Trojaner:TR/Proxy.Lager.AQ.1 HILFE!!!
 

Hallo,

ich habe heute morgen beim Start meines PCs die Meldung von AntiVir bekommen, dass C/WINDOWS/SYSTEM32/TASKDIR.DLL das trojanische Pferd TR/Proxy.Lager.AQ.1 ist. Wenn ich den Befehl gebe "Überschreiben und löschen", dann taucht das selbe nach ein paar Sekunden wieder auf. Ad Aware funktioniert auch nicht mehr richtig, bzw. stoppt immer an einer bestimmten Stelle. Die Datei Taskdir.dll habe ich zwar gefunden, kann sie jedoch nicht löschen. Der TuneUpShredder kann die Datei angeblich nicht finden und demnach auch nicht löschen.

Kennt jemand diesen Trojaner bzw. weiß jemand, wie ich ihn entfernen kann ? Bin für jede Hilfe dankbar, auch wenn ich nicht besonders viel Ahnung habe.

Gruß,
Anna

Servus!

Wenn Du wirklich dieses Teil an board hast, kann ich Dir nur den Rat zum neu Aufsetzen geben - der gehört zu dieser Bande

Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 13:46:56, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: (no name) - {69292A92-8504-441F-ACAF-BA24B2F92C86} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {AAFBDDCB-F01A-F4DC-5865-144717807D7D} - C:\DOKUME~1\Ralf\ANWEND~1\OPTION~1\Fast Skip.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.116.164,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{6089E53A-F425-4D00-A253-67B69F2BAB27}: NameServer = 85.255.116.164,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2048B56-0669-4F33-A68B-E7D920770328}: NameServer = 85.255.116.164,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9863304-6E76-4E66-AC64-3B80B648D76A}: NameServer = 85.255.116.164,85.255.112.226
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Venturi2 Client (Venturi2) - Unknown owner - C:\Program Files\Venturi2\Client\ventc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

war das jetzt so richtig ? ich glaub ich hab noch weniger ahnung als ich immer dachte... ich hoffe, es kann mir jemand helfen... :heulen:

Servus wieder!

Das war schon so richtig - vertrau' Dir selber ein bißchen!
Da läuft einiges, aber mal sehen ...
Lass´ mal folgende Dateien bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

stupormundi

Datei: taskdir.exe
Auslastung: 0% 100%

Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Übrigens wurde nachdem ich alles so eingestellt habe, wie es in deinem Link beschrieben wurde, auch das hier gefunden: TASKDIR.EXE-02B5617A.pf im Ordner WINDOWS/prefetch gefunden.

Ich lasse jetzt den Pfad bei der zweiten Adresse durchlaufen.

This is a report processed by VirusTotal on 03/22/2006 at 14:22:27 (CET) after scanning the file "taskdir.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.22.2006 no virus found
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.21.2006 no virus found
Avira 6.34.0.53 03.22.2006 no virus found
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 no virus found
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 no virus found
Ewido 3.5 03.22.2006 no virus found
Fortinet 2.71.0.0 03.22.2006 no virus found
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 no virus found
Kaspersky 4.0.2.24 03.22.2006 no virus found
McAfee 4723 03.21.2006 no virus found
NOD32v2 1.1454 03.21.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.21.2006 Suspicious file
Sophos 4.03.0 03.22.2006 no virus found
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 no virus found
UNA 1.83 03.21.2006 no virus found
VBA32 3.10.5 03.22.2006 no virus found

Also das kommt mir spanisch vor!

Ich glaube nämlich, dass diese Datei sehr wohl eine böse welche ist! (Guck mal hier!)

Probiere mal, diese Datei "C:\WINDOWS\system32\taskdir.exe" an Hand dieser Anleitung an ein paar Scannerhersteller zu senden. Klingt komplizierter als es ist!
Die Antworten werden ein bißchen dauern - habe ein bißchen Geduld!
stupormundi

ok, werde ich machen.
danke schon mal.

kannst du mir evtl. noch (schnell) sagen, welche sachen ich bei highjackthis auswählen muss, bevor ich auf fixchecked klicke ? das habe ich in der anleitung nicht so ganz verstanden. oder kann ich das programm einfach so schließen ?

Hallo,
sorry wenn ich mich einmische, aber ein Scan mit F-Secure Blacklight (Log wird automatisch im selben Pfad erstellt fsbl**.txt) wäre auch noch interessant.


Grüße Wildone

und nochwas: wie versehe ich denn das archiv mit der datei mit einem passwort ?? hab ich noch nie gemacht sowas. :confused:
danke für die geduld :daumenhoc

Hallo nochmal!

