Trojaner-Board - TR/Monderb.317696.1 einfangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Monderb.317696.1 einfangen (https://www.trojaner-board.de/55265-tr-monderb-317696-1-einfangen.html)

TR/Monderb.317696.1 einfangen

Hallo zusammen.
Folgendes Problem:
Ich habe mir vor kurzem laut Avira Antivir den "TR/Monderb.317696.1" eingefangen. Er versteckte sich in einer *.dll-Datei im System32-Verzeichnis von Windows. Da man ihn nicht in Quarantäne verschieben oder löschen konnte, sondern das Avira-Fenster mit dem tollen Piepton ein ums andere mal erneut auftauchte, probierte ich verschiede Varianten aus:
- im abgesicherten Modus war genau das gleiche Problem
- Hijack konnte mir nicht weiterhelfen
- Autostart-Einträge löschen half auch nicht weiter (oh Wunder)
- der CCleaner hat auch nichts gebracht
- AVZ hab ich nur mit aktiviertem Guard ausgeführt, ebenfalls keine Fortschritte

Schließlich stieß ich im Avira-Forum auf folgenden Hinweis:

Zitat:

Malwarebytes Anti - Malware
bitte von hier downloadenhttp://www.majorgeeks.com

Starte das Programm
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Drücke Starte SCAN
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Nachdem ich die Schritte durchgeführt hatte, den Guard deaktiviert und die Suche am laufen war, spuckte er mir 40 Funde aus, die ich alle beheben ließ. Die laut Antivir verseuchte dll-Datei war auch dabei, konnte allerdings nicht direkt in Quarantäne verschoben werden, sondern dazu musste ich erst neustarten.
Nach dem Neustart tauchte ein letztes Mal das bekannte Antivir-Popup auf, allerdings mit einem gravierenden Unterschied: Nachdem ich auf "Löschen" geklickt habe, verschwand die Datei mit dem Virus und ward nicht mehr gesehen. Auch der anschließende Avira-Komplettscan förderte keine Funde mehr zu Tage.
Laut einem Kompetenzteam'ler

Zitat:

befinden sich sicherlich noch Vundo Teile auf deinem Rechner.

Meine Frage: Wie krieg ich das raus und wie entferne ich sie?
Braucht ihr einen Hijack-Log, den AVZ-Log oder was anderes?
Bin um jede Hilfe echt dankbar!
MfG, zyklotron

PS: Wie hänge ich überhaupt den AVZ-Log an? Zips sind ja nicht erlaubt... Woanders uploaden?
PPS: Ups, der Titel sollte natürlich "TR/Monderb.317696.1 eingefangen" heißen.

Halli hallo; da bist du ja..

Zitat:

Braucht ihr einen Hijack-Log, den AVZ-Log oder was anderes?

Beides! :) Immer her damit.

Guten Morgen,
danke für die schnelle Antwort :)
Hier nun die beiden Logs:
AVZ
Hijack:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:34:04, on 03.07.2008

Platform: Windows Vista  (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16681)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Windows\Samsung\PanelMgr\SSMMgr.exe

C:\Windows\sttray.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5070425

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5070425

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O13 - Gopher Prefix: 

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 

--

End of file - 6757 bytes

Hallöl führe bitte unter File->Custom Skripts folgenden Skript aus:

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
QuarantineFile('C:\Program Files\BAE\BAE.dll','');
QuarantineFile('C:\Windows\System32\Drivers\spal.sys','');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Nach dem Reboot bitte den hier ausführen:

Zitat:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.

Und die Zip Datei auf unseren Server hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Moin!
Habe die Schritte ausgeführt, allerdings ohne vorher den Antivir-Guard zu deaktivieren. Ist das schlimm?
Nach dem Reboot hatte Windows ein "Unbekanntes Gerät gefunden" und wollte Treiber installieren...
Was sind das eigentlich für dll-Dateien und woher weißt du, dass sie schädlich sind? Und warum schlägt Antivir da nicht an?

Wenn ich die zip-Datei beim Upload-Channel hochladen will, kommt folgender Fehler:

Zitat:

Datei: quarantine 1.zip empfangen

Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum.

Dreimal hab ich es probiert, jetzt gibt es wieder einen Rapidshare-Link:
hier klicken :)
MfG zyklotron

Zitat:

Nach dem Reboot hatte Windows ein "Unbekanntes Gerät gefunden" und wollte Treiber installieren...

