tr/dldr.small.or

#1 Habe mir TR/dldr.small.or eingefangen. Wurde von Antivir erkannt, kann aber nich entfernt werden. Habe im orum schon gelesen, daß man diesen Hijack nutz um den Sitz des Trojaners zu finden. Nun bin ich aber am Ende mit meinem Latein. Wer kann mir helfen das Biest zu entfernen. Muß aber alles erst erklärt bekommen (was muss ausgeschaltet werden etc.).

Danke schon mal im Vorraus.

Stephan



Logfile of HijackThis v1.98.2
Scan saved at 18:03:45, on 28.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\TEVION\SCANWIZARD 5\SCANNERFINDER.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [sltnnvdelofiq] C:\WINDOWS\SYSTEM\wqaxum.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O4 - Startup: Microsoft Outlook (2).lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Microsoft ActiveSync (2).lnk = C:\Programme\Microsoft ActiveSync\WCESMgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL

#2 Hi pechvogel

Hoffe du bist nicht wie dein Nick


Also bitte folgendes durchführen

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

Deinen Virenscanner updaten

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL (file missing)
O4 - HKLM\..\Run: [sltnnvdelofiq] C:\WINDOWS\SYSTEM\wqaxum.exe

Dann scannen mit Escan wie oben angegeben
Poste bitte das Virenlog danach hierein.

Dann scanne mit deinem Virenscanner, alle Festplatten. WICHTIG!!!!!!!
Das dauert einen Weile, aber lohnt sich

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Hallo Paff,

Dein Hinweis war goldrichtig. Habe das Biest erwischt und entfernt.

Vielen Dank


Stephan

#4 Hallo,
hatte auch TR/dldr.Small.OR.
Der Virenwächter von AntiVir hat dieses trojanische Pferd gleich erkannt.
AntiVir löscht es jedoch nicht. Warum? (AntiVir-Einstellungen überprüft und
korrekt)
Lässt man LukeFilewalker in AntiVir laufen, wird TR auch erkannt, im Report
kann man auch genau nachsehen, wo es sich aufhält oder isoliert(?) wurde,
aber AntiVir gibt die Meldung aus: 'Infizierte Dateien in Archiven werden nicht
gelöscht oder repariert'. Keinen Hinweis in der Hilfe was nun zu tun sei, und den ganzen Nachmittag im Internet unterwegs gewesen, um zu erfahren wie man vorgehen könnte.
Schließlich habe ich den Aufenthaltsort des TR, die Zip-Datei C:\'explorer.cab' ganz einfach gelöscht (Zwischenstation Papierkorb deaktiviert).
Mir fällt nichts Unnormales an meinem Rechner auf; sollte es geklappt haben, so einfach?
Oder wird das eventuell noch ein Nachspiel haben?

#5 @JeanPersil

Hi und willkommen an/im Board.

Du hast es genau richtig gemacht. Da es die DAtei C:\'explorer.cab' aber bis auf deinen Rechner geschafft hat ist es nicht auszuschliessen das noch irgendwas anderes sich auf dem Rechner befindet.

Poste bitte mal dein hiJackThis Logfile
http://hjt.klaffke.de/

Dann sehen wir was Sache ist.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Hallo paff,
Danke Dir für die schnelle Antwort! Und bin schon mal erleichtert.
Das mit dem Posten des HiJackThis-logfiles habe ich hier auf dem board schon bewundert, und werd jetzt mal versuchen damit klarzukommen.
Meld mich, wenn ich es nicht hinbekomme.
Gruß, Jean


So, wenn ich wieder alles richtig gemacht habe, ist hier der logfile:

Logfile of HijackThis v1.98.2
Scan saved at 18:59:50, on 05.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BITWARE\NT\bwprnmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Iomega\Tools_NT\IMGICON.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [bwprnmon.exe] C:\PROGRA~1\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: AstroWorld Today.lnk = C:\Programme\AstroWorldSuite\AstroWorld Today\Daily.exe
O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Refresh.lnk = C:\Programme\Iomega\Tools_NT\REFRESH.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab

Kannst Du was sehen?

Gruß, Jean

#7 @Jean

Hi, da hat dich wohl der Trojaner doch erwischt. Oder er war schon früher da

Egal führe bitte folgendes durch


Geh in den Abgesicherten Modus

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

Dann normal starten und nochmal das HiJackThis Logfile hier posten

Dann schick mir mal bitte die Datei
vpc32.exe (Wahrscheinlich in C:\Windows\system32)
gezippt an mike_hangover@gozomail.com (Meine FakeEmail)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 @paff

So, bin wieder da, hat etwas gedauert, da ich im abgesicherten Modus zuerst nicht erkannt habe, dass ich nicht den Weg 'Administrator' sondern 'Frank' einschlagen muss. Der Scan unter der Anmeldung als Admin ergab nur zwei der besagten drei 04er Meldungen mit vpc32.exe, und nach dem fixchecked-Befehl auf diese beiden waren alle drei nach dem Normalstart wieder da.
Dann hat es aber unter der richtigen Anmeldung im abgesicherten Modus als 'Frank' geklappt, und ich habe deine Anweisung (war perfekt, Vielen Dank!) genau befolgen können. Jetzt ist eine neue Zeile, die mit ctfmon.exe, aufgetaucht. Du wirst wissen warum?

Die gezipte Datei vpc32.exe bekommst Du gleich per email geschickt.

Hier der aktuelle logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:08:38, on 06.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BITWARE\NT\bwprnmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [bwprnmon.exe] C:\PROGRA~1\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: AstroWorld Today.lnk = C:\Programme\AstroWorldSuite\AstroWorld Today\Daily.exe
O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Refresh.lnk = C:\Programme\Iomega\Tools_NT\REFRESH.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab

Danke und Gruß, Jean

#9 @Jean

Die ctfmon.exe ist OK. Ist von Windows
http://www.windowsstartup.com/wso/detail.php?id=622
Hat was mit der Sprachumschaltung zutun.


Dein Log sieht jetzt sauber aus.

Update mal deinen Virenscanner und lass in im Abgesicherten Modus alle Festplatten scannen.
Ich weiß das, dauert eine Weile aber es lohnt sich.

Melde dich dann bitte nochmal

gruß paff
P.S.
Hast du mir die Datei geschickt ?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10 Hallo @JeanPersil

Das Log ist sauber.

Es ist jedoch so, dass der Backdoor auch einen Mutex hat, der sich wahrscheinlich noch auf dem PC befindet.
#TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt h
http://www.almisoft.de/traxex2.htm

#Wiederherstellung deaktivieren (dann wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

1. kontrolliere immer die Autostarteintraege.(mit HijackThis oder TCPView 2.34)
2.NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
3.PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php[b
4.alle Passworte aendern
5.Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

___________________________________________________________________________________________________________
#Deinstalliere den Antivirus (dann lade neu)
http://www.free-av.de/
und konfiguriere im Guard und im Scanner : "alle Dateien" und "Heuristik mittel"
und scanne im Normalmodus und abgesichertem Modus

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 @paff

Hallo paff,
prima, dass der logfile jetzt sauber ist, danke Dir sehr!
Die gezipte Datei vpc32.exe habe ich Dir per email geschickt,
ist sie nicht angekommen?

@Sabina

Hallo Sabina,
Danke für die vielen Super-Tipps, werde sie nach und nach abarbeiten.

Grüße von Jean

#12 @Jean

Das meldet Kaspersky
vpc32.exe - packed with PE_Patch.Morphine
vpc32.exe - packed with Morphine
vpc32.exe - packed with UPX
vpc32.exe Infiziert: Backdoor.Win32.Rbot.gen

Nur zur Info
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 Hallo @Jean
Hier noch einige Infos: zum Thema
http://board.protecus.de/t12627-1.htm

Zunächst einmal mußt du dir im Klaren sein, wie sich der Wurm verbreitet:
- Via Netzwerk Freigaben (TCP ports 139 and 445)
- Via Exploits ( durch ausnützen von bestehenden Sicherheitslücken)
- Via andere Malware

Abhilfe:
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
- zeitnahes einspielen von Sicherheitspatches
- kein Download aus nicht vetrauenswürdigen Quellen
- keine eMail Attachments öffnen
usw.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo paff und Sabina,
die Kapersky-Analyse sagt mir nichts, mein Wissen ist dafür zu gering.
Was mach ich jetzt mit der Datei vpc32.exe? Soll ich sie löschen, paff?
Nochmals Danke!
Nachdem ich AntiVir deinstalliert und neu gedownloaded und installiert hatte, habe ich sowohl einen Scan im normalen als auch einen Scan im abgesicherten Modus durchgeführt. Dabei wurde der Wurm worm/Agobot 136218 in der Datei MSlti64.exe gemeldet. Habe diese Datei nach Nachfrage von AntiVir gelöscht. War wahrscheinlich ein Fehler, hätte sie zunächst mal untersuchen sollen. Erneute Scans ergaben dann nichts mehr, HijackThis-Logfile mit vorherigem bis auf Reihenfolge der Meldungen identisch.
Habe jetzt den Mozilla-Browser installiert und bin die ganzen Punkte durchgegangen, die Sabina angegeben hat, d.h habe die Links besucht und versucht mit der Materie klarzukommen.
Gestern schon habe ich versucht, den NetBios abzuschalten, aber das funktioniert nicht, das Häkchen wird nicht gehalten, aktiviert sich ständig selbst.
Kann das am SmartSurfer von Web.de liegen?
Hab den schon x-mal in der Vergangenheit neu installiert, die Browser haben irgendwie keine Verbindung dazu, die Verbindung muss man immer separat herstellen - nervt!
Habt Ihr dazu - zu den Portseinstellungen und zu dem Beginn der Internetverbindung einen Tipp?
Und ist der Wurm Agobot 136218 weg?
Kann bei Bedarf ja nochmal den logfile posten.

Danke und Grüße von Jean

#15 Hallo zusammen!

Ich freu' mich so: Obwohl ich aufpasse wie ein "Heftlesmacher" (keine unbekannten Downloads, keine email-Anhänge) hab' ich seit gestern auch den Trojaner TR/Dldr.Small.OR in der Datei 'explorer.cab'.

Nun war ich erst 'mal froh, dass ich über google von diesem Forum erfahren habe - nur: so richtig kapieren tue ich das alles nicht. Immerhin hat mir mein Sohnemann gnädigerweise erklärt, wie ich ein log erstelle. Hier ist es:

Logfile of HijackThis v1.98.2
Scan saved at 21:19:14, on 06.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\txtuser.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\t-online\Browser\browser.exe
C:\Dokumente und Einstellungen\Günther\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [aap] qff.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\RunServices: [aap] qff.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {0BE0E0B4-3E03-4EB6-99B2-00948505A067} (Media Client ActiveX Installer) - http://www.downloadcoach.com/MCInstaller.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/298627804d37ddf9cc05/netzip/RdxIE601_de.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://phobos.apple.com/detection/ITDetector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F011903D-3DF5-42D0-BE45-FB8D06F128A7}: NameServer = 217.237.150.33 217.237.151.161

So nun meine Bitte: Kann mir jemand in leicht-verständlichen und geduldigen Worten erklären, was ich tun muss? Außerdem noch eine Zusatzfrage: Was kann dieser Trojaner denn anstellen? (Ist online-Banking noch gefahrlos möglich?)

1000 Dank für die Bemühungen im Voraus!
Gong (est mort!)