Beim Zippen kannst Du die verpackte Datei eben mit einem Passwort versehen (meist 'infected' - ich glaube, Symantec akzeptiert gar kein anderes?)
Bei winzip eben mal Archiv erstellen, Dateien hinzufügen und dann in den Optionen (wo genau, kann ich Dir hier jetzt nicht sagen, musst Du suchen) ein Passwort für das Archiv festlegen!

Und bitte noch nichts mit HJT fixen!!

Und den tipp von Wildone (:party: Servus, wildone) auch bitte folgen - ist nicht schwer - herunterladen und scan starten!

stupormundi

03/22/06 15:39:34 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 15:39:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/22/06 15:39:34 [Note]: 7019 4
03/22/06 15:39:34 [Note]: 7005 0
03/22/06 15:39:37 [Note]: 7006 0
03/22/06 15:39:37 [Note]: 7011 1388
03/22/06 15:39:37 [Note]: FSRAW library version 1.7.1015
03/22/06 15:40:18 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/22/06 15:40:18 [Note]: 10002 1
03/22/06 15:40:24 [Info]: Hidden file: C:\WINDOWS\system32\cspqr.exe
03/22/06 15:40:24 [Note]: 7002 32
03/22/06 15:40:24 [Note]: 7003 1
03/22/06 15:40:24 [Note]: 10002 1
03/22/06 15:40:25 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/22/06 15:40:25 [Note]: 10002 1
03/22/06 15:40:29 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/22/06 15:40:29 [Note]: 10002 1
03/22/06 15:40:31 [Info]: Hidden file: C:\WINDOWS\system32\dmzqv.exe
03/22/06 15:40:31 [Note]: 10002 1
03/22/06 15:40:52 [Note]: 7007 0

so, das ist das ergebnis von f-secure. der hat wenigstens mal was gefunden. aber das, was eigentlich mein problem ist, ist da jetzt nicht bei oder ?
ich hoffe, es weiß noch jemand was!

liebe grüße

bei mir seit ner halben stunde dasselbe problem...
hier mein log file:

Logfile of HijackThis v1.99.1
Scan saved at 15:50:18, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskdir.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.265\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ortskontrollfahrt.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119527044609
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

desweiteren:

Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


und:

This is a report processed by VirusTotal on 03/22/2006 at 16:13:37 (CET) after scanning the file "taskdir.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.22.2006 no virus found
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.21.2006 no virus found
Avira 6.34.0.53 03.22.2006 no virus found
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 no virus found
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 no virus found
Ewido 3.5 03.22.2006 no virus found
Fortinet 2.71.0.0 03.22.2006 no virus found
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 no virus found
Kaspersky 4.0.2.24 03.22.2006 no virus found
McAfee 4723 03.21.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.21.2006 Suspicious file
Sophos 4.03.0 03.22.2006 no virus found
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 no virus found
UNA 1.83 03.22.2006 no virus found
VBA32 3.10.5 03.22.2006 no virus found

Habe auch das selbe Problem mit dem TR/Proxy.Lager.AQ.1

Dieser "Virus" wurde von Antivir erkannt, kann auch gelöscht werden aber nach Systemstart ist er wieder da.

Ich öffne mal einen neuen Beitrag mit den ganzen Logfiles!

jezz geht wohl die seuche mit dem schlingel um....:crazy: :snyper:

Ich versteh nur nicht, woher ich diesen Virus habe.

Habe nichts installiert, keine bösen Sachen "angeklickt" und mein AntiVir sowie Windows und Internet Explorer immer auf dem aktuellen Stand. Mache auch immer brav Malwarescan usw.

Wie kann ich mich vor diesem Virus schützen (habe noch einen 2. PC der noch nichts abbekommen hat).

Hoffe es kann mir da jemand helfen!

falls es dich tröstet (wohl eher nich ;) ), ich stehe vor demselben rätsel. war die ganze zeit online, hab aber nix gemacht, außer an meiner facharbeit geschrieben, wollte dann was googlen und bums hat sich der IE aufgehängt und AV hat mir die meldung angezeigt......
ich hab auch ne email an AV mit den infizierten dateien geschickt. hab bis jezz aber noch keine antwort

Siehste genauso ging es mir auch, jetzt habe ich noch einen 2. Rechner im Netzwerk und traue mich nicht mehr diesen anzumachen (bzw. ins Internet zu gehen) weil ich den nicht auch noch infizieren möchte.

Und wie es aussieht, ist es kaum möglich das Problem zu lösen ohne alles komplett neu zu machen :-( Und das wird eine große Arbeit für mich!

