Trojaner entfernen brauche Support!

#1 Hallo zusammen,

bevor ich loslege, muss ich sagen, dass ich in die Fraktion der IT-Laien gehöre, ich bitte dies bei Euren Antworten zu berücksichtigen. :-)

Ich habe heute mit Spybot einen Scan gemacht und er hat zwei Files identifiziert, die zu einem Trojaner namens Torpig gehören sollen. Es handelt sich um Dateien im Verzeichnis C:\windows\Temp. Die Dateinamen lauten:

$_2341233.TMP
$_2341234.TMP

Sie lassen sich nicht löschen, auch Spybot meldet hier einen Fehler, da er nicht löschen kann. Wenn ich reboote sind die Dateien immer noch da, die Datei $_2341233.TMP ändert die Zeit der letzten Änderung nicht (heute 18:23 Uhr), die Andere wird scheinbar immer mit dem booten geändert.

Ich habe ein wenig in den Foren geforscht und etwas von Dateien wie ibm0001.dll gefunden. Im Ordner C:\programme\gemeinsame dateien\ms shared\web folders gibt es die Dateien
Ibm0001.dll und ibm0002.dll, exe-files mit dem Namen finde ich nicht.

Wenn ich die dll-files umbenenne lassen sich die Temp-files nach reboot löschen, und mein Explorer funktioniert dann auch wieder (ansonsten stürzt er alle paar Minuten ab.

Nachdem Spybot das Ganze nicht lösen konnte, habe ich noch den AVG Virenscanner und Ad Aware laufen lassen: Ohne Befund.

Zuletzt habe ich mir dann die AVG Anti Spy-Testversion gezogen. Hier wurde neben ein paar Cookies ein „Trojan.DNSChanger.cv“ gefunden. (vor dem Scan habe ich die dll´s wieder in die alten Namen benannt und die tmp-Dateien waren dadurch auch wieder da. Mit AVG Anti Spy habe ich dann den gefundenen Trojaner entfernt, allerding sind die tmp-files nach dem booten wieder da und lassen sich nicht löschen.

Ich habe jetzt erst einmal das „alte Modell“ verfolgt und die dll´s umbenannt und die tmp-files gelöscht. Was soll ich Eurer Meinung nach machen? dll´s löschen, oder brauche ich die?

Danke für Eure Antworten im Voraus und Gruss
Rolf

#2 trollox

arbeite das ab und poste hier die logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, besten Dank für die Info. Habe die Log-Files generiert und alle in ein txt-file gepackt. Folgendes habe ich ausgehend von meinem Thread gestern noch getan:

Jetzt habe ich die dll´s gelöscht und beim nächsten reboot die tmp-files gelöscht, anschl. rebootet. Danach habe ich mit Spybot, Ad Aware und AVG Anti Spy gescannt, alle ohne Befund. Nur der AVG Virenscanner sagt mir, dass folgende Dateien im Verzeichnis c:\windows\system32geändert wurden:
User32.dll
Shell32.dll
Ntoskrnl.exe

Ich muss dazu sagen, dass ich zusätzlich alle erforderlichen Updates von Microsoft installiert habe (insgesamt 23 Updates).

Frage: War es das, oder ist sonst noch was zu tun??? Wie würdet Ihr mit Passwörtern (Ebay etc.) umgehen? Alle ändern?

Vielen Dank für Eure Hilfe im Voraus!!
Gruss
Rolf

---------

Zitat

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

? [3172]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

-----------

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\a.exe

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\gb
-------\SLService
-------\LEGACY_GB
-------\LEGACY_SLSERVICE

#4 trollox

1.
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.


2.
TrendMicro's Rootkit Buster
Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe - TMRB.Log - poste den report
http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,
danke für die schnelle Antwort. Bei GMER hat sich nur ein weißer Bildschirm geöffnet, keine Fragen kein nix. Auch beim Wechsel auf den Reiter Rootkit hat sich nichts getan.

Die beiden Logs sind im angehängten txt-file

Danke und Gruss
Rolf

#6 ««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

3172

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

gb

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
(ich will finden: LEGACY_GB )
http://www3.ca.com/de/securityadvisor/pest/pest.aspx?id=453103844

--------------------------------------------------------------------

««
C:\WINDOWS\system32\a.exe - muesste ja schon geloescht sein.....

-------------------------------------------------------------------

scanne (laut Anleitung) und poste den report
http://virus-protect.org/sysclean_trendmicro.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

ich hoffe, dass ich das jetzt richtig verstanden habe:

die Reports aus regsearch habe ich als file angehängt. Der im Thread enthaltene Link http://www3.ca.com/de/securityadvisor/pest/pest.aspx?id=453103844
sagte mir nichts, soll ich hier was tun?

Habe im Explorer c: nach „a.exe“ gesucht, es wurde
a.exe.vir im Ordner c:\QuooBox\Quarantine\07-04-04\WINDOWS\System32 gefunden, muss ich hier was tun?

Bei Sysclean habe ich ein Problem. Ich habe die com-Datei in den Ordner verschoben, weiß jedoch nicht welchen Update-File ich nehmen soll, da es da eine Menge verschiedener gibt. Welchen muss ich nehmen?

Danke und Gruss
Rolf

#8 ««
a.exe.vir - ist in Quarantaene + umbenannt - erst mal nichts machen

««
klicke sysclean.com - (die Virensignaturen werden geladen) ,

««
dann klicke sysclean.exe + scannen

(siehe die bilder rechts auf der Seite)
http://virus-protect.org/sysclean_trendmicro.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 so jetzt sollte es geklappt haben habe den virus pattern file release 4.393.00 (lpt393.zip) entpackt und gescant. Ergebnis siehe Logfile, kopieren hat nicht geklappt, da der "alles markieren-Befehl" nicht funktioniert hat.

Danke und Gruss
Rolf

#10 scanne online mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi,
Kaspersky kriege ich nicht ans rennen, wenn ich auf das Online Scan symbol gehe verliert er die Verbindung, dann lädt er die Seite und wenn ich auf "Accept" klicke (Nutzungsbedingungen) sagt er unten in der Leiste: "Fehler auf der Seite". Mache ich was falsch bzw. gibt es eine Alternative?

Danke und Gruss
Rolf

#12 lade den kaspersky von hier (Option 4 )
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 irgendwie habe ich kein Glück, die Seite ist "unavailable"

habe gerade mal gegoogelt und den folgenden Link gefunden, der funktioniert:

http://www.kaspersky.com/kos/english/kavwebscan.html

Hoffe, dass es der richtige Scanner ist.

Gruss
Rolf

#14 wenn es funktioniert .. fein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 so, habe die folgenden Scans gemacht und die Reports im file angehängt:

1) Memory - scan disk modules of running processes

2) My Email - scan all your hard and mapped disks only for the following extensions: *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS

3) My Computer - scan all your hard and mapped disks

4) Critical Areas - scan critical areas of your hard disks specified in %windir% and %tmp% system variables


Gruesse
Rolf