wessen Frage oder zu wessen Problem antwortet!

Im Übrigen: @Caranthir: Du hast einen Backdoor im System - das heißt eben schon neu Aufsetzen

@wildone: Full ack, habe übersehen, dass Du ohnedies schon eine entsprechende Empfehlung gegeben hast!
stupormundi

@stupormundi

Merde, wo siehst Du denn das?

In der Beschreibung zu den eindeutig beschriebenen Funden!

Zitat:

This enables a malicious remote user to work on the network via the victim machine

stupormundi

Hallo Leute!

Hab dieses Scheiß-Ding auch eingefangen. Bei mir hat es ebenfalls AntiVir erkannt. Gibt es schon Neuigkeiten von den Virenscanner Herstellern?

Vor allem interessiert mich, ob ein Neuaufsetzen des PCs wirklich notwendig ist. Da ich Gott sei Dank ansonsten mit solchen Schädlingen nix zu tun hab, weiß ich nicht, ob es sich lohnt auf "Entfernroutinen" von diversen Herstellern zu warten. Oder können die da aufgrund der Gegebenheiten des Trojaners auch nichts mehr machen?

LG,
Robsta

Also ich hab das problem mit diesem Trojaner jetzt auch! Nur leider hab ich so wenig Ahnung von dem ganzen hier, dass ich leider nichts von dem versteh was hier geschrieben steht!

Er hält sich bei mir auch in der Datei window\system32\taskdir.dll auf, nur hab ich das Problem das sich diese Datei auf meinem Rechner gar nicht finden lässt!

ich bitte euch darum auch mir zu helfen!

habe mir den trojaner auch eingefangen.
so wie es aussieht, kann man erstmal nur die taskdir.exe unter normal win finden.

bin im moment dabei alle hier angegebenen lösungsvorschläge abzuarbeiten. mal schauen wie weit ich komme!!

**edit**

die beiden oben angegebenen online-dateiscanner haben angeschlagen und die hier auch schon gefallenen namen für den trojaner genannt.

habe jetzt mit HJT die beiden HKCU Einträge entfernt, sowie taskdir.exe als prozess abgebrochen und datei gelöscht.
deinstalliere nun antivirxp, um vorzubeugen, dass sich das programm infiziert haben könnte.
desweiteren entferne ich nun die taskdir.dll.vir im abgesicherten modus.

Hallo,
an alle die hier stranden.
Dieser Trojaner gewährt aller Wahrscheinlichkeit nach dritten vollen Zugriff auf euer System. Dieser kann dadurch alle möglichen Änderungen vorgenommen haben, z.B. gewisse Hintertürchen öffnen usw.
Die einzige sichere Maßnahme das Bürschchen loszuwerden ist ein Neuaufsetzen des Systems. Warum das so ist, und wie dabei und bei der anschließenden Absicherung vorgegangen werden sollte erfahrt ihr hier.
Wenn jemand noch eine Idee hat wie er sich das Prachtstück eingefangen hat so kann er es gerne posten., das würde mich nämlich brennend interessieren.



Grüße Wildone

Zitat:

Zitat von Wildone

Neuaufsetzen des Systems.

das heisst doch alles Formatieren und neu drauf, oder irr ich mich da?

Hallo,
das heißt zumindest die Systempartition formatieren und alles neu aufspielen.
Und keine ausführbaren Dateien (exe, scr, pif, com...) von dem alten auf das neue System übernehmen.


Grüße Wildone

Hallo!

Gibt es eine Möglichkeit bzw. Tools um herauszufinden, ob es dem Schädling bereits gelungen ist, mein System zu kompromittieren? Denn wenn man das herausfinden könnte und das System eben nicht übernommen worden ist, würde es doch reichen die Malware zu removen!?!

LG,
Robsta

Hallo Robsta,
da hast du den Nagel aber sowas von getroffen !
Das ist nämlich der springende Punkt,des Pudels Kern, usw.
Das eben rausfinden kann man nicht.Da man in dieser Hinsicht keine Gewissheit haben kann,muß man davon ausgehen das der "böse Bube" schon da war und entsprechend seinen Wünschen an deinem System geschraubt hat.Wenn er das halbwegs gut gemacht hat,merkst du es daran das dich morgens um vier Uhr ein SEK-Kommando weckt.Der Staatsanwalt dir einen Haftbefehl wegen Kinderpornografie unter die Nase hält und du in U-Haft kommst.Wem so ein Tagesanfang gefällt der möge nicht formatieren......
Denen sei aber auch noch mit auf den Weg gegeben,sich in U-Haft nicht nach der runtergefallenen Seife zu bücken, beim Gemeinschaftsduschen.
Irrlicht