virusalarm: TrojanDropper.Yabinder.2.0

#1 Hi.

OS: win xp pro, Bit Defender Pro

Bit Defender Pro zeigt Meldung TrojanDropper.Yabinder.2.0 an.
3 X in "C:\Dokumente und Einstellungen\( - unser Benutzername - )\Lokale Einstellungen\Temp".

Dieses Verzeichnis wird seit Tagen kontinuierlich größer (z.Zt. 3,5 GB groß).

Was können wir tun?

Leider konnten wir noch nix genaueres über diesen TrojanDropper herausfinden.

Danke schon mal an alle, die helfen können!

#2 Also, symantec, nai und ca wissen darüber nichts. AVP scheint ihn zu kennen: http://www.google.de/search?q=cache:tSaMULDeDTYC:www.avp.ch/E/daily.stm+Yabinder&hl=de&ie=UTF-8 , RAV anscheinend auch : http://www.google.de/search?q=cache:8a2I7fUtDCIC:www.ravantivirus.com/pages/dldupdate.php%3Ftype%3DDaily+Yabinder&hl=de&ie=UTF-8

Lade Dir die mal runter und dann schau mal nach, was die sagen.

Ansonsten rat ich Dir:

- Inhalt des Verzechnisses löschen (es ist normal, daß Temp größer wird, da ja dort viel Müll reinkommt)
- Registry, win.ini, system.ini ..... durchsuchen nach Programmen, die Du nicht kennst - löschen, oder vorher hier kurz fragen
- rechner booten
- virenscanner laufen lassen

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Thx für den schnellen Rat.

Du meinst, wir sollen uns die Antivirensoftware von Kasperski loaden und damit dann nochmal scannen?

Wahrscheinlich dann auch alle andere AV-Software in dem Moment deaktivieren (Also zB. den Bitdefender und dessen Firewall). Richtig?

Löschen gerade den Ordner Temp mit Steganos-Shredder (Verfahren: US verteidigungsministerium - Daten werden mehrfach überschrieben...)

So long - Schelme

#4 Interesshalber: Kannst Du nachvollziehen, wie Du Dir den Trojaner "eingefangen" hast ?
E-mail, sonst.Datei...etc ?
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 bei mir wurd yabinder.20.b gefunden, naja hab aber erst danach suchen lassen nachdem ich was ungewöhnliches gefunden haben, nämlich eine rundell32.dlI die es ja bekanntlich nicht gibt, lief im hintergrund als ausgeführtes programm, die wurde allerdingfs nicht von dem virenscanner erkannt,...

#6 Wenn ihr ein paar mehr infos zu dem Virus suchen solltet, koennt ihr euch ja mal hier umschauen:
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=%0D%0ATrojanDropper.Yabinder.2.0+&product=0

Ist der Trojaner denn jetzt entfernt?

#7 Ein Trojaner-Dropper (wie "Yabinder") ist in erster Linie ein Tool, mit dem man mehrere Dateien zu einer (ausführbaren) Datei verschmelzen kann. Wird diese eine Datei gestartet, werden die anderen enthaltenen Dateien "gedroppt" und ausgeführt. Damit kann man die Platzierung eines Trojaners verschleiern.

Selbst Kaspersky kann (bisher?) nur erkennen, ob eine Datei mit einem Tool wie "Yabinder" erstellt wurde; nicht aber, welche Dateien darin enthalten sind.

Offenbar wurde also bei DonBanaNe ein (wahrscheinlicher) Trojaner mit dem Dateinamen "rundell32.dlI" gedroppt. Welcher Trojaner dies ist, sollte wenn überhaupt KAV herausfinden. Schon damit gescannt?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?