Hallo,
klingt interessant. Nur mal so vorneweg, wahrscheinlich werdet ihr alle um ein Neuaufsetzen nicht herum kommen.
Ist euer System auf dem neusten Patchstand?
Habt ihr irgendwelche Software aus unseriösen Quellen installiert (P2P, Crackseiten, Videocodecs...)?
@Anna200985
Du kannst schonmal damit anfangen weil du noch zusätzlich zu der Malware ein Rootkit auf dem Rechner hast das sich nicht ohne weiteres beseitigen läßt, eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest hier.

Grüße Wildone

1.hab ich/haben wir dieses rootkit auch?
2.wie weit fasst du den patchstand?bezogen auf AntiVir und MS SP aktualisierungen?
3.ich habe nichts dergleichen in letzter zeit runtergeladen o.ä. ...das is ja genau der punkt, wo die sache ziemlich stinkt. kann sich so ein virus freibewegen?

Schließe mich da an, gerade den Laptop den es erwischt hat, ist nicht so häufig im Internet.
Patches sind alle auf dem aktuellsten Stand, daran kann es eigentlich nicht liegen.
Bin eh immer sehr vorsichtig bei solche Sachen und jetzt habe ich wieder so einen Dreck eingefangen und konnte nichts dagegen machen.

Versuche jetzt mal so ein Log zu machen und poste es dann in meinem anderen Beitrag!

Hallo,
zu 1.) Nein
zu 2.) Ich meine ausschließlich den Patchstand von Windows, sprich sind die Patches von März (immer jeder zweite Dienstag im Monat), bzw. alle weiteren die davor erschienen sind, installiert?
zu 3.) Netzwerkwürmer können sich frei bewegen, aber meines Wissens sind da die relevanten Lücken schon von SP2 gestopft. Wie geht ihr ins Internet, sitzt ihr hinter einem Router? Geht ihr mit dem IE ins Internet?


Grüße Wildone

2.) Ja Windows war bzw. ist auf dem aktuellsten Stand (Windows XP SP 2 mit allen verfügbaren Updates übers Internet)

3.) Ja ich nutze leider den Internet Explorer

1.)ergo, wir kommen u.U. um ein neuaufsetzen herum?
2.)die aktualisierungen geschehen bei mir automatisch. ich werd aber gleich mal schauen, wie es darum bestellt ist
3.)IE und PPPoE

soeben beendetes windows update ergab fogendes:
Windows Genuine Advantage-Gültigkeitsprüfungstool

Hallo,
hmm, ist mir bisher ein Rätsel wie ihr den abbekommen habt. Vielleicht kann man mehr sagen wenn die Virenscanner auf die Dateien antworten. Hat jemand von euch die Datei auch an Sophos geschickt, die sind mit genaueren Beschreibungen immer besonders schnell.
Was das herumkommen um das Neuaufsetzen angeht mache ich euch da keine allzu großen Hoffnungen, auch bei Backdoors, das sind Programme zur Fernsteuerung eines Systems, ist ein Neuaufsetzen die einzig sinnvolle Maßnahme.


Grüße Wildone

So, habe in einem anderen Beitrag gerade mein HiJackThis Log gepostet, ich hoffe man sieht daraus mehr.

Achja, der PC der nicht betroffen ist (zeigt keine Symptome, keine Datei mit Taskdir.*, kein Ausschlag von SpyBot) kann keine Windows Updates mehr machen. Vor gut 3-4 Tagen ging alles noch ohne Probleme, jetzt sagt er die benötigten Dateien sind nicht vorhanden. Wenn ich dann sage, er soll diese Dateien installieren, führt er es zwar aus aber danach kommt genau die selbe Fehlermeldung wieder.
Was kann dass denn jetzt sein? Ich verzweifle langsam :-(

Hallo,
bleib jetzt erstmal ruhig, du kannst jetzt sowieso nichts mehr machen. Sind die Updateprobleme bei dem befallenen Rechner oder bei dem anderen? Ist auch möglich das du download.windowsupdate.com erst in die vertrauenswürdigen seiten aufnehmen musst.
Ansonsten wird es wohl erst neue Erkenntnisse geben wenn sich die AV Hersteller melden.


Grüße Wildone

Das Updateproblem ist bei dem "vermeintlich sauberen" Rechner. Wollte mich nur noch mal versichern, dass die Updates von Windows auch wirklich aktuell sind und auf einmal ging es nicht mehr. Die Downloads haben bis jetzt immer funktioniert, habe seit dem letzten Update auch nichts geändert.
Naja den "sauberen" Rechner habe ich jetzt vom Netz genommen und alle Internetzugänge deaktiviert.

Warte jetzt erstmal bis ich Infos über mein HiJackThi Log von dem "verseuchten" Rechner bekomme. Muss jetzt den zuerst wieder "sauber" kriegen.
Danke für eure Hilfe, bin sehr froh das ich dieses Forum gefunden habe.

