Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit CiD und TR/Obfusgen (https://www.trojaner-board.de/47516-problem-cid-tr-obfusgen.html)

Tiramisu 30.12.2007 13:00
Problem mit CiD und TR/Obfusgen
 
Guten Tag liebe Helfer :) ,
ich hatte vor einiger zeit einen heftigen virus drauf , (der sogenannte Vundo) uvm der meinen gesamten Rechner lahm gelegt hat....
Nach einer Neuinstallation von Windows habe ich gehofft alle Plagegeister los zu sein...Falsch gedacht :(

sofort nach dem Neuinstallieren / Formatieren waren die Werbe-Popups und der TR/Obfusgen auf dem Rechner...

>>>Obfusgen : Antivir zeigt ihn mir an und ich kann ihn auch jederzeit löschen / i quarantäne stellen...jedoch taucht er nach kurzer Zeit wieder auf...wie kann ich ihn für immer vom PC schmeissen?

>>>CiD Werbe Popups : ich glaube ich weiß wo die Quelle liegt , und zwar :
unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\bore acid.exe

Problem...wenn ich dort auf Löschen oder verschieben oder umbennen klicke , sagt mir mein rechner , dass die datei benutzt wird und nicht editiert werden kann :(

Ich bitte unbedingt um Hilfe :(

PSS(edit):ich habe alle google anweisungen befolgt , aber iwie funzt nix von den und nach nem neustart geht alles wieder von vorne los!

PS : Hier mein HiJackLogfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:17, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Norman\NVC\BIN\ZLH.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Xfire\xfiremusic.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Steam\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Xfire Music] "C:\Programme\Xfire\xfiremusic.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] "d:\steam\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Shim mess] C:\DOKUME~1\MaxMustermann\ANWEND~1\GREYIN~1\Realless.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4B1D071-F295-4850-8764-68A659CC5EA4}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\NVC\BIN\Zanda.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6264 bytes

Clermont-Ferrand 30.12.2007 22:38
Tiramisu

Zitat:
Nach einer Neuinstallation von Windows habe ich gehofft alle Plagegeister los zu sein...Falsch gedacht :(

sofort nach dem Neuinstallieren / Formatieren waren die Werbe-Popups und der TR/Obfusgen auf dem Rechner...
Dann hast Du nach format : C und der anschließenden Neuinstallation und vor dem 1. Online-Gang etwas falsch gemacht.

Oder, Dateien vom infizierten System gesichert und hierbei Schaddateien unbemerkt mitkopiert.

Lade bitte die folgende Datei bei VirusTotal hoch und poste das Ergebnis aller Scanner inkl. aller Angaben zur Dateigröße etc.:

Code:
C:\DOKUME~1\MaxMustermann\ANWEND~1\GREYIN~1\Realless.exe
Es sei denn, daß Dir die Datei bekannt wäre, dann entfällt das natürlich.

Link zu VirusTotal: VirusTotal - Free Online Virus and Malware Scan

Tiramisu 31.12.2007 12:54
Ok dankeschön...hier die Ergebnisse von bored acid.exe

(die anderen folgen gleich)

