Trojaner-Board - Trojaner TR/Dldr.iBIll.Z

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Dldr.iBIll.Z (https://www.trojaner-board.de/36957-trojaner-tr-dldr-ibill-z.html)

Trojaner TR/Dldr.iBIll.Z

Hallo!

Ich bekam am Mittwoch eine Email von "Quelle" und öffnete sie, weil ich auch dort angemeldet bin. Leider stellte sich heraus, dass dies ne Spammail war und sich ein Trojanisches Pferd einnistete. Es waren zeitweilig sogar mehrere(TR/Dldr.iBill.AA (ist unter Quarantäre) sowie TR/Dldr.iBill.AA1, und eins namens Infostealer.BnZip oder so ähnlich), aber ich denke, ich konnte mit Hilfe verschiedener Programme (laut Hijackthis ist alles sauber, Spybot Search and Destroy, Trojaner Hunter,...) die meisten beseitigen. Nur eines bleibt hartnäckig. Es nennt sich TR/Dldr.iBill.Z und versteckt sich immer an anderen Orten. Aus dem Temporären Ordner und aus System32 konnte ich es rausschmeißen, aber momentan sitzt es in
C:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP88\A0006162.exe

Ich habe schon sämtliche Programme durchlaufen lassen, aber momentan hilft nichts mehr! Es ploppt ständig das "Achtung Fund" Fenster von "Antivir" auf. Und es erscheint immer wieder, egal welche Option (also löschen, ignorieren, Quarantäne, usw) man anklickt. Und komischerweise findet Trojan Hunter diesen Trojaner nicht. Hmm...seit dem ich den Internet Explorer runtergeschmießen habe, ist wenigstens der Temporäre Ordner scheinbar sauber. Habe mir Mozilla-Firefox nun eingerichtet. Ne Firewall hab ich auch, von Sygate. Norton hab ich heute deinstalliert und benutze nun Antivir. Und nur Antivir hat den Trojaner gefunden. Norton fand zusätzlich noch einen Virus namens "Downloader"...dazu hab ich aber leider keine Details. Und da Norton nun weg ist, wird dieser nun auch nicht mehr gefunden! ...

Allgemeine Infos: Toshiba Notebook, Betriebssystem ist Windows XP, Antivir, was wird noch benötigt?

Vielen Dank schon einmal für eure Hilfe!!!

LG, Isa

Lass mal ein Logfile rüberwachsen, bitte! ;)

Sah die E-Mail etwa so aus?:

Von: "Quelle de" is_as0@quelle.de
Betreff: Ihre Quelle Bestellung
Body:
• **************www.quelle.de***************

Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom xx.xx.xxxx um xx:xx Uhr:

Vorgangs-ID: xxxxxxxxxxxx
Verarbeitungscode: ART xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Kundennummer: xxxxxxxxx
------------------------------------------------------------------------------

Sehr geehrte Quelle Kunde,

vielen Dank für Ihre Bestellung bei quelle.de.

Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.

die Gesamtsumme fär Ihre Rechnung beträgt: xxxx,xx Euro (incl. Versandspesen: EUR x,xx)
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

Zahlungswunsch: Bankeinzug
Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
Verifikationsbericht finden Sie im Anhang dieser E-Mail.
Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH

Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
h**p://www.quelle.de/extern.cgi?id=xxxxxxxxxxx

Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: h**p://www.adobe.de/products/acrobat/readstep2.html

Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
und die Signatur zu prüfen.

Ihr Quelle Online Team

------------------------------------------------------------------------------

Wir bedanken uns nochmals für Ihre Bestellung.
Schauen Sie doch bald wieder einmal bei quelle.de vorbei.

Bestätigungs-ID: xxxxxxxxxxxx (für interne Zwecke)

Stempelkarte
Jetzt anmelden & profitieren!

h**p://www.quelle.de/extern.cgi?id=xxxxxxxxxxxxx

****************************www.quelle.de********************************

Dateianhang:
• Quelle_Rechnung_nqan599.rar

Dein Trojaner ist eine Art Downloader, deswegen hat Norton so einen gefunden. Im Prinzip handelt es sich dabei also um deinen neuen Freund TR/Dldr.iBIll.Z !!!

Ich würde ihn sogar eher als Worm einstufen.

Er kopiert sich hierhin:
%SYSDIR%\isca.exe

Folgenden Reg-Key kannst du löschen, denn er sorgt dafür, dass die Malware mit jedem Systemstart neu hochgefahren wird:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShellN"="isca.exe"

Außerdem:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"wef"=dword:00000037

Aber wie gesagt, am besten du würdest mal deinen Logfile angeben!

jupp, so sah die mail aus...

logfile...bitte schön:

Logfile of HijackThis v1.99.1
Scan saved at 19:31:22, on 10.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\TrojanHunter 4.6\THGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Isa\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.studivz.net/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.6\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

die reg-keys hat hikackthis gefunden...aber ich konnte die aufm system nirgends finden...jedenfalls nicht über die normale suche (start-->suche....) hast du nen tipp, wie ich die keys finden und löschen kann

Hast du es über Start -> Ausführen -> regedit versucht?

ok, das versuch ich grad, da spuckt er verschiedene ordner aus, die mit HKEY beginnen...also HKEY_CLASSES_ROOT, _CURRENT_USER, _LOCAL MACHINE, _USERS, und _CURRENT CONFIG

wo soll ich reingucken? ;)

Nimm den mit "Local_Machine"!

Dann über Software, Microsoft, Windows,usw.!

Und dann diese beiden Werte löschen(wenn vorhanden):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShellN"="isca.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"wef"=dword:00000037

boah...da ist aber verdammt viel drin...zig unterordner..seufz: hardware, sam, security, system, software...außer security hat alles gaaanz viele unterordner

Wie gesagt Software usw, durchgehen, wie es angegeben ist:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShellN"="isca.exe"

1. Software
2. Microsoft
3. Windows
usw.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"wef"=dword:00000037

also ich bin bis "RUN" gekommen...da war aber nichts dergleichen drin

Hast du auch die rechte Bildschirmseite berücksichtigt?

Kommt immer noch der Hinweis von AntiVir "Achtung:Fund"?

jupp hab ich berücksichtigt!

also momentan kommt das mit dem fund nicht...ich prüfe aber auch grad nicht...ich bin ja eigentlich der meinung, dass die trojaner schon längst unter quarantäne sind...da sie bei antivir unter quarantäne angezeigt werden...ich vermute, dass es diese dateien sind, die beim scan immer gefunden werden (da sie ja nicht gelöscht sind) und das vielleicht gar keine neuen dateien mehr erstellt werden...hmm ist nur ne vermutung...ich hab echt keinen plan mehr. aber wenn man halt unter berichte guckt, dann steht da, das 63 viren oder unerwünschte programme gefunden wurden...und ich vermute, ach..ich weiß schon gar nicht mehr, was ich vermuten soll....seufz! es werden auf alle fälle immer der ...iBill.Z und der ...iBill.AA1 gefunden....

ich hab grad nochmal im regedit geguckt und vielleicht was gefunden:

unter current version-->Shell Compatibility-->Applications-->Delwin.exe-->downloader6* und downloader7.01

könnte das was sein?

Nein, das habe ich auch! Und mein PC ist nicht befallen von: TR/Dldr.iBIll.Z