Hi Leute,

ich versteh bald gar nichts mehr...
Gestern zeigte mir AntiVir das Trojanische Pferd auf einmal nicht mehr an. Danach war auch die ganze Zeit Ruhe. Nach einem Neustart kam die Meldung einmal, dann hab ich überschreiben und löschen angeklickt und danach war wieder Ruhe. Heute morgen genauso. Das Ding ist also nach wie vor da, aber AntiVir meldet sich nur noch einmal.
Ich kann mir auch nicht vorstellen, woher ich diesen Mist habe. Das Problem ist natürlich, dass auch der Rest der Familie auf diesen Rechner Zugriff hat und ich weiß ja nicht, was die runterladen usw. *ggg*

Ich habe auch noch einen zweiten PC, der sich über WLan einwählt. Auf diesem Rechner (mein eigener) hatte ich noch nie nie nie irgendwelche Probleme oder Meldungen. Immer nur auf dem "Hauptrechner".

Vielleicht ne blöde Frage, aber: Kann sich so ein Virus durch das WLan auf den anderen Rechner übertragen ?? Ich habe nämlich keine Lust, da auch noch alles neu zu machen.

Ich poste euch jetzt mal die Antwort von v3sos@ahnlab.com

Hello!
I am Researcher, Hyung Jin, Cha at Security Response Center in AhnLab


AhnLab Security E-response Center has received your sample files and forwarded to the involved division
where the analysis will be conducted.

* Sample Code: E60323MA
(Please provide us with the sample code that enables us to assist you better.)

We will send the result of the analysis to your email after examining the files.

Detailed description on the sample we received is as follow.
================================================================================
* Sample Description

taskdir.exe - suspicious

================================================================================

* Reference

The V3 program is anti-virus software for scanning for malicious codes (Viruses, Worms, Trojans) and the SpyZero is anti-spyware software for scanning for spyware (adware)

Thank you.



Kann da einer was mit anfangen ? Ich versteh nur Bahnhof.
Ansonsten hat mir noch keiner geantwortet.

Servus wieder, anna!

An wen hast Du denn die Datei gesendet? Kaspersky eh auch dabei gewesen?

Habe ein bißchen Geduld, diese Analysen dauern mitunter einige Zeit!

Diese eine Rückmeldung besagt schon mal, dass diesem Empfänger die Datei verdächtig vorkommt - nicht mehr und nicht weniger!

stupormundi

Hi,

ich hab die Datei erstmal nur an die ersten 4 oder 6 die da auf der Liste standen geschickt. Ich hatte nicht mehr Zeit.
Habe das Problem jetzt an meinen Bruder weiter gegeben. Der musste sich nur erstmal um seinen eigenen PC kümmern, denn irgendein Virus hat sein Virenprogramm außer Kraft gesetzt, ohne dass er es bemerkt hat und nun war der ganze Rechner voll mit Würmern, Viren und was es noch so alles gibt...
Zum Glück ist er ganz fit in solchen Sachen und kümmert sich hoffentlich jetzt darum.
Ich werde ihm aber sagen, dass er sich hier melden soll, wenn er irgendwas Neues weiß, denn vielleicht kann jemand anders noch davon profitieren.

Vielen Dank für eure Hilfe!!!

*hüstel* das gilt aber immernoch.
Besser wäre es gewesen wenn ihr die Samples an die großen AV Hersteller(Symantec, CA, Kaspersky (der erkennt es ja eigentlich schon), Sophos usw.) geschickt hättet.


Grüße Wildone

Hallo zusammen!

habe seit gestern auch dieses Prob und auch wie alle anderen nix komischen angesurft, installiert etc. habe hier auchmal die Scans reingesetzt und das HJT Log. Vielleicht könnte ja einer mal rüberschauen! Ich habe bei der Suche auf meinem Comp nämlich noch TASKDIR.DLL.vir gefunden und gestern sah ich da auch noch die prefetch Datei wie bei Anna, welche aber heute weg ist!