Code:
Datei bore_acid.exe empfangen 2007.12.31 12:46:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2007.12.31.10        2007.12.31        -
AntiVir        7.6.0.46        2007.12.31        -
Authentium        4.93.8        2007.12.30        -
Avast        4.7.1098.0        2007.12.30        -
AVG        7.5.0.516        2007.12.30        -
BitDefender        7.2        2007.12.31        Trojan.Obfus.6.Gen
CAT-QuickHeal        9.00        2007.12.29        -
ClamAV        0.91.2        2007.12.31        -
DrWeb        4.44.0.09170        2007.12.31        -
eSafe        7.0.15.0        2007.12.30        -
eTrust-Vet        31.3.5417        2007.12.31        -
Ewido        4.0        2007.12.30        -
FileAdvisor        1        2007.12.31        -
Fortinet        3.14.0.0        2007.12.31        -
F-Prot        4.4.2.54        2007.12.31        -
F-Secure        6.70.13030.0        2007.12.31        -
Ikarus        T3.1.1.15        2007.12.31        -
Kaspersky        7.0.0.125        2007.12.31        -
McAfee        5195        2007.12.28        -
Microsoft        1.3109        2007.12.31        -
NOD32v2        2758        2007.12.31        -
Norman        5.80.02        2007.12.31        -
Panda        9.0.0.4        2007.12.30        Suspicious file
Prevx1        V2        2007.12.31        Adware.Lop
Rising        20.24.52.00        2007.12.29        -
Sophos        4.24.0        2007.12.31        -
Sunbelt        2.2.907.0        2007.12.30        -
Symantec        10        2007.12.31        -
TheHacker        6.2.9.175        2007.12.29        -
VBA32        3.12.2.5        2007.12.29        -
VirusBuster        4.3.26:9        2007.12.31        -
Webwasher-Gateway        6.6.2        2007.12.31        -
weitere Informationen
File size: 2337280 bytes
MD5: c39afbd55c4517d5d4bdb5bd9190924c
SHA1: 5fe1146d0e033a9963f45775df17190d00d608d3
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=555894FB0087A304AAB6233F062CBF00533C6597

Tiramisu 31.12.2007 13:04
Datei 2 : Armee meet keep king.exe

(im selben ordner wie Realless)
Code:
Datei Army_Meet_Keep_Ping.exe empfangen 2007.12.31 12:55:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.1.1.10        2007.12.31        -
AntiVir        7.6.0.46        2007.12.31        TR/Inject.PV
Authentium        4.93.8        2007.12.30        -
Avast        4.7.1098.0        2007.12.30        -
AVG        7.5.0.516        2007.12.30        -
BitDefender        7.2        2007.12.31        -
CAT-QuickHeal        9.00        2007.12.29        -
ClamAV        0.91.2        2007.12.31        -
DrWeb        4.44.0.09170        2007.12.31        -
eSafe        7.0.15.0        2007.12.30        -
eTrust-Vet        31.3.5417        2007.12.31        -
Ewido        4.0        2007.12.30        -
FileAdvisor        1        2007.12.31        -
Fortinet        3.14.0.0        2007.12.31        W32/Inject.PV!tr
F-Prot        4.4.2.54        2007.12.31        -
F-Secure        6.70.13030.0        2007.12.31        Trojan.Win32.Inject.pv
Ikarus        T3.1.1.15        2007.12.31        -
Kaspersky        7.0.0.125        2007.12.31        Trojan.Win32.Inject.pv
McAfee        5195        2007.12.28        -
Microsoft        1.3109        2007.12.31        -
NOD32v2        2758        2007.12.31        -
Norman        5.80.02        2007.12.31        -
Panda        9.0.0.4        2007.12.30        Adware/Lop
Prevx1        V2        2007.12.31        Adware.Lop:Payload-All Variants
Rising        20.24.52.00        2007.12.29        -
Sophos        4.24.0        2007.12.31        -
Sunbelt        2.2.907.0        2007.12.30        -
Symantec        10        2007.12.31        -
TheHacker        6.2.9.175        2007.12.29        -
VBA32        3.12.2.5        2007.12.29        -
VirusBuster        4.3.26:9        2007.12.31        -
Webwasher-Gateway        6.6.2        2007.12.31        Trojan.Inject.PV
weitere Informationen
File size: 258560 bytes
MD5: 23fc2fc2d94d519943f1cdaa54789032
SHA1: 64950cd89a427fcf4ac90adc8322db79e70aca39
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6904F03B00F6DE86F2690330ADB5D300E96BEABD

