Trojaner-Board - TR/Killapp.30208.A???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Killapp.30208.A??? (https://www.trojaner-board.de/31208-tr-killapp-30208-a.html)

TR/Killapp.30208.A???

Hi!
Beim letzten Scan meldete sich Antivir und zeigte mir, dass ich einen Trojaner auf den PC hab. Dieser befindet sich im Ordner hp und nennt sich Terminator.exe. Der genaue Typ ist jedoch TR/Killapp.30208.A. Ich habe in wenig herumgegoogelt und musste feststellen dass selbst die User vom Antivir board etwas ratlos sind. Schließlich gibt es diesen Trojaner nur auf HP-Rechnern...
Heute geriet ich etwas in Panik, denn kurz nachdem ich vom Essen zurück kam, meldete sich meine Firewall und wollte Antivir starten. ich ließ es zu, hießt es ja für ein Update, doch dann piepste es und siehe da, der Trojaner meldete sich wieder, doch er versteckt sich diesmal im System volume Information/restore ordner und nennt sich ziemlich seltsam...

Was ist da dran? Hab ich etwas zu befürchten, ist es Fehlalarm, doer was ist los? Ich habe beide Dateien in Quarantäne gepackt....

Nadine

mOIn megabyte,
erstelle mal so ein Log
http://www.trojaner-board.de/showthread.php?t=17493
lese genau und halte dich bitte dran ;)
MFG

Hier das log. Nun ich dachte ich bräuchte kein Log weil es sich um einen Trojaer handelt aber es kann doch sein dass es Spyware ibt die immer auf so was hinzielt... Ich hoffe dass ich die regeln richtig verstanden hab...

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:18, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\HP\KBD\KBD.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\lotus\organize\easyclip.exe
C:\Programme\Sinus 1054 data\Wifiusb.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de8.hpwis.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://de7.hpwis.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die Adressen die von hp selber kamen hab ich nicht zensiert, denn die kamen mir auch etwas komisch vor... Und jetzt hab ich mal die URLs weggepackt...

mOIn nochma,
ja hast du richtig verstanden :aplaus:
dein HJT sieht meiner Meinung nach sauber aus was du ja schon angedeutet hattest.
Lade die Terminator.exe mal hier
http://virusscan.jotti.org/de/
oder
http://www.virustotal.com/en/indexf.html
hier hoch (kann in beiden fällen etwas dauern) oben auf Durchsuchen klicken und bis zur Datei vorarbeiten --> Abschicken und bisschen warten.
Poste die Ergebnisse auch wenn nichts gefunden wurde.
ach ja bevor ich es vergesse mach dies noch bitte
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
MFG

Ich habe jedoch noch eine Frage zu dem ganzen bevor ch euch weitere Daten schicke... Wie soll ich Terminator.exe scannen, wenn es doch in Quarantäne ist o.O? Soll ich das dann wieder befreien und später nochmal durchscanenn oder wie o.O?
Und wann soll ich die Systemwiederherrstellung deaktivieren, nachdem ich das anze gelöscht hab oder während das in Quarantäne ist oder wie?!

mOIn
die Systemwiederherstellung kannst du erst mal sein lassen.
Die zu prüfende Datei kannst direkt aus dem Quarantäneordner hochladen.

MFG

Wäre schön wenn ich den finde... *ufff*Ich geh mal suchen,...
Windoofs suche findet selbst mit versteckten dateien nix als soll ich ads ding erstmal freilassen?

mOIn
evtl. hier
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED
MFG

Vielen Dank, jetzt funzt's!

Ich hab mal beide .qua Dateien genommen...

Zitat:

scanning result of "45480de6.qua", received in VirusTotal at 08.08.2006, 14:19:11 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006 no virus found
Authentium 4.93.8 08.08.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.07.2006 no virus found
BitDefender 7.2 08.08.2006 no virus found
CAT-QuickHeal 8.00 08.08.2006 no virus found
ClamAV devel-20060426 08.08.2006 no virus found
DrWeb 4.33 08.08.2006 no virus found
eTrust-InoculateIT 23.72.89 08.08.2006 no virus found
eTrust-Vet 12.6.2329 08.08.2006 no virus found
Ewido 4.0 08.08.2006 no virus found
Fortinet 2.77.0.0 08.08.2006 no virus found
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.08.2006 no virus found
Kaspersky 4.0.2.24 08.08.2006 no virus found
McAfee 4823 08.07.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1696 08.07.2006 no virus found
Norman 5.90.23 08.08.2006 no virus found
Panda 9.0.0.4 08.07.2006 no virus found
Sophos 4.08.0 08.08.2006 no virus found
Symantec 8.0 08.08.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.07.2006 no virus found
VBA32 3.11.0 08.07.2006 no virus found
VirusBuster 4.3.7:9 08.07.2006 no virus found

Aditional Information
File size: 30486 bytes
MD5: 12211912f5e6ed9f0f29032941760da2
SHA1: a675cb0cf5f47a1dabbc262b0148e25b42ef548a

Zitat:

Complete scanning result of "4507808d.qua", received in VirusTotal at 08.08.2006, 14:22:17 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006 no virus found
Authentium 4.93.8 08.08.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.07.2006 no virus found
BitDefender 7.2 08.08.2006 no virus found
CAT-QuickHeal 8.00 08.08.2006 no virus found
ClamAV devel-20060426 08.08.2006 no virus found
DrWeb 4.33 08.08.2006 no virus found
eTrust-InoculateIT 23.72.89 08.08.2006 no virus found
eTrust-Vet 12.6.2329 08.08.2006 no virus found
Ewido 4.0 08.08.2006 no virus found
Fortinet 2.77.0.0 08.08.2006 no virus found
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.08.2006 no virus found
Kaspersky 4.0.2.24 08.08.2006 no virus found
McAfee 4823 08.07.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1696 08.07.2006 no virus found
Norman 5.90.23 08.08.2006 no virus found
Panda 9.0.0.4 08.07.2006 no virus found
Sophos 4.08.0 08.08.2006 no virus found
Symantec 8.0 08.08.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.07.2006 no virus found
VBA32 3.11.0 08.07.2006 no virus found
VirusBuster 4.3.7:9 08.07.2006 no virus found

Aditional Information
File size: 30640 bytes
MD5: a87c15db991664961552e1d5d3358ca5
SHA1: e9866d4b7c0db2542e948bc7239584e49b7e9ca8

mOIn
das hab ich mir fast gedacht es wird sich hier um nen Fehlalarm handelt, ich hab das Prob mit AntiVir und nem anderen Antivirenprogram das da Fehlalarme kommen.
Du kannst die Datei ja mal an AntiVir schicken wie und wo steht hier
http://www.trojaner-board.de/showthread.php?t=19273
damit sie die Fehlalarme (wenns welche sind;) ) ausbügeln können.
Ich glaub die melden sich dann sogar bei dir.
EDIT: Die Systemwiederherstellung brauchst nicht deaktivieren.
MFG