Bitte bitte bloß kein neu Aufsetzen des Systems!!! :heulen:


Datei: taskdir.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------

Datei: TASKDIR.DLL.vir
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AQ.1 gefunden
ArcaVir Trojan.Proxy.Lager.Aq gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Lager.AQ!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.PWS.Alanchum gefunden

-------------------------------------------------------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------
This is a report processed by VirusTotal on 03/23/2006 at 11:53:13 (CET) after scanning the file "TASKDIR.DLL.vir" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.23.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 Proxy.BRR
Avira 6.34.0.53 03.23.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.23.2006 no virus found
CAT-QuickHeal 8.00 03.23.2006 no virus found
ClamAV devel-20060126 03.23.2006 no virus found
DrWeb 4.33 03.23.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.109 03.23.2006 Win32/Lager.1xn!DLL!Trojan
eTrust-Vet 12.4.2131 03.23.2006 no virus found
Ewido 3.5 03.23.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.23.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.23.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.23.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.22.2006 no virus found
Sophos 4.03.0 03.23.2006 Troj/HideDl-A
Symantec 8.0 03.23.2006 Trojan.Abwiz.F
TheHacker 5.9.7.118 03.23.2006 Trojan/Proxy.Lager.aq
UNA 1.83 03.22.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.22.2006 Trojan.PWS.Alanchum

---------------------------

HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:50, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Hallo @all (speziell zuletzt Caranthir)!
Bitte eröffnet - auch wenn ihr glaubt, ein gleiches/ähnliches Problem zu haben - ein eigenes Thema. Es wird sonst vollkommen unübersichtlich wer auf wessen Frage oder zu wessen Problem antwortet!

Im Übrigen: @Caranthir: Du hast einen Backdoor im System - das heißt eben schon neu Aufsetzen

@wildone: Full ack, habe übersehen, dass Du ohnedies schon eine entsprechende Empfehlung gegeben hast!
stupormundi

@stupormundi

Merde, wo siehst Du denn das? :headbang:

In der Beschreibung zu den eindeutig beschriebenen Funden! stupormundi

Hallo Leute!

Hab dieses Scheiß-Ding auch eingefangen. Bei mir hat es ebenfalls AntiVir erkannt. Gibt es schon Neuigkeiten von den Virenscanner Herstellern?

Vor allem interessiert mich, ob ein Neuaufsetzen des PCs wirklich notwendig ist. Da ich Gott sei Dank ansonsten mit solchen Schädlingen nix zu tun hab, weiß ich nicht, ob es sich lohnt auf "Entfernroutinen" von diversen Herstellern zu warten. Oder können die da aufgrund der Gegebenheiten des Trojaners auch nichts mehr machen?

LG,
Robsta

Also ich hab das problem mit diesem Trojaner jetzt auch! Nur leider hab ich so wenig Ahnung von dem ganzen hier, dass ich leider nichts von dem versteh was hier geschrieben steht!

Er hält sich bei mir auch in der Datei window\system32\taskdir.dll auf, nur hab ich das Problem das sich diese Datei auf meinem Rechner gar nicht finden lässt!

ich bitte euch darum auch mir zu helfen! :heulen:

habe mir den trojaner auch eingefangen.
so wie es aussieht, kann man erstmal nur die taskdir.exe unter normal win finden.

bin im moment dabei alle hier angegebenen lösungsvorschläge abzuarbeiten. mal schauen wie weit ich komme!!

**edit**

die beiden oben angegebenen online-dateiscanner haben angeschlagen und die hier auch schon gefallenen namen für den trojaner genannt.

habe jetzt mit HJT die beiden HKCU Einträge entfernt, sowie taskdir.exe als prozess abgebrochen und datei gelöscht.
deinstalliere nun antivirxp, um vorzubeugen, dass sich das programm infiziert haben könnte.
desweiteren entferne ich nun die taskdir.dll.vir im abgesicherten modus.

Hallo,
an alle die hier stranden.
Dieser Trojaner gewährt aller Wahrscheinlichkeit nach dritten vollen Zugriff auf euer System. Dieser kann dadurch alle möglichen Änderungen vorgenommen haben, z.B. gewisse Hintertürchen öffnen usw.
Die einzige sichere Maßnahme das Bürschchen loszuwerden ist ein Neuaufsetzen des Systems. Warum das so ist, und wie dabei und bei der anschließenden Absicherung vorgegangen werden sollte erfahrt ihr hier.
Wenn jemand noch eine Idee hat wie er sich das Prachtstück eingefangen hat so kann er es gerne posten., das würde mich nämlich brennend interessieren.



Grüße Wildone

das heisst doch alles Formatieren und neu drauf, oder irr ich mich da?

Hallo,
das heißt zumindest die Systempartition formatieren und alles neu aufspielen.
Und keine ausführbaren Dateien (exe, scr, pif, com...) von dem alten auf das neue System übernehmen.


Grüße Wildone

Hallo!

Gibt es eine Möglichkeit bzw. Tools um herauszufinden, ob es dem Schädling bereits gelungen ist, mein System zu kompromittieren? Denn wenn man das herausfinden könnte und das System eben nicht übernommen worden ist, würde es doch reichen die Malware zu removen!?!

