Win32:Trojan-gen. {Other}

Hi,

lade dir auf jeden  fall Ice Sword herunter und analysiere den pc nochmal . dann einen full scan mit avk2007 .
Nach dem Erfolgreichen löschen musst du die regestry bereinigen!!!!!

Schreib mal was alles in deinem autostart läuft hier rein

Hallo,

bei einem Rootkit kann es tatsächlich nur das geben :

 

dass nach der Entdeckung eines Schadprogramms per hijack quasi nur eine Festplattenformatierung und Windows-Neuinstallation hilft, das "kompromittierte" System wieder von dem Schädling und seinen diversen Backdoors zu befreien. Was ist davon zu halten?  

Hast du dir die weiterführenden Links in dem Dokument angeschaut ?
Oder unter www.wikipedia.de ,dem Online-Lexikon, mal Rootkit eingegeben ?
Alle Versuche Rootkits oder Backdoortrojaner wieder anders loszuwerden ,bleiben was sie sind ,egen Versuche... ohne jede Garantie...
Die Gewißheit ein unverseuchtes System zu haben,gibt dir nur eine Neuinstallation !!
WEnn du einen guten Link brauchst, als Anleitung zur Neuinstallation, sage Bescheid...
Sir Reklov

schön, dass ihr mir helfen wollt - danke!

Ok, der Autostart bzw. Systemstart schleppt so einiges mit sich. Ich habe hier jetzt nur mal gelistet, welche Prozesse ich nicht zuordnen kann. Alle anderen sind durchschaubar und sicherlich ungefährlich.
cmappclient
TBONbin\tbon.exe/r
system32\dumprep 0-k
system32\elkctrl.exe/automation
system32\LVCOMSX

Wobei - sollte nicht schon die Prüfung der logfile-Daten per hijackthis gefährliche Prozesse elemniert haben? Und überhaupt, wenn ich doch einmal diesen Rootkit gepackt habe - wieso soll der dann wieder trotz aktivem Virenschutzprogramm tausbrechen können? Schliesslich wirbt GData damit, durch ihre Software auch vor Rootkits zu schützen.

Vor dem wahrscheinlich konsequentesten Mittel - der kompletten Neuinstallation - scheu ich mich doch sehr, da es mit immensem weiteren Aufwand verbunden sein wird. Mein Rechner ist so individuell über die zwei Jahre konfiguriert, dass ich wirklich nicht weiss, ob ich die Nerven habe, das wieder von vorne anzufangen. Gibt es keine andere Möglichkeit mein System wieder stabil zu bekommen?

BG
Dirk

Hallo,
wie ich aus deinen Fragen ersehe ist dir das Lesen wohl nicht so gegeben ?
Denn deine Fragen werden in den Links behandelt,eigentlich gut verständlich und ausführlich...

Natürlich kannst du jedem noch so dämlichen Tipp wie dem von "Chekker" nachgehen wenn du magst...
Ich bin sicher ein paar dämliche werden auch noch kommen..
Immerhin ist es dein Rechner und du darfst damit tun und lassen was du willst.Die Konsequenzen trägst ja auch du ...
 

Wobei - sollte nicht schon die Prüfung der logfile-Daten per hijackthis gefährliche Prozesse elemniert haben

Auch da fehlt das Lesen...

 

Und überhaupt, wenn ich doch einmal diesen Rootkit gepackt habe - wieso soll der dann wieder trotz aktivem Virenschutzprogramm tausbrechen können

Du weißt nicht was ein Rootkit macht bzw.wie und warum...Also lesen..

 

Schliesslich wirbt GData damit, durch ihre Software auch vor Rootkits zu schützen.

 

Auf das Wörtchen "wirbt" kommt es an...
Ich bin sicher ,das ein Anti-Virenpproggi demnächst damit "wirbt" das der Benutzer nach der Installation übers Wasser gehen kann und Lahme wieder gehend macht und Blinde wieder sehend...
Glaubst du dem "weißen Riesen" auch das er weißer waschen kann, als alle anderen ?
Warum glaubst du dann der Werbung eines AV-Herstellers ?
Sir Reklov

na, ich nehm das jetzt mal nicht persönlich mit Deinen Ausführungen bezüglich meiner Lesekompetenz. Schliesslich versuchste ja auch zu helfen, nicht wahr. Ok, aber soweit war ich halt schon, dass ich diesen kleinen Fachaufsatz zum Thema Rootkitbeseitigung gelesen habe. Es ist halt für mich nicht klar herausgestellt, weswegen in meinem speziellen Fall, halt mit dem bekackten WIN32:Trojan-gen. die Radikallösung angesagt ist. Gilt es denn generell für Rootkits, dass die Backdoors kreiieren, die auch vom AVK2007 nicht entdeckt werden können?

