HEUR/VB.VBS Dropper Hilfe pls
 

Hi liebe Trojanerbekämpfer xD
Ich brauch dringend eure Hilfe.
Ich mir nen bösen Trojaner besorgt.
Der war in einer gefakten Video Datei.
Also mit microjoiner gepacktes archiv und mit einem WinAmp symbol.
Bestens getarnt gewessen^^
Und zwar heißt der HEUR/VB.VBS Dropper
Wenn ich immer meinen pc starte verzerrt sich der Desktop dermaßen, dass Ich fast nichts mehr am PC machen kann.
Ich weiß leider nciht wie ich den Trojaner weg krieg.
Ich hoffe ihr könnt mir helfen.

Ich hab noch ein paar screens für euch :
1. So sieht mein Desktop aus wenn ich den PC starte.
h**p://img183.imageshack.us/my.php?image=desktopmt4.jpg
2. Virustotalscan vom Trojaner
h**p://img176.imageshack.us/my.php?image=virustotalscanqr4.jpg

mfg sunny

Sry das wichtigste vergessen^^

Logfile of HijackThis v1.99.1
Scan saved at 16:45:55, on 25.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\phonostar\ps_timer.exe
C:\windows\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6BC7A231-D0EB-4ED5-85FF-D2A345D5CBD3} - C:\WINDOWS\system32\rpcns432.dll
O2 - BHO: (no name) - {6F6D0431-D187-4F80-B683-F29E1D1A5B4D} - \
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tune] C:\windows\tune.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120929407640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{326E0710-7B37-445B-BB12-C06F9D735268}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2luYSBIYW16YWx1ZmFyZA\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Total verseucht!

O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe

Ziemlich böse rate zur Neuinstallation falls es zutrifft was ich vermute aber lass mal die obigen Dateien bei Jotti oder Virustotal prüfen.

poste uns bitte das Ergebniss

hab ich mir schon gedacht.
ich werd die daten wie du schon sagtest mal prüfen
thx

tja leider find ich die daten nicht
auch unter windows suche
irgentwie nciht da oder versteckt

Laut Google Backdoor.Win32.Bifrose.d

Anleitung zum Entfernen siehe Signatur.

Gruß :daumenhoc
Yopie

thxxxxxxxxxxxxxxxxxxxx
wielange ich danach gesucht habe
was fürn ne erlösung

:)

Naja, ich glaube nicht, dass du dir die Anleitung schon angesehen hast. Es gibt aber keine andere sichere Möglichkeit.

Gruß :daumenhoc
Yopie

windoof neu drauf :headbang:
das wollte ich eigentlich vermeiden aber wenns anders nicht geht^^
das wird wieder ein langes wochenende :heulen:
erstmal direkt 100gb musik, video, programme sichern :heulen:

Daten (Musik, Videos, Texte etc.) kannst du problemlos sichern, aber alles, was ausführbar ist (exe, com, etc....) ist potentiell kompromittiert. Aber die Programme dürften ja auch alle auf CD vorliegen.

Für die Zukunft empfiehlt es sich, mit ein Image der sauberen, frisch installierten und vollständig gepatchten Systempartition anzulegen. Dann ist das beim nächsten Fall nur ein Aufwand von wenigen Minuten...

Gruß :daumenhoc
Yopie

werd ich machen meister xD
:party:
damit die party am wochenende doch nicht drunter leiden muss ;)
kannste mir nur noch zum schluss ein gutes image programm empfehlen?

True Image, ca. 45 Schleifen.

Oder kostenlos: Partimage auf der Knoppix-CD.
Anleitung: http://www.x-fish.org/proj_partimage00.html (nicht durchgelesen und getestet!)

Gruß :daumenhoc
Yopie

thx
werd mal direkt runterladen ;)
mfg sunny

Aber hoffentlich nicht mit dem verseuchten Rechner!

Gruß :daumenhoc
Yopie

zum glück hab ich ja noch nen laptop xD
altes 800 mhz teil :o
aber das reicht erstmal ;)
mfg sunny

P.S
warum gibt es eigentlich so viele kiddies die kein real life haben und trojaner basteln müssen?

Weil das oft längst keine Kiddies mehr sind, sondern es sich um eine Form des organisierten Verbrechens handelt, was entsprechend monetär lohnenswert erscheint.

Eine Folge kann http://www.trojaner-board.de/showthread.php?t=31651 sein, oder Spamversand, Abräumen von Bankkonten etc.

Gruß :daumenhoc
Yopie

Kann sein das es auch organisiert gemacht wird. Aber hauptsächlich immer noch kiddies, die sich von irgentwelchen hackerforen cia 1.3, bifrost oder prorat laden und ihren spaß damit treiben.
Sprich steam account stehlen, icq etc.
Ich kenn da so einige (ja ich kenn auch böse menschen xD) die sich in solchen foren rumtreiben und mit delhi und vb sich schöne trojaner basteln.
www.hack******.dl.am
ich hab mich auch für ne zeit in solchen foren rumgetreibt aber is finde ich eigentlich sinnlos so nen scheiß zu machen.
wird man selber opfer ist das nicht mehr so witzig und man wird erleuchtet :daumenhoc
oftmals bringen die besten av nichts.
egal auf freeware oder was für 100 €
es ist extrem einfach einen trojaner zu steahlten (undeceted zu machen)
av devil an durchlaufen lassen bischen in hex editor bearbeiten^^
leider gibt es zuviele foren die ganz tolle anleitung dazu liefern, oftmals sogar auf video basis.
professionelle organistationen bieten ihre trojaner an damit die kiddies möglichst weit verbreiten.
und jetzt nicht lachen :crazy:
google unterstützt sogar solche hackerseiten
gibt bei google z.B hacksector ein und was kommt :confused:
genau die seite mit dem forum

mfg sunny :daumenhoc

P.S
hoffentlich werde ich jetzt nicht gebanned oder so weil ich für einen bösen kiddie gehalten werde xDDDDD

Ich kann nur http://hackeralarm.de/ empfehlen....
:party:


Gruß :daumenhoc
Yopie

lol übelst geil die seite xDDD
woher admins immer sowas haben :P
hat der liebe admin hier etwa auch ne böse vorgeschichte? xDDD
direkt erstmal die seite in meine icq n/a schreiben :P

wenn irgentwelche kiddies diesen tread lesen dann last bloß die finger von hacken und den shit.
wenn er hackt passiert am ende sowas
und das wollen wir ja nicht XD

Die werden spätestens am Montag eine internationale Fahndung rausgeben. Das FBI wird deine Tür eintreten, dich mitten in der Nacht aus dem Schlaf reissen und dich in Handschellen, Fußschellen und mit Kopfsack aus dem Haus schleifen. Danach wird man dich in ein Zimmer ohne Fenster stecken und eine Lampe wird auf dich gerichtet. Danach wird man dich stundenlang verhören - wenn du nichts ausspuckst wird man dich notfalls foltern. Die Richter verstehen bei sowas keinen Spass - stell dich schon mal auf wenigstens lebenslang ein. Und denk dran: in Amerika wurde sogar schon ein 12 Jähriger wegen Mordes zum Tode verurteilt. Wurde zwar wieder aufgehoben - aber hey, vielleicht statuieren sie ja an dir ein Exempel.
An deiner Stelle würde ich mir jetzt schon das Leben nehmen. Dann ersparst du den Staaten Deutschland und USA sogar noch Geld. Aber erwarte bitte keine ordentliche Beerdigung. Irgendwo verscharren muss reichen.