Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen
 

Hallo!

Es hat mich letztes Wochenende erwischt, ich habe mir die Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen eingefangen.

Avira hat in folgenden Dateien immer wieder beim Hochfahren Aktivitäten gefunden:
c:\users\xxx\appdata\local\temp\123.exe - der Dateiname ist bei jedem Computerstart ein anderer, besteht aber immer aus Zahlen.
Außerdem wird eine Infektion auf c:\users\xxx\appdata\local\microsoft\windows\temporary internet files\Content.IE5\irgendeinsubordner\cuda(1).exe festgestellt.

Heute hat er zusätzlich den TR/Dropper.gen im c:\recycler\xxx\twain_x86.exe gefunden.
Malwarebytes findet nichts mehr, auch Avira findet im vollständigen Scan mit hoher Heurisik keine Auffälligkeiten.
Gerade jetzt beim Hochfahren hat er die üblichen drei Fundmeldungen nicht mehr gebracht, das macht mich jetzt doppelt unsicher.

Ich bitte euch um Hilfe! Hier mein Hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:33, on 27.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\EuroKass\EuroKass.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4266 bytes


mfg, Michael

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

• - also lade Dir Gmer herunter
  - entpacke es auf deinen Desktop und Starte gmer.exe<-hier "umbenannt.com".
  - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft!

• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

gruß
Coverflow

Hi Coverflow!

Herzlichen Dank, dass du dich meines Problemes annimmst.
Es hat etwas gedauert, da ich mit dem Hochladen der Protokolle nicht zurecht gekommen bin ( das Forum lässt mich nur 25000 Zeichen einfügen, das ist sich bei keinem der Protokolle ausgegangen, ich habe sie jetzt bei File-Upload.net hochgeladen...

Punkt1: habe ich eingestellt

Punkt2:
Info:
http://www.file-upload.net/download-1858496/info.txt.html

Log:
http://www.file-upload.net/download-1858498/log.txt.html


Punkt 3:
Installierte Programme:
http://www.file-upload.net/download-1858505/installierte_programme.txt.html

Punkt 4 + 5 folgt in Kürze

Dank, lg Michi

So, hier Punkt 4:

Punkt 5:
no hidden items were found

hi

1.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

2.
Malwarebytes Anti-Malware:
Poste das Ergebnis hier in den Thread

3.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von Gmer herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

4.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Servus!

1.:
2.:3.:
bin ich ihn los? :-) ich bin schon guter Hoffnung

lg, Michi

so, den Virenscan habe ich nach 6 Stunden Laufzeit abgeschlossen.
Der Kaspersky wollte mir aber kein Protokoll geben, da ich nur die Schaltfläche "Untersuchung Beenden" zur Auswahl hatte.
Was ich aus dem Fenster kopieren konnte, poste ich hier.

Also einen findet er noch, ich weiß aber nicht genau, wo :schmoll:

hi

so werd ich nicht schlau;)
1.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Start→ Systemsteuereung→ Programme und Funktionen...
2.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer und F-Secure
- deinstalliere Malwarebytes' Anti-Malware
- FindyKill deinstallieren:
-Doppelklicke das FindyKill-Icon auf dem Desktop.- mit Rechtsklick und als Administrator ausführen!
- Es öffnet sich ein DOS-Fenster wähle "F" + Entertaste
- im nächsten Screen die "3" + Entertaste, um die Deinstallation zu starten.
- lösche den Ordner C:\Programme\FindyKill und die Datei C:\findykill.txt manuell und leere den Papierkorb.

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Hallo!

Sorry, dass ich mich auf deine Hilfestellung so lange nicht gemeldet habe, ich war drei Wochen auf Urlaub...

Hier ist der Scanbericht von Superantispyware:
ich denke, ich bin mein Problem los.

Durch das Umstellen des Virenscanners auf hohe Heuristik hat er eine Datei zusätzlich im Papierkorb gefunden. Nach Entfernung dieser sind auch die beiden TR/.. nicht mehr erneut gekommen.


Vielen vielen Dank für deine kompetente Hilfe!

lg, Michael