Habe jetzt im Windows-Explorer "alle Dateien und Ordner anzeigen" aktiviert und "geschützte Systemdateien ausblenden (empfohlen)" deaktiviert. Jetzt müsste doch eigentlich alles offen liegen, und AVK07 beim nächsten Suchlauf die kleinen Hintertüren aufspüren. Weil, als ehemaliger Werber verlasse ich mich selber auch nur ungern auf Werbeaussagen - vielmehr hat die Software von GDATA in renommierten Fachzeitschriften durchweg log geerntet bzw. Vergleiche gewonnen. Deswegen habe ich die auch erworben, und glaube mal einfach, das die auch grundsätzlich mal nen Rootkit packen können. Ok, ich lese jetzt auch mal den von dir gelinkten Wikipedia-Artikel hierzu.

Freue mich, wenn Du Dich nochmal kurz zu meinem Vorhaben des zweiten Suchlaufs äussern könntest - wenn es geht ohne süffisante Einlagen.

Beste Grüsse
Dirk

wieso soll formatieren der HD und neuinstallieren von WIN XP überhaupt den Rootkit safe entfernen?

Wie ich von anderer Thematik her weiß, werden die Daten durch das formatieren nicht unwiderruflich vernichetet. Mit entsprechenden Programmen kann man auch Daten auf einer formatierten HD wiederherstellen. Nur Programme wie der "Eraser" vernichten doch entgültig die Daten.

Somit frage ich mich, warum die Backdoors durch einfaches formatieren weg sein sollten?!

BG
Acronis

Aber Hallo,
wer sagt denn hier das ein Backdoor oder/ und ein Rookit auf dem System ist oder war?
Das einzige was wir wissen, das AVK eine Meldung unter WIN32:Trojan-gen ausgeben hat, sonst nix! Und dies könnte auch noch ein Fehlalarm gewesen sein. Dirk, AVK erstellt Berichte wenn es eine Malware findet und protokolliert dabei auch die Aktion die ausgeübt wurde.
Suche nach den Bericht und poste den hier, dies ist sehr wichtig!   
Auch warum das System so langsam läuft, ist definitiv unklar.

Zitat:
„Habe jetzt im Windows-Explorer "alle Dateien und Ordner anzeigen" aktiviert und "geschützte Systemdateien ausblenden (empfohlen)" deaktiviert. Jetzt müsste doch eigentlich alles offen liegen, ...“

Das hindert ein Rootkit nicht daran sich vor dir oder einen Virenscanner zu verstecken!

Kommen wir nun zum Praktischen Teil:
Deinstalliere AVK, bitte keine Panik vor diese Aktion, es soll dabei nur getestet werden,
ob der PC jetzt ohne AVK schnell und stabil läuft.
AVK ist bekannt, das besonders viele Ressourcen frist und einen Rechner dabei schell zur Schnecke macht.

Lösche bitte Anschluss deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
führe CCleaner aus. Starte danach auch die Funktion unter den Button “Probleme“
und lasse alle Fehler korrigieren. Wiederhole das solange bis der CCleaner nicht mehr findet.

Überprüfe nun deinen PC erst mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch, kein Support Win98/ME)
Wähle die Option “Vollständiger Systemscan“
Poste bitte das ausführliche Scanprotokoll hier !

Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.

Hiiii Help,

und, bohr was nen Arbeitspaket. Das riecht nochmal nach locker einer Stunde PC-Check. Nachdem ich aber heute schon ununterbrochen seit rund 7 Uhr am tüfteln bin, sehe ich schon Sternchen, und werde das auf morgen Abend verlegen. Auch wenn ich sehr gespannt bin, welche Resultate dieser ganz neue Ansatz bringen wird - vielen dank dafür!!!

Eins kann ich aber jetzt schon beantworten: AVK hatte ich probeweise schon gestern mal deinstalliert, und die CPU war immer noch am schwächeln. Der Gerätemanager zeigt übrigens auch an, dass DMA als Übertragungsmodus aktiv ist. Aber trotzdem werde ich AVK nochmal runterschmeissen, um dann den Scan per F-Secure nicht zu irritieren. Aber doch lieber erst morgen, sonst mach ich echt schlapp vor´m Rechner.

Ich bin ab 21:00 Uhr morgen hier im Forum, da ich erst dann von der Arbeit zuhause bin. Hoffentlich werde ich dann schlauer. Beruhigend schonmal, dass Du nicht zwingend ein Rootkit bei mir diagnostizierst.

