Trojaner-Board - TROJ_CONSPY.C / waol.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TROJ_CONSPY.C / waol.exe (https://www.trojaner-board.de/2050-troj_conspy-c-waol-exe.html)

Habe mir kürzlich diesen Trojaner eingefangen.
Stichwortsuche auf TB brachte leider kein Ergebnis :confused: ,daher dieser Kurzbericht:

Bemerkt habe ich zuerst eine veränderte IE-Startseite (irgendeine Suchseite), sowie diverse unerwünschte Neueinträge unter Favoriten (Gratis mp3, gratis sex etc.). Der process viewer zeigt eine ominöse winrar.exe, die sich aber problemlos killen ließ. Zusätzlich fand ich eine waol.exe in den Temporary Internet Files. :mad:

Habe mit HijackThis mal nachgesehen und auch einige Einträge gefunden. Liessen sich auch problemlos fixen (ein großes Lob an DerBilk für die gut verständliche Hijackthis-Übersetzung auf trojaner-info.com), aber leider waren nach dem Neustart all diese Einträge wieder da.

Ein Onlinescan bei Trendmicro brachte dann die Lösung, sprich Entfernung des Trojaners. Sicherheitshalber sämtliche Passwörter geändert, die in den ca. 48 Stunden, die der Trojaner auf meinem System war, verwendet wurden.

Weiß jemand mehr über diesen Trojaner (abgesehen von den trendmicro- und sophos-Meldungen)? Spezielle "Nachsorge"?

winrar.exe ist ein zip proggi nichts schlimmes

borg22

Bei uns waren auch schon ein paar Anfragen hierzu. Habe die Diskussionen allerdings nicht verfolgen können:

Links bei Rokop Security

Bo Derek,

diesen Rokop-thread habe ich vor 2 Tagen beim googeln gelesen, dort fand ich auch die ersten brauchbaren Beschreibungen, die auf den Trojaner passten. Und den Hinweis, daß man ihn mit trendmicro sicher entfernen kann. War sehr hilfreich.

mmk,

leider kann ich kein logfile posten, da ich bei hijackthis direkt ge"fixed" hab, ohne savelog. Allerdings _was_ ich entfernt hab, hat Hijackthis protokolliert:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://searchmyrequest.com/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchmyrequest.com/sp.php
01 - Hosts: 64.237.53.4 doubleclick.net
01 - Hosts: 64.237.53.4 ad.doubleclick.net
O1 - Hosts: 64.237.53.4 my.search
O1 - Hosts: 64.237.53.4 aff.weatherbug.com
O1 - Hosts: 209.87.155.230 date.com
O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe
O4 - HKCU\..\Run: [quicken] C:\WINDOWS\WAOL.EXE

Die winrar.exe hatte ich schon vor dem "fixing" manuell aus c:\WINDOWS und der registry rausgelöscht.
Ich nutze W98 / IE 5.0. Brauchst Du mehr Infos?

*christian*,

auf google hab ich schon gesucht, und auch entsprechend viele Einträge gefunden (auch die beiden links von Dir), darum hats mich ja auch so gewundert, daß hier im TB noch nichts über diesen Trojaner zu lesen war. Trotzdem danke!

borg22,

</font><blockquote>Zitat:</font><hr /> winrar.exe ist ein zip proggi nichts schlimmes </font>[/QUOTE]eben nicht! :eek:

Es ist eine von 3 exes, die TROJ_CONSPY.C benutzt. Sie ist nur 20 KB groß und hat ein IE-Icon.
Was Du meinst, ist WinRAR.exe, 785 KB groß und hat das RAR-Icon.
Das ist ja gerade das Fiese, daß man beide so leicht verwechseln kann.

Poste doch mal bitte ein Logfile!

Wenn das Problem weiterhin fortbesteht, dann erstelle bitte ein neues Logfile!

ic hab noch was gefunden zu der winrar.exe
http://securityresponse.symantec.com...lw.bandie.html

borg22