Tiramisu 31.12.2007 13:06
Realless.exe is die selbe wie bored.acid.exe

Code:
Datei Realless.exe empfangen 2007.12.25 14:51:02 (CET)
Status: Beendet
Ergebnis: 3/32 (9.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        -
BitDefender        -        -        Trojan.Obfus.6.Gen
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        -
eTrust-Vet        -        -        -
Ewido        -        -        -
FileAdvisor        -        -        -
Fortinet        -        -        -
F-Prot        -        -        -
F-Secure        -        -        -
Ikarus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
Microsoft        -        -        -
NOD32v2        -        -        -
Norman        -        -        -
Panda        -        -        Suspicious file
Prevx1        -        -        Adware.Lop:Payload-All Variants
Rising        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
VBA32        -        -        -
VirusBuster        -        -        -
Webwasher-Gateway        -        -        -
weitere Informationen
kann mir jemand helfen die Trojaner loszuwerden?
kenn mich damit wirklich garnet aus und das einzige was ich kann is Antivir starten und auf löschen klicken ^^

*Christian* 31.12.2007 13:10
Das sind relativ unbekannte Trojaner.
Sende die Dateien zu den Virenschutzherstellern, damit die Trojaner künftig von allen Virenschutzherstellern gefunden werden:

Ad-aware: research(at)lavasoft.com
Ahnlab: v3sos(at)ahnlab.com
AntiVir: virus(at)free-av.de
ArcaVir: virus(at)arcabit.com
Avast: virus(at)asw.cz
AVG: virus(at)grisoft.cz
A²: submit(at)emsisoft.com
Bitdefender: virus_submission(at)bitdefender.com
Clam: ClamAV VirusDB submission
Command: virus(at)commandsoftware.com
Comodo BoClean: bocleansubmissions(at)comodo.com
DrWeb: vms(at)drweb.com
Ewido: submit(at)ewido.net
eSafe: virus(at)esafe.com
eTrust: virus(at)ca.com
F-Prot: viruslab(at)f-prot.com
Fortinet: submitvirus(at)fortinet.com
FP-Win: samples(at)percomp.de
F-Secure: vsamples(at)f-secure.com
G-DATA: samples(at)gdatasoftware.com
Hauri: viruslab(at)hauri.co.kr
Ikarus: samples(at)ikarus.at
Kaspersky: newvirus(at)kaspersky.com
McAfee: virus_research_de(at)avertlabs.com
MKS-Vir: wirus(at)mks.com.pl
Microsoft AntiVirus: onecare(at)submit.microsoft.com
Microsoft Anti-Spyware: windefend(at)submit.microsoft.com
Nod32: samples(at)eset.com
Norman: analysis(at)norman.no
Panda: virus(at)pandasecurity.com
PestPatrol: helpdesk(at)pestpatrol.com
Quickheal: viruslab(at)quickheal.com
SecureComputing: samples(at)securecomputing.com
Sophos: samples(at)sophos.com
Spybot: detections(at)spybot.info
Symantec Norton: avsubmit(at)symantec.com
Sunbelt: malware-cruncher(at)sunbelt-software.com
Tauscan: trojans(at)agnitum.com
Trendmicro: VirusLab(at)trendmicro-europe.com
TrojanHunter: submit(at)trojanhunter.com
VBA32: newvirus(at)anti-virus.by
Vexira: virus(at)centralcommand.com
Virudin: labor(at)virudin.com
Virusbuster: virus(at)virusbuster.hu

Bitte ersetze "(at)" mit "@".
Bei Bedarf kann ich dir die Adressen auch in Textform geben, so dass du den Text einfach in dein E-Mail-Programm kopieren kannst.


Anschließend lösche die Dateien bzw. den kompletten Ordner im abgesicherten Modus.


Fixe diesen Eintrag mit HijackThis:
O4 - HKCU\..\Run: [Shim mess] C:\DOKUME~1\MaxMustermann\ANWEND~1\GREYIN~1\Realless.exe



Auch hast du wahrscheinlich schon länger kein WindowsUpdate mehr durchgeführt, da du immernoch den IE6 auf deinem System hast.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27