Kann TrojanSpy.Win32.Flux.A alias Troj/Winflux-B nicht löschen
 

Wie ich schon im Titel geschrieben habe .... Bekomme diesen verflixten Trojaner einfach nicht gelöscht!! :heulen:
Die Registry-Einträge und auch das verseuchte EXE-File werden automatisch wiederhergestellt wenn ich versuche was davon zu löschen!! :kloppen:

Wäre wirklich froh wenn mir jemand helfen könnte, dieses Vieh loszuwerden?

Gruss Marco

morgen,

bin zwar kein profi, aber: viell. einfach mal im abgesicherten modus ausprobieren?

gruß,
jens

Hi,

danke für den Tip. Hab ich schon n paar mal versucht .... Bringt aber leider nix! :nixda:

Hallo Virussammelstation,

woher weisst Du, dass Du diesen verflixten Trojaner (Virus-Information: Troj/Winflux-B) hast? Kannst Du den Pfad angeben?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hi Shadowdance,

Woher ich das weiss? Mein alter Virenscanner hat was gefunden, das nannte er dann einfach "Trojan Horse".
Ich wollte aber wissen was für ein trojanisches Pferd es ist (damit ich es entfernen kann) und hab mir mal kurzerhand ne Trial-Version von Kaspersky Anti-Virus Personal runtergeladen. Kaspersky hat dann aber nichts erkannt ... doch ich war mir sicher, dass es irgend ne Art von Malware sein muss! Die Datei Accexec.exe hat sich nämlich immer wieder regeneriert, wenn ich sie gelöscht habe und so ging es auch mit den Registry-Einträgen.

Also hab ich das denen von Kaspersky mal zugeschickt und nach ein paar Stunden kam ne Antwort zurück:


Hello, it is new trojan, it is added to next update.
Regards, Eugene Kaspersky Lab
http://www.kaspersky.com http://www.viruslist.com
> Attachment: accexec.exe > > This file will be sent to Kaspersky Lab for analysis


Und nun erkennt der Scanner es als eben diesen Trojaner ... aber habs noch nicht geschafft, ihn loszuwerden.




Ah ja ... hier mein Logfile: ;)

Logfile of HijackThis v1.98.2
Scan saved at 03:48:11, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\progra~1\mozill~2\firefox.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\DeeEnEs\DeeEnEs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\MouseWare\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FlashGet\flashget.exe
C:\Dokumente und Einstellungen\Marco\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [System resource] C:\WINDOWS\System32\accexec.exe
O4 - HKLM\..\RunOnce: [*System resource] C:\WINDOWS\System32\accexec.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\DeeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [System resource] C:\WINDOWS\System32\accexec.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [*System resource] C:\WINDOWS\System32\accexec.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099597763700
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E473B64-8AEF-4063-9898-479AD92F6722}: NameServer = 192.168.1.1

Pfad ist:

C:\Windows\System32

..... escan werd ich gleich mal durchführen

thx für die hilfe

Hallo Virussammelstation,

Da der eScan die Signaturen von Kaspersky verwendet, ist es somit überflüssig den eScan auf Deinem System durchzuführen. Ich kann Dir leider auch keinen angenehmen Bericht durchgeben.

Troj/Winflux-B: "ermöglicht Dritten den Zugriff auf den Computer, stiehlt Daten, reduziert die Systemsicherheit, speichert Tastenfolgen, installiert sich in der Registrierung" -> "Erläuterung" beachten.

In diesem Fall bleibt nur noch das System zu formatieren und neuaufsetzen, der Rechner ist kompromittiert. Solltest Du Online-Banking betreiben oder vertrauliche Daten auf Deinem System haben, musst Du davon ausgehen, dass sie einem Dritten bekannt sind, ebenso wie Deine Passworte.

Rat und Hilfe

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt
- Vorbeugende Maßnahmen: www.trojaner-info.de

SD

ich hab mal weitergelesen: Troj/Winflux-B unter "Erweitert"

[Die SOPHOS Virusinformation zitiert:]Troj/Winflux-B gibt einem remoten Angreifer die Steuerung über einen infizierten Compuer. Mit dem Trojaner kann ein Angreifer:

* Bildschirmaufnahmen erstellen.
* Webcam-Aufnahmen erstellen.
* Tastenfolgen speichern.
* Eingegebene Kennwörter speichern.
* Dateien herunterladen und ausführen.
* die Windows-Umgebung eines infizierten Computers steuern.
* Meldungsfenster anzeigen.
* Prozesse und Tasks auflisten und beenden.
* einen infizierten Computer herunterfahren, abmelden oder neu starten.
* den Server aktualisieren.
* einen infizierten Computer vom Internet nehmen und neu mit dem Internet verbinden.
* einen SOCKS4-Proxy installieren. [Zitatende]

wohl einer der perfektesten und gefährlichsten Backdoor-Trojaner.

Na ja ... ind diesem Fall noch dankeschön dass du mir deine Hilfe geboten hast.

Werde dann s.w. mal format c: eintippen :-p

hallo, marco, :rolleyes:

bloß nicht formatieren!!! gehe mal zu www.emsisoft.de,
die haben einen fluxscanner und ein programm mit dem man den entfernt!!!
viel erfolg
gruß

jana2 ;)

öhm, jana...

bei einem Programm mit Backdoor-Funktion wie in dem hier vorliegenden Fall (s. Beschreibung bei Sophos)
ist das System nicht mehr als sicher anzusehen, da davon ausgegangen werden muss, dass Manipulationen am System stattgefunden haben, die nicht unbedingt von einem Scanner erkannt werden müssen!
Siehe dazu auch: http://de.wikipedia.org/wiki/Kompromittierung

Somit hilft es auch nicht, bspw. mit a-squared lediglich die Backdoor zu entfernen.
Um auf Nummer sicher zu gehen, kommt man an einer kompletten Neuinstallation nicht vorbei (Bitte dabei unbedingt die folgende Anleitung beachten: http://www.trojaner-board.de/showpos...8&postcount=12)

oder gleich hier:
http://forum.emsisoft.com/viewtopic.php?t=2010

aber es wurde bestimmt schon formatiert, wohl auch die beste Lösung, man kann das Ding leider auch so basteln, das a² es auch nicht findet.
LG, Charlie

@charlie1,

geht das Tool von a² immer noch nicht zuverlässig?
Ich hatte 2 Versionen getestet, die den Server nicht beendet haben, dann habe ich nicht weiter getestet.
Hast Du zu dem Entfernungs-Tool diesen Thread gelesen?
Flux, die neue Bedrohung?
Wenn Du neue Ergebnisse hast, kannst ja mal berichten.:)

Liebe Grüße an Dich,
Heike :teufel3:

Aber Heike, was ist das denn?!
Hast du meine Telefonnummer schon wieder verbummelt, oder wolltest du nur Gebühren sparen.
Ne alle Scanner laufen ins leere, wenn man es richtig macht, wie darf ich hier nicht schreiben, aber du kennst die Methoden ja sowieso und Andreas Haak hat ja selbst auf anderen Boards darauf hingewiesen
So nu gute Nacht, du Beast.
Liebe Grüße Charlie
:teufel1: