Trojaner-Board - Virus???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus??? (https://www.trojaner-board.de/742-virus.html)

Hallo,
ich habe mir gestern im IRC irgendeinen Virus oder Wurm eingefangen...habe auf www.nad1ne.de.vu geklickt und schon wars geschehen...Der Windows Media PLayer funktioniert nicht mehr bzw. ist gelöscht worden.Immer wenn ich ihn starten wollte, wurde eine 1.exe und 2.exe im Temp-Ordner erstellt.Wenn ich nun in regedit gehen will, schließt sich das Fenster nach kurzer Zeit.Antivir hat nichts gefunden...und auch andere Programm haben versagt...Was kann ich tun?

hallo Pomes,

willkommen an Bord.

Solltest Du nach all diesen Scans noch immer Probleme haben mit Viren, was ich mir eigentlich nicht vorstellen kann, koenntest Du Dir noch eine Testversion von KAV runterladen, sie online updaten und dann Deinen Computer mit dieser KAV-Testversion scannen.

Sollte also noch die Spur eines Virus auf Deiner Festplatte verblieben sein, wird KAV sie finden.

Wenn Du dann das Ergebnis hier postest, sehen wir weiter.

Viel Erfolg!

So Bit Defender hat etwas gefunden:
Backdoor.Agobot.3.gen
Ich bin total ratlos.Denn die rundll.exe und rundll.exe.poly sind von diesem Wurm befallen.Einfach so löschen geht nicht.In die Regedit komme ich auch nicht rein, da sich das Fenster immer wieder alleine scließt, was durch den Wurm bedingt ist...ich bin mit meinem Latein am Ende...

Hallo Pomes,

fuehre vielleicht nochmal einen Scan aus mit diesem tool Trend Micro und lass den Virus loeschen. Dann brauchst Du es nicht von Hand zu machen.

Viel Erfolg

@Pomes

Habe auch mal die von Dir verlinkte Seite besucht und Kaspersky meckerte sofort:

TrojanDownloader.VBS.Psyme-Based

Wurde im IE Cache lokalisiert und war nach dem Löschen der Temporären Internet Files verbannt.

Übrigens...die Blondine auf der Seite (Nadine) sieht eher billig aus :D :D :D

Lies mal hier nach, wie du das Biest wieder los wirst.
http://www.pestpatrol.com/PestInfo/t..._vbs_psyme.asp

Gruß
Schlumpfi

Falls es interessiert, dieser Wurm der vom Schlumpf gepostet wurde, ist nicht mehr als ein Exlpoit für den IE, der eine Datei runter lädt. Und genau da liegt das Problem. Im QNet tauchen neuerdings immer wieder Links auf die eine Datei runter laden. Und die Malware, die das ist, wechselt auch immer... ;(

Björn

Guten Morgen,
ich habe die Nacht Trend Micro scannen lassen.Er fand 43 infizierte Datein im Temporären Ordner des IE.Sie waren mit JS_Spawn_a infiziert.Er hat sie gelöscht.Aber die rundll.exe und rundll.exe.poly hat er nicht als Virus identifiziert.Den Trojaner habe ich schon entfernt.Vielen Dank nochmal für die Hilfe!

Gabs hier schon 'nen Hinweis auf Browserwechsel? Nein? Dann jetzt:

Wechsel den Browser. Der Internet Explorer ist unsicher. Mit Mozilla, Firebird oder Opera wär das nicht passiert. ;)

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Wie gesagt,
der liebe Wurm ist noch bei mir...Trend Micro hat ihn nicht erkannt.Nur Bit Defender war in der Lage ihn zu identifizieren.Ich habe heute eine Seite gefunden wo beschrieben diesen Virus zu isolieren.Dazu muss man drei Windows-Updates installieren.Ich habe sie geladen, aber beim Öffnen haben sich wieder von alleine geschlossen, was auf den Wurm zurück zu führen ist.Die rundll.exe durch eine unverseuchte rundll.exe ersetzen??Ist das möglich?

Ich habe mal hiJack ausführen lassen:

Logfile of HijackThis v1.97.7
Scan saved at 07:25:17, on 16.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger Plus! 2\MsgPlus.exe
C:\Programme\PestPatrol\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\ICQ\ICQ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\WINDOWS\System32\rundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Standard Edition\vsserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Standard Edition\\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\RunServices: [rundll] rundll.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BackWeb LiteInstaller] C:\DOKUME~1\Carsten\LOKALE~1\Temp\ins3.tmp\LiteInst.exe /NoIntervention
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Ist da alles korrekt?Oder versteckt sich da was?

C:\WINDOWS\System32\rundll.exe
Backdoor.Agobot.3.gen ist noch aktiv !

"rundll.exe" und "rundll.exe.poly" müssen nach beenden des Prozesses gelöscht werden.
Falls nötig, im abgesicherten Modus.

Falls es Probleme gibt, würde ich empfehlen, den Trojanerscanner "ewido" zur Löschung anzusetzen.
www.ewido.de

Ungepatchtes System !
http://windowsupdate.microsoft.com

Alles installieren, was unter "Wichtige Updates und Service Packs" gelistet ist.

Hallo Pomes,

ich bin mir nicht sicher, aber ich empfehle Dir mal, Dich analog den hier gegebenen Anweisungen:
<blockquote>Zitat:<hr />Original erstellt von DerBilk:

1. Ruhe bewahren!

2. Download des Tools cwsshredder
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!

3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein!

[...]

9. Windows und insbesondere den Internet-Explorer updaten.

10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen.

11. System neu starten

16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!!

In diesem Sinne,
tschööö, DerBilk[/QUOTE]aus diesem Thread kopiert.

Zusaetzlich koenntest Du Dir eine Textversion des Testversion KAV downloaden, ihn online mit der update-Funktion updaten, Deine vorhandene Virenschutzware ausschalten und mit KAV scannen. Wenn KAV nichts findet, ist Deine Festplatte sauber.

Lieben Gruss

So...
Habe nun 42 Updates installiert! [img]graemlins/lach.gif[/img]
Den KAV konnte ich nicht downloaden, weil der Download irgendwie down war.Heißt das Programm von KAV Anti-Spam?
Der ewido-Scanner konnte meine 3 infizierten Dateien nicht lesen.
Ich muss aber sagen, dass durch die Installation der Updates der Windows Media Player wieder da ist.Wenn ich nun die 3 infizierten Systemdateien lösche, kopiert Windows die wieder alleine von der eingelegten XP-CD...oder muss ich das machen?

Hallo Pommes

KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar. Anti-Spam-Programme sind Ad-Aware und Spybot. Links dazu findest Du in den vorausgehenden Postings. Da ich Dir keine helfende Antwort mehr geben kann, empfehle ich Dir zu warten, bis unsere Computerfachleute wieder an Board sind, und sich Deiner annehmen.

Wie ich gerade gesehen habe, ist der Backdoor.Agobot.3.gen bei Kaspersky erfasst. Folglich kannst Du ihn mit KAV entfernen. Ich weiss nur nicht, ob die Testversion von KAV Malware entfernt.

Hast Du denn einen onlinescan durchgefuehrt? Guck mal dazu in meiner Signatur nach.

<blockquote>Zitat:<hr />
KAV heisst Kaspersky Anti Virus und ist als Testversion gratis downloadbar...
[/QUOTE]...ja,ja. hab mal auch versucht, mit dem DL hat's geklappt, weiter aber ist voll sch---: man kann das Programm ohne Key weder starten, noch updaten.