LG,
Robsta

Hallo Robsta,
da hast du den Nagel aber sowas von getroffen !
Das ist nämlich der springende Punkt,des Pudels Kern, usw.
Das eben rausfinden kann man nicht.Da man in dieser Hinsicht keine Gewissheit haben kann,muß man davon ausgehen das der "böse Bube" schon da war und entsprechend seinen Wünschen an deinem System geschraubt hat.Wenn er das halbwegs gut gemacht hat,merkst du es daran das dich morgens um vier Uhr ein SEK-Kommando weckt.Der Staatsanwalt dir einen Haftbefehl wegen Kinderpornografie unter die Nase hält und du in U-Haft kommst.Wem so ein Tagesanfang gefällt der möge nicht formatieren......
Denen sei aber auch noch mit auf den Weg gegeben,sich in U-Haft nicht nach der runtergefallenen Seife zu bücken, beim Gemeinschaftsduschen.:o
Irrlicht

Also im Radio auf EinsLive wird schon über den Trojaner gesprochen! Hab ich mir sagen lassen! Genaueres weiss ich aber leider auch noch nicht!

so inzw. bin ich auch soweit das ich mir das teil gefangen habe!

hier mal der hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:52, on 24.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\taskdir.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Alex\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\2.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O8 - Extra context menu item: &Search - h**p://bar.mytotalsearch.com/menusearch.html?p=CPXXXXXX59
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E720A82-BF84-4AF1-BBFA-B6DB7FDB6F5F}: NameServer = 212.247.156.66 212.247.156.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E720A82-BF84-4AF1-BBFA-B6DB7FDB6F5F}: NameServer = 212.247.156.66 212.247.156.70
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe


wie jetz weiter?
sollt ich sonst noch was machen?

nur av erkennt den trojaner

greetz und danke inzw! :daumenhoc

edit: mal abgesehn vom neu aufsetzen, is noch was zu retten?

Danke für die Antwort(en).

Ich bin auf diesem Gebiet echt ein kleines Würstchen und ich will auch bestimmt kein Klugscheißer sein. Hab jetzt mit einem Removal Tool von Symantec besagten Schädling entfernt:kloppen: , was sicher nicht schaden kann. Da ja bekannt ist, dass dieser Trojaner zu einer bestimmten IP eine Verbindung aufbaut, habe ich aus reiner Neugierde ein netstat ausgeführt. Bis jetzt wurden noch keine verdächtigen Verbindungen angezeigt. Nun bin ich mir sicher, dass auch schon andere auf diese Idee gekommen sind. Aber folgende Frage kann ich mir trotzdem interessehalber nicht sparen. -Wenn keine Verbindung mehr zu dieser Adresse aufgebaut wird, weil der Trojaner ja futsch ist, dann macht der ja gar nix mehr, oder? Oder ist es nur eine Frage der Zeit bis sich der Angreifer von sich aus auf meinen PC verbindet. Allerdings bekomme ich ja vom Provider dynamisch eine IP zugewiesen. Also kann der mich ja unter Umständen gar nicht finden!?!

Übrigens haben sich auch noch andere Trojaner bzw. Backdoors bei mir eingeschlichen. Namentlich: TR/Dldr.Small.ciw.5 und BDS/SubSeven.215.A Als ich mitbekommen habe, dass auf meinem System Backdoors existieren, war für mich eigentlich klar, dass ich die Kiste neu aufsetzen muss. Oben genannte Situation bringt mich natürlich wieder ins Grübeln.

LG,
Robsta

wo gibts ein Entfernungstool? Link`? Ich fand bei Symantec nichts...rein gar nichts!

Guten Morgen!

Removal Tool:

http://www.symantec.com/avcenter/ven...oval.tool.html

Wenn man die Diskussion verfolgt, ist es unter Umständen vernünftiger den Rechnner neu aufzusetzen. Ich bin mir aber nicht ganz sicher und warte noch auf eine Antwort auf meinen Post letzte Nacht. Ich stelle da keineswegs die Meinung der experten in diesem Forum in Frage, ich interessiere mich jetzt nur genauer dafür und würde mich freuen wenn man mich quasi "aufklärt".

Wenn zum Angreifer keine Verbindung mehr aufgebaut wird, was kann der Angreier mir noch tun?

Grüße,
Robsta

der ist auch fuer den Proxy-Virus?

ich denk, ich werd heut nachmittag die Kiste neu aufsetzen.