Schönen Abend noch,
Dirk

Ach ja,

das Protokoll von AVK (auszugsweise). Anmerkung: Die diversen Funde von Bankfraud und Sober betreffen E-Mails, die von meinem Spamfilter abgefangen und in den Junk-Ordner geschoben wurden. Diese bzw. deren Anhänge habe ich nie geöffnet; auch Grafiken werden von Thunderbird standardmässig nicht angezeigt. Hier der bemerkenswerte Rest des Scans, mit dem Fund des besagten WIN32:Trojan-gen. u.a.

Objekt: [From International Medical Corporation <[email protected]>][Date Mon, 18 Jul 2005 23:33:12 +0600]/UNNAMED/[From Edna Leblanc <[email protected]>][Date Mon, 18 Jul 2005 21:44:13 +0200]/UNNAMED/[From "Rainer Lesani (ashampoo)" <news@ ... /[From warn.bl.kundenserver.de says:  ... /[From [email protected]][Date Sun, 7 May 2006 1 ...  abuses_admin.txt
   In Archiv: C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Thunderbird\Profiles\xqnc7xvg.default\Mail\Local Folders\Junk
   Status: Virus gefunden
   Virus: Email-Worm.Win32.NetSky.q (Engine A)
Objekt: [From International Medical Corporation <[email protected]>][Date Mon, 18 Jul 2005 23:33:12 +0600]/UNNAMED/[From Edna Leblanc <[email protected]>][Date Mon, 18 Jul 2005 21:44:13 +0200]/UNNAMED/[From "Rainer Lesani (ashampoo)" <news@ ... /[From w ... /[From "SunTrust Bank'06" <[email protected]>][Date Sat, 07 Oct 2006 19:45:51 +0200] UNNAMED
   In Archiv: C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Thunderbird\Profiles\xqnc7xvg.default\Mail\Local Folders\Junk
   Status: Virus gefunden
   Virus: Trojan-Spy.HTML.Bankfraud.qb (Engine A)
Objekt: [From International Medical Corporation <[email protected]>][Date Mon, 18 Jul 2005 23:33:12 +0600]/UNNAMED/[From Edna Leblanc <[email protected]>][Date Mon, 18 Jul 2005 21:44:13 +0200]/UNNAMED/[From "Rainer Lesani (ashampoo)" <news@ ... /[From warn.b ... /[From "SunTrust Bank, Inc" <[email protected]>][Date Mon, 09 Oct 2006 23:41:44 +0200] UNNAMED
   In Archiv: C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Thunderbird\Profiles\xqnc7xvg.default\Mail\Local Folders\Junk
   Status: Virus gefunden
   Virus: Trojan-Spy.HTML.Bankfraud.qb (Engine A)
Objekt: Junk
   Pfad: C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Thunderbird\Profiles\xqnc7xvg.default\Mail\Local Folders
   Status: Virus gefunden
   Virus: Email-Worm.Win32.NetSky.q (149x), Exploit.HTML.Iframe.FileDownload (98x), Trojan-Spy.HTML.Bankfraud.kd, Email-Worm.Win32.Bagle.cj, Trojan-Spy.HTML.Bankfraud.li, Trojan-Spy.HTML.Bankfraud.ne (3x), Trojan-Spy.HTML.Bankfraud.od (13x), Trojan-Spy.HTML.Bankfraud.ot (18x), Trojan-Spy.HTML.Bankfraud.ok (14x), Trojan-Spy.HTML.Bankfraud.or (3x), Trojan-Spy.HTML.Bankfraud.qb (2x) (Engine A)
Objekt: ayfabloilgs.exe
   Pfad: C:\WINDOWS
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.BetterInternet (Engine A)
Objekt: Nail.exe
   Pfad: C:\WINDOWS
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.BetterInternet.r (Engine A)
Objekt: otdnqa.exe
   Pfad: C:\WINDOWS
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.BetterInternet.r (Engine A)
Objekt: InstallerV3.exe
   Pfad: C:\WINDOWS\system32
   Status: Virus, Datei gelöscht
   Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: data0006
   In Archiv: C:\WINDOWS\system32\InstallerV5.exe
   Status: Virus gefunden
   Virus: Backdoor.Win32.HacDef.bo (Engine A)
Objekt: InstallerV5.exe
   Pfad: C:\WINDOWS\system32
   Status: Virus, Datei gelöscht
   Virus: Backdoor.Win32.HacDef.bo (Engine A)
Objekt: netlanm.dll
   Pfad: C:\WINDOWS\system32
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.SafeSurfing.t (Engine A)
Objekt: pkshljbj.dll
   Pfad: C:\WINDOWS\system32
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.SafeSurfing.r (Engine A)
Objekt: redtrsha.dll
   Pfad: C:\WINDOWS\system32
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.SafeSurfing.j (Engine A)
Objekt: reg6523.exe
   Pfad: C:\WINDOWS\system32
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.Beginto.a (Engine A)
Objekt: thin-94-1-x-x.exe
   Pfad: C:\WINDOWS\system32
   Status: Virus gefunden
   Virus: not-a-virus:AdWare.Win32.BetterInternet.a (Engine A)
Analyse vollständig durchgeführt: 26.11.2006 13:31
    76596 Dateien überprüft
    13 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden

Dirk,
wieso hast den Bericht vom SmitFraudFix v2.124 Tool in einen anderen Betrag abgesetzt?
Bitte bleibe mit deinen Problem hier!
Übrigens, das Tool hat Teile einer Infektion erkannt und beseitigt.

Dein Bericht von AVK sieht nicht so gut aus.
1. Es wurden mehrere Malwareinfektionen entdeckt
2. Darunter auch das Backdoor.Win32.HacDef.bo !
3. Die wenigsten Infektionen wurden durch AVK gelöscht !

Setze Morgen unbedingt meine Anleitung um, ohne dabei was auszulassen!

Hallo
als erstes muß ich jetzt mal zurückrudern...
Leider bin ich in den Threads etwas verrutscht,weshalb ich dich verwechselt habe...
Diese oben von dir geposteten Prozesse :

 

TBONbin\tbon.exe/r
system32\dumprep 0-k
system32\elkctrl.exe/automation
system32\LVCOMSX
 

haben folgende Bewandnis :
1.die "tbon.exe ist ein "Werbebotschafter" der üblen Art.Diese exe sendet Rückinformationen über dein Durfverhalten.Aus anderen Foren konnte ich entnehmen ,das sie in einem ursächlichen Zusammenhang mit dem bei dir gefundenen Backdoortrojaner steht bzw.von diesem mitgebracht wird.

2. ist harmlos bzw.windowseigener Prozess.Der erstellt ein Abbild deines physikalischen Speichers,dieses Abbild wird bei einem groben Fehler an Microsoft gesand,sofern du zustimmst.Das Abbild ist aber nur von Programmierkünstlern bei MS zu verstehen.....
3. Gehört zu deiner Logitech-Kamera und ist so ok.
4.ebenso wie drei.
Der Bericht von AVK plus die gefundene Infektion durch "Smitfraud" wurden vermutlich nachgezogen durch deinen Backdoortrojaner.Der "win32.HacDef" ist ein Backdoor der üblen Sorte.
Einer der Grundsätze bei Backdoorbefall ist das Neuaufsetzen des Systems !
Im besonderen Maße wenn der Rechenknecht beruflich genutzt wird und Bankdaten oder EBay-Passwörter zu sehen bekommt.
Auch dein Geschwindigkeitsverlust wäre somit erledigt.

 

 werden die Daten durch das formatieren nicht unwiderruflich vernichetet. Mit entsprechenden Programmen kann man auch Daten auf einer formatierten HD wiederherstellen

Diese Programme stehen aber weder dir noch mir zur Verfügung.Das haben nur Speziallabors und die lassen sich das seeeehr teuer bezahlen.Meistens gibt es von den Laboren nur Datenfragmente zurück,wenn überhaupt.
Du kannst mit 100% Sicherheit davon ausgehen,das auf einer formatierten Festplatte nichts zurückbleibt.Weder "gute" noch "böse"Programme.

 

vielmehr hat die Software von GDATA in renommierten Fachzeitschriften durchweg log geerntet bzw. Vergleiche gewonnen. Deswegen habe ich die auch erworben, und glaube mal einfach, das die auch grundsätzlich mal nen Rootkit packen können.