Welches? Hast du die Installation ausführen lassen?

Kann sein, dass das einer der Treiber in der Quarantäne nicht schädlich ist sondern zu einem Gerät auf deinem Rechner gehört. Daher wollte ich die auch haben..

Zitat:

Dreimal hab ich es probiert, jetzt gibt es wieder einen Rapidshare-Link:

Ist dreimal angekommen.. ^^
Die Fehlermeldung muss noch beseitigt werden..

Ich weiss ja nicht was du für ein Passwort verwendet hast aber "infected" ist es nicht.

Hallo.
Die Installation konnte ich nicht ausführen lassen, weil weder der PC noch ich wussten, welches Gerät es war. Windows bezeichnete es als "Unbekanntes Gerät". Ich wusste natürlich nicht, welche Treiber er haben wollte...
Was das Passwort ist, weiß ich leider auch nicht. Das ist die automatisch generierte zip-Datei von AVZ.
Aber ich lade sofort eine selbst erstellte zip-Datei hoch, wo das Passwort klappen sollte!
MfG zyklotron

edit:
So, Datei müsste da sein. Und die Fehlermeldung (beim Hochladen) ist auch weg, super!

Zitat:

Datei: Quarantine.zip empfangen

Vorgang erfolgreich abgeschlossen.

Das hat schonmal gepasst. Aber warum ist da nur die C:\Program Files\BAE\BAE.dll drinn?

Ist das alles was in der Quarantäne ist?

die BAE.dll ist dies hier.
Keine Gefahr, kommt von Dell / google.

Hallo.
Etwas in Eile gerade, danke für eure Hinweise.
Das ist der komplette Quarantäne-Ordner! Sonst ist da nix drin...
Was soll ich als nächstes machen? die BAE.dll wieder raus aus Quarantäne, dafür diese andere Datei rein? Einfach nochmal das Script durchlaufen lassen? Hat ja beim ersten mal anscheinend nur zur Hälfte geholfen ;)
MfG zyklotron

Ich hab auch eigentlich geadcht, dass die BAE zu Dell gehört aber der Ordner stimmt nicht oder? Naja. Markiere sie in der Quarantäne und drücke auf Restore.

Danach folgendes Skript ausführen:

Code:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\Windows\System32\Drivers\spal.sys','');

BC_Activate;

ExecuteSysClean;

RebootWindows(true);

end.

Hallo.
Der Restore bei der BAE.dll klappt irgendwie nicht. Wenn ich auf Restore klicke, muss ich das noch einmal mit Ja bestätigen, aber es passiert nix und wird weiterhin unter Quarantäne angezeigt. Habe es auch mit deaktiviertem Antivir-Guard probiert.
Auch das Script funktioniert leider nicht, wie es sollte. Er hat zwar einen Quarantäne-Ordner mit Datum von heute erstellt, der ist aber leer :
Hast du noch eine andere Idee?
MfG zyklotron

Zitat:

aber es passiert nix und wird weiterhin unter Quarantäne angezeigt

doch, ;) Die Datei wird weiterhin in der Quarantäne angezeigt, ist aber wiederhergestellt.

Zitat:

Auch das Script funktioniert leider nicht, wie es sollte. Er hat zwar einen Quarantäne-Ordner mit Datum von heute erstellt, der ist aber leer :

Welches? Das hier:

Code:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\Windows\System32\Drivers\spal.sys','');

BC_Activate;

ExecuteSysClean;

RebootWindows(true);

end.

sollte keinen Quarantäne Ordner erstellen. Das löscht die spal.sys. Warum funzt das nicht?

Das der Quarantäne Ordner leer ist ist ja klar.

Hi.
Ach so, ich dachte, die Datei würde nur in Quarantäne verschoben.
Hab mal unter dem Verzeichnis nachgesehen, dort existiert keine spal.sys (mehr).
Dass Windows Treiber für ein unbekanntes Gerät installieren will, kommt aber trotzdem bei jeden Neustart... Woran mag das liegen?
MfG zyklotron

Hallo nochmal.
Da alle Geräte anscheinend noch funktionieren, stört mich die Installationsmeldung nicht. Aber wie kann ich sicher sein, dass keine Viren oder Trojaner mehr auf der Platte sind?
Bin über Antworten dankbar, mfG zyklotron