|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Dldr.iBIll.ZWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.03.2007, 17:44 | #1 |
| Trojaner TR/Dldr.iBIll.Z Hallo! Ich bekam am Mittwoch eine Email von "Quelle" und öffnete sie, weil ich auch dort angemeldet bin. Leider stellte sich heraus, dass dies ne Spammail war und sich ein Trojanisches Pferd einnistete. Es waren zeitweilig sogar mehrere(TR/Dldr.iBill.AA (ist unter Quarantäre) sowie TR/Dldr.iBill.AA1, und eins namens Infostealer.BnZip oder so ähnlich), aber ich denke, ich konnte mit Hilfe verschiedener Programme (laut HijackThis ist alles sauber, Spybot Search and Destroy, Trojaner Hunter,...) die meisten beseitigen. Nur eines bleibt hartnäckig. Es nennt sich TR/Dldr.iBill.Z und versteckt sich immer an anderen Orten. Aus dem Temporären Ordner und aus System32 konnte ich es rausschmeißen, aber momentan sitzt es in C:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP88\A0006162.exe Ich habe schon sämtliche Programme durchlaufen lassen, aber momentan hilft nichts mehr! Es ploppt ständig das "Achtung Fund" Fenster von "Antivir" auf. Und es erscheint immer wieder, egal welche Option (also löschen, ignorieren, Quarantäne, usw) man anklickt. Und komischerweise findet Trojan Hunter diesen Trojaner nicht. Hmm...seit dem ich den Internet Explorer runtergeschmießen habe, ist wenigstens der Temporäre Ordner scheinbar sauber. Habe mir Mozilla-Firefox nun eingerichtet. Ne Firewall hab ich auch, von Sygate. Norton hab ich heute deinstalliert und benutze nun Antivir. Und nur Antivir hat den Trojaner gefunden. Norton fand zusätzlich noch einen Virus namens "Downloader"...dazu hab ich aber leider keine Details. Und da Norton nun weg ist, wird dieser nun auch nicht mehr gefunden! ... Allgemeine Infos: Toshiba Notebook, Betriebssystem ist Windows XP, Antivir, was wird noch benötigt? Vielen Dank schon einmal für eure Hilfe!!! LG, Isa |
10.03.2007, 18:16 | #2 |
| Trojaner TR/Dldr.iBIll.Z Lass mal ein Logfile rüberwachsen, bitte!
__________________ |
10.03.2007, 18:27 | #3 |
| Trojaner TR/Dldr.iBIll.Z Sah die E-Mail etwa so aus?:
__________________Von: "Quelle de" is_as0@quelle.de Betreff: Ihre Quelle Bestellung Body: • **************www.quelle.de*************** Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom xx.xx.xxxx um xx:xx Uhr: Vorgangs-ID: xxxxxxxxxxxx Verarbeitungscode: ART xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Kundennummer: xxxxxxxxx ------------------------------------------------------------------------------ Sehr geehrte Quelle Kunde, vielen Dank für Ihre Bestellung bei quelle.de. Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben. die Gesamtsumme fär Ihre Rechnung beträgt: xxxx,xx Euro (incl. Versandspesen: EUR x,xx) Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei. Zahlungswunsch: Bankeinzug Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen. Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden Verifikationsbericht finden Sie im Anhang dieser E-Mail. Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt. Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an: h**p://www.quelle.de/extern.cgi?id=xxxxxxxxxxx Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher). Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: h**p://www.adobe.de/products/acrobat/readstep2.html Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen und die Signatur zu prüfen. Ihr Quelle Online Team ------------------------------------------------------------------------------ Wir bedanken uns nochmals für Ihre Bestellung. Schauen Sie doch bald wieder einmal bei quelle.de vorbei. Bestätigungs-ID: xxxxxxxxxxxx (für interne Zwecke) Stempelkarte Jetzt anmelden & profitieren! h**p://www.quelle.de/extern.cgi?id=xxxxxxxxxxxxx ****************************www.quelle.de******************************** Dateianhang: • Quelle_Rechnung_nqan599.rar Dein Trojaner ist eine Art Downloader, deswegen hat Norton so einen gefunden. Im Prinzip handelt es sich dabei also um deinen neuen Freund TR/Dldr.iBIll.Z !!! Ich würde ihn sogar eher als Worm einstufen. Er kopiert sich hierhin: %SYSDIR%\isca.exe Folgenden Reg-Key kannst du löschen, denn er sorgt dafür, dass die Malware mit jedem Systemstart neu hochgefahren wird: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ShellN"="isca.exe" Außerdem: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion] "wef"=dword:00000037 Aber wie gesagt, am besten du würdest mal deinen Logfile angeben! |
10.03.2007, 19:32 | #4 |