Ja der funktioniert auch bei "unserem" Trojaner. Zumindest bei meinem ;-)

System neu aufsetzen muss nicht unbedingt sein..Bei mir hats so geklappt:

Anleitung zum Wegmachen:

1. IE starten (muss IE sein) und auf
http://www.trendmicro.com/hc_intro/default.asp das Tool laufen lassen.
2. Alles gefundene löschen.
3. Windows im abgesicherten Modus starten und das zuvor heruntergeladene Tool von Symantec starten.
http://www.sarc.com/avcenter/venc/da...n.abwiz.f.html
Wenn das Tool durch ist, System neu starten->Arschloch Weg! :-)

Ich habe nochmal rücksprache mit dem sicherheitsexperten einer computerfirma gehalten. dieser meinte, dass das neuaufsetzen nicht notwendig ist. einfach im abgesicherten modus antivir durchlaufen lassen, entsprechende dateien löschen, und dann soll es bereinigt sein. ich persönlich hege meine zweifel, will aber wenn irgendwie möglich einem neuaufsetzen aus dem weg gehen. bei sind übrigens mittlerweile auch der TR/Proxy.Lager.AQ.4 und TR/Dldr.Small.ciw.5 drauf....

Hallo,
nur noch mal zur Information, ich bin weiterhin der Ansicht das eine Entfernung nicht sinnvoll ist und wenn ich solche Sätze höre:
Wird mit immer klarer warum soviele Firmen Sicherheitsprobleme haben. Wer soetwas als selbsternannter Sicherheitsexpert sagt sollte sich direkt die Papiere bei seinem Chef abholen müssen.

Noch mal ein Ausschnitt aus einem Microsoft Artikel zu dem Thema:

Quelle


Grüße Wildone

Ich habe jetzt meine Kiste neu aufgesetzt und alles ist wieder bestens!

Nochmal zu denen die es vielleicht nicht für nötig halten. Ich habe davor
natürlich auch rumexperimentiert mit sowas wie Antivir erstmal deaktivieren und dann im Abgesicherten Modus die ganzen Dateien löschen. Hat auch so weit alles gefunzt, aber man sollte dann nur mal in der Eingabeaufforderung netstat -a versuchen und da gehen einem die Augen über!

Meine Kiste war ständig am Senden was dann auch vom DSL Speedmanager bestätigt wurde. Immer alle paar Sekunden ging was raus und es macht alles extrem langsam!

Also auch von mir nochmal der Tipp: Neu Aufsetzen!!! Auf jeden Fall!!!

TR/Proxy.Lager.AQ.1 zerstören!

JUHU Ich habe es geschafft!

Einfach von www.symantec.de im Bereich "Virus Entfernungsprogramm downloaden".

Den Patch Trojan.Abwiz downloaden und ausführen dann warbei mir war der TR/Proxy.Lager.AQ.1 weg.

Gruß

Hallo,

@KaiausKöln: Du hast die vorhergehenden Posts nicht gelesen. Zurück zum Start.
Wähne Dich ruhig in der trügerischen Sicherheit, aber allein!

Gruß

Schrulli

Guten Morgen @ caranthir:
Danke für Deine Rückmeldung - Du hast die einzig sinnvolle Maßnahme ergriffen und mit Deiner Rückmeldung auch gleich deren Sinnhaftigkeit eindrücklich dargelegt :daumenhoc
Da kann ich nur beipflichten - egal was so mancher "Experte" da sagt!

lg, stupormundi

Guten Morgen.

Danke für die nützlichen Hinweise hier im Forum.

Habe meinen PC gestern auch neu aufgesetzt, nachdem bei mir der TR/Lager.AQ1 und TR/small.ciw.5 eingeschlagen sind ...

Ist schon bedenklich, wie viele Nutzer hier sich vor ca. 1 Std. Plattenformatierung zzgl. Systemneuinstallation fürchten und lieber die Folgen in Kauf nehmen.

Nochmal danke und weiterhin viel Glück.

Dark

ja, das ist in der Tat erstaunlich - Unsicherheit ist ein schlechter Ratgeber!
Leider ist es noch immer so, dass nicht so geübte User lieber ihnen vollkommen unbekannte remover und scripts, deren Wirkungsweise sie gar nicht kennen (und verstehen), laufen lassen und in ihrer Registry herumdoktoren, als - wie Du ja schon richtig sagst - ihr System neu aufzusetzen. Das ist eigentlich viel einfacher durchzuführen und mittlerweile bei einem Gutteil der Schadsoftware auch der schnellere Weg (oft auch der einzige, nicht nur bei Backdoor-Befall).
stupormundi

Ich habe meinen Rechner auch neu aufgesetzt. Angenehme Nebenwirkung ist ja, dass die Kiste wieder schneller laufen sollte und der über die Zeit anfallende Ramsch nicht mehr auf der Platte Kapazität nimmt.

Trotzdem würde ich gerne eine Antwort auf meine Frage haben. Bei der Eingabe des Befehls 'netstat -a' in der Eingabeaufforderung werden ja alle Verbingungen meines Computers angezeigt, richtig?