Ich will die Software nicht madig machen,gebe aber zu Bedenken das AV-Programme grundsätzlich nur Teil des Gesamtkonzepts "Sicherheit" sind.
Es stellt sich ebenfalls die Frage ,was ist eine "renommierte Fachzeitschrift"? Wie das beurteilen ,wenn man beispielsweise wie du,nicht so viel Ahnung von der Materie hat ?
Auch in "Fachzeitschriften" arbeiten Redakteure die nicht zwingend über Hintergrundwissen verfüpgen.
Als ehemaliger Werber ist dir doch auch sicher klar,das auch die "renommierteste Zeitschrift",gleich welcher Richtung, auf Werbeeinnahmen angewießen ist bzw.sich über diese finanziert.
...und wessen Brot ich ess,dessen Lied ich sing....
Auch kommt ein Backdoortrojaner oder ein Rootkit nicht einfach so auf die Kiste.Da ist deine Mithilfe unabdingbar.Du hast es installiert,vermutlich über ein anderes "gehübschtes" Programm.Da ist dein Scanner,egal welchen Namens,völlig außen vor.
Sir Reklov

Hi,
danke für Eure hilfreichen, wenn auch ziemlich entmutigenden Analysen. So habe ich doch jetzt echt bedenken, ob meine Kreditkartendaten, die ich beim Online-Shoppen auch gelegentlich mal eingegeben habe, nicht abgegriffen wurden. Echt schwitz!!!

Und überhaupt: Ich habe heute Abend rund 2 Stunden gebraucht, bis ich überhaupt mal den Rechner soweit hatte, dass er nicht nach 5 Minuten Windows-aktivität sofort wieder abstürzte. Komisch ist, dass ich gestern - nach entdeckung und desinfizierung von dem Rootkit-Krams - rund 12 Stunden ununterbrochen ohne Abstürze arbeiten konnte. Jetzt hatte mein Rechner (und ich auch) mal nen paar Stunden geruht, und die selbe Problematik wie vorgestern ist wieder im vollen Umfang gegeben. Abstürze reihenweise; Probleme beim anschliessenden hochfahren - sprich steckenbleiben im Bootvorgang mit "Piepssignalen" (laut Liste 8 x kurzes Piepsen = Display Memory Read/Write Error).

Ich gebe es also echt auf, und möchte meine Festplatte nun formatieren und Win neu installieren. Und wie es der Fehlerteuefel will: Auch das funtkioniert natürlich nicht!!! D. h., formatieren geht nicht, da ich nicht an die reine Dos-Eingabeaufforderung komme (ohne Win am laufen zu haben). Ich möchte also nur den Befehl "format c:" eingeben, doch das geht nicht über das Fenster der Eingabeaufforderung, dass unter Windows-Zubehör zu öffnen ist. Und formatieren, so wie es die Win Hilfe vorschlägt, geht bei mir auch nicht, obwohl ich Administrator bin. D.h., ich kann den Datenspeicher NFTS , aufzurufen irgendwo unter Leistung und Wartung, nicht per Kontextmenübefehl formatieren (Befehl formatieren ist grau hinterlegt). Vielleicht könnt ihr mir dabei weiterhelfen. Seht dazu bitte auch meinen neuen Thread unter "Windows Hilfe" hier in diesem Forum.

Danke vielmals nochmal für Eure tolle Mithilfe. Wenn ich meinen PC wieder flott habe, werde ich auf jeden Fall hier in diesem Forum mal versuchen, was durch mein Fachwissen in anderen Computerbereichen wiederzugeben.

Beste Grüsse
Acronis

Noch was: Was ist eigentlich mit den Daten, die ich auf CD gebrannt habe.

So habe ich Unmengen an Musikdateien, etliche Open-Office-Dateien (sprich Texte, Tabellen, Grafiken), einige umfangreiche Downloaddateien, und die ganze E-Mail-Korrespondenz (ausgenommen natürlich Junk-Ordner) für das Leben nach der Neuinstallation retten können.

Wie sieht´s wohl aus? Sind die Backdoors auch in diesen Dateien hinterlegt, oder nur in Systemdateien?

Ciao
Dirk

OK Dirk,
dein Windows hat eine große Macke, also ist neu aufsetzen angesagt.

Hier eine kurze Anleitung:
1. Sichere deine persönlichen Daten und scanne sie später mit einen Virenscanner um eventuelle vorhandene Malware nicht wieder auf dem neuen Windows zu aktivieren!
2. Boote von Windows Installation CD und formatiere deine Bootpartition
( Deine Methode die Festplatte zu formatieren ist so nicht möglich! )
3. Installiere Windows neu und spiele im Anschluss umgehen alle Updates für Windows ein.
4. Installiere einen aktuellen Virenscanner
5. Jetzt kann die restliche Software aufgespielt werden
6. Ändere alle deine Onlinepasswörter !

Zitat:
“So habe ich doch jetzt echt bedenken, ob meine Kreditkartendaten, die ich beim Online-Shoppen auch gelegentlich mal eingegeben habe, nicht abgegriffen wurden.“

Mache dir darüber keine großen Gedanken, dies ist theoretisch möglich, hat aber praktisch keine Bedeutung