| Trojaner TR/Dldr.iBIll.Z jupp, so sah die mail aus... logfile...bitte schön: Logfile of HijackThis v1.99.1 Scan saved at 19:31:22, on 10.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\TrojanHunter 4.6\THGuard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Isa\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.studivz.net/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.6\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
10.03.2007, 19:35 | #5 |
| Trojaner TR/Dldr.iBIll.Z die reg-keys hat hikackthis gefunden...aber ich konnte die aufm system nirgends finden...jedenfalls nicht über die normale suche (start-->suche....) hast du nen tipp, wie ich die keys finden und löschen kann |
10.03.2007, 19:41 | #6 |
| Trojaner TR/Dldr.iBIll.Z Hast du es über Start -> Ausführen -> regedit versucht? |
10.03.2007, 19:47 | #7 |
| Trojaner TR/Dldr.iBIll.Z ok, das versuch ich grad, da spuckt er verschiedene ordner aus, die mit HKEY beginnen...also HKEY_CLASSES_ROOT, _CURRENT_USER, _LOCAL MACHINE, _USERS, und _CURRENT CONFIG wo soll ich reingucken? |
10.03.2007, 19:50 | #8 |
| Trojaner TR/Dldr.iBIll.Z Nimm den mit "Local_Machine"! Dann über Software, Microsoft, Windows,usw.! Und dann diese beiden Werte löschen(wenn vorhanden): [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ShellN"="isca.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion] "wef"=dword:00000037 Geändert von Achtung: Greenhorn (10.03.2007 um 19:55 Uhr) |
10.03.2007, 19:53 | #9 |
| Trojaner TR/Dldr.iBIll.Z boah...da ist aber verdammt viel drin...zig unterordner..seufz: hardware, sam, security, system, software...außer security hat alles gaaanz viele unterordner |
10.03.2007, 20:00 | #10 |
| Trojaner TR/Dldr.iBIll.Z Wie gesagt Software usw, durchgehen, wie es angegeben ist: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ShellN"="isca.exe" 1. Software 2. Microsoft 3. Windows usw. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion] "wef"=dword:00000037 |
10.03.2007, 20:00 | #11 |
| Trojaner TR/Dldr.iBIll.Z also ich bin bis "RUN" gekommen...da war aber nichts dergleichen drin |
10.03.2007, 20:15 | #12 |
| Trojaner TR/Dldr.iBIll.Z Hast du auch die rechte Bildschirmseite berücksichtigt? Kommt immer noch der Hinweis von AntiVir "Achtung:Fund"? |
10.03.2007, 20:25 | #13 |
| Trojaner TR/Dldr.iBIll.Z jupp hab ich berücksichtigt! also momentan kommt das mit dem fund nicht...ich prüfe aber auch grad nicht...ich bin ja eigentlich der meinung, dass die trojaner schon längst unter quarantäne sind...da sie bei antivir unter quarantäne angezeigt werden...ich vermute, dass es diese dateien sind, die beim scan immer gefunden werden (da sie ja nicht gelöscht sind) und das vielleicht gar keine neuen dateien mehr erstellt werden...hmm ist nur ne vermutung...ich hab echt keinen plan mehr. aber wenn man halt unter berichte guckt, dann steht da, das 63 viren oder unerwünschte programme gefunden wurden...und ich vermute, ach..ich weiß schon gar nicht mehr, was ich vermuten soll....seufz! es werden auf alle fälle immer der ...iBill.Z und der ...iBill.AA1 gefunden.... |
10.03.2007, 20:30 | #14 |
| Trojaner TR/Dldr.iBIll.Z ich hab grad nochmal im regedit geguckt und vielleicht was gefunden: unter current version-->Shell Compatibility-->Applications-->Delwin.exe-->downloader6* und downloader7.01 könnte das was sein? |
10.03.2007, 22:32 | #15 |
| Trojaner TR/Dldr.iBIll.Z Nein, das habe ich auch! Und mein PC ist nicht befallen von: TR/Dldr.iBIll.Z |
Themen zu Trojaner TR/Dldr.iBIll.Z |
antivir, downloader, email, explorer, firewall, hijack, hijackthis, hilfe!, hilfe!!, ignorieren, immer wieder, internet, internet explorer, löschen, mehrere, notebook, ordner, programme, quara, spybot, system, system volume information, system32, tan, trojaner, trojanisches pferd, versteckt sich, virus, windows, windows xp |