Wenn da jetzt keine Verbindungen mehr zum Netz des Angreifers existieren bzw. aufgebaut werden, wie kann der Angreifer mir bzw. anderen Nutzern noch schaden?

Ich habe diese Frage ähnlich schon einmal in diesem Thread gestellt, leider konnte sie nicht beantwortet werden. :confused:

Ich würde mich sehr über eine Antwort freuen.

Schönen Abend noch!

Danke,
Robsta10

Also:
Ich hab da auch n großes Problem.
Und zwar würde ich liebend gerne diesen Trojaner vom PC jagen indem ich meine festplatte formatiere, das geht bei mir jedoch nicht.

Könnte mir bitte jemand helfen?
Immer wenn er von der cd lesen sollte, kommt eine Stimme aus dem Lautsprecherm die mir sowas sagt auf Englisch wie:
...test (oder so)....starting noch from working system.
(verstehe davon net viel, nur beim schluss bin ich mir sicher, dass es sows heißen soll auf deutsch.)

Was soll ich nun machen?
Ich kann ja gar nicht mehr formatieren *schnief*

Hi Leute,

ich weiß nicht, ob das hier noch irgendwen interessiert, aber ich habe heute nochmal eine Antwort von v3sos@ahnlab.com bekommen. Folgendes schreiben die:

Hello!
I am Researcher, Cheolsoo, Lee at Security Response Center in AhnLab


* Sample Code: E60323MA
(Please provide us with the sample code that enables us to assist you better.)

This is an analysis of the report you sent to us.

* Result *

With the latest V3 scanning engine(Engine version 2006.03.28.00) updated, you can detect and remove the infected files you sent to us.

taskdir.exe - Dropper/Lager.51079

--------------------------------------------------------------------------------


0 bytes: Check whether a suspicious file contains 0 bytes, if not resubmit it to us.

Normal: According to the analysis result, the file you sent to us seems OK. System errors
can be caused by various reasons, such as software collisions, buggy programs and mis-configured programs.
If the same problem persists, please contact the software manufacturer.


Not Solved: Although we could not yet find malicious activity in the file you sent to us,
it is still suspicious. Some malicious codes may work and cause problems on the specific environments.
Therefore it may be identified as a malicious code at a later time.


Corrupted: The file you sent to us was corrupted or no longer able to run. Please delete
the file from your system.


Data/Unknown Type: The file you sent to us is a data file or unknown file format.
In general, a data file is safe from a virus infection. Even If a data file is infected with a virus,
it cannot be executed. We assumed that this file is one of the data files used internally by a specific
program.


Malicious Code: The file you sent to us was identified as a malicious code.
New virus signature for this will be added to V3. Please detect and repair (delete) the malicious code
after updating to the latest scanning engine.


Potentially Harmful Program: This program or file is potentially harmful to your computer
and can cause a variety of damage. Note that a potentially harmful program can only be detected when
a feature of V3Pro 2004 'Scan for potentially harmful program' is enabled.


================================================================================

* Reference

The V3 program is anti-virus software for scanning for malicious codes (Viruses, Worms, Trojans) and the SpyZero is anti-spyware software for scanning for spyware (adware)

Thank you.



Ansonsten kann ich nur sagen, dass unser PC am Wochenende auch neu aufgesetzt wird, egal was wer wie wo wann und warum gesagt hat!

Liebe Grüße,
Anna

hallo anna mir ging es genauso kannst du mir jetzt auch helfen ?

Mal so angemerkt. Alle die sich den Trojaner eingefangen zu haben benützen wohl den Internet Explorer als Browser.....

Na fällt euch was auf? ... Wann benützt ihr endlich einen sichern Browser????
(ok zugegeben eine völlig sichern Browser gits nicht... *g*)

Wenn ihr euch nicht sicher seid dann lest mal dies hier: Punkt 6.1- 6.7 !

http://www.mathematik.uni-marburg.de...mise.html#sec6

Auch nett: http://focus.msn.de/finanzen/banken/..._aid_8417.html

grüssle

rotaran

Hallo zusammen,
zu Robbsta :
Du gehst davon aus, das du die Verbindung erkennen kannst ?
Denkst du die Verbindung wird lauten, "Verbindung zum Bösen Buben " ?
Die Verbindung wird versteckt in einer harmlos bzw.nötig aussehenden Verbindung.
@Anna
Das ist zweifellos die beste aller Entscheidungen !
@The eddy6
beim Neuaufsetzen kann Anna dir nicht helfen,das würde nämlich bedeuten sie säße vor deinem Computer.Hier auf der Startseite steht unter "Anleitungen,FAQ,Links" eine sehr gute Anleitung dazu.Nimm diese ,statt Anna !
Irrlicht