Trojaner-Board - Tojaner "tr/lowZones.d"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Tojaner "tr/lowZones.d" (https://www.trojaner-board.de/9836-tojaner-tr-lowzones-d.html)

Tojaner "tr/lowZones.d"

Hallo,

ich habe mir einen Trojaner Namens "tr/lowZones.d" eingefangen. Antivir sag zwar, daß er ihn gelöscht hat, zeigt ihn mir aber bei einen erneuten Scan an.

Jetzt kommen meine Fragen

a) Gibt es ein Prog oder Tool für den Trojaner ?
b) Wie ist er einzuschätzen (harmlos oder gefährlich)

Über Eure Hilfe würde ich mich sehr freuen.

cu, M.F :huepp:

Hallo M.F,

die Sophos Viren-Enzyklopädie: Trojan.Win32.LowZones.d-> "Erläuterung" und "Erweitert" beachten.

Es handelt sich dabei um einen Trojaner, der gelöscht werden sollte.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste (kopieren STRG + C und einfügen STRG + V) : http://www.trojaner-board.de/51130-a...ijackthis.html.

Um herauszufinden, ob sich auf Deinem Rechner Malware befindet, kannst Du ihn folgendermaßen überprüfen:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

SD

Hallo,

ersteinmal ein dickes DANKE SCHÖN für die schnelle Antwort. Hier kommt das Ergebnis von Hijack This

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Trirot.exe
C:\WINNT\LTSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
C:\Download\Hijack This\HijackThis.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.transfermarkt.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Global Startup: MA521 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

cu,M.F

Hallo!

So, nun das Ergebnis von escan :

File C:\WINNT\system32\WinGamed.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HSY9JQIC\lca[1].exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\memstat.VIR infected by "Backdoor.Win32.SdBot.sq" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\winole.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\winole.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\winole.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\WinGamed.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\winole.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

cu, Martin :dummguck:

Hi,

hier kommt noch ein Ergebnis des escan

Total Files Scanned: 19675
Total Virus(es) Found: 8
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0
Total Errors: 5
Sat Nov 20 09:22:27 2004 => Time Elapsed: 01:04:59
Virus Database Date: 2004/11/19
Virus Database Count: 110056

Ich hoffe, daß Ihr mir helfen könnt.

cu, Martin :dummguck:

Dein System ist auf jeden Fall mal mit einer RBot-Variante in Berührung gekommen, evtl. konnte Antivir die Infektion verhindern, wobei sich nicht sagen lässt, wann genau und ob es rechtzeitig geschah:

http://securityresponse.symantec.com...rc.rpcbot.html

Du solltest im abgesicheren Modus die Dateien im Antivir-Infected-Ordner löschen und mit Hijackthis diese Einträge fixen:

O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe

Ebenfalls löschen: C:\WINNT\system32\WinGamed.exe

Bei deinem Log fehlt die Kopfzeile mit den Systeminformationen. Das Sicherste bei dieser Art von Infektion wäre allerdings da dein System wahrscheinlich kompromittiert wurde, sowieso:

http://board.protecus.de/showtopic.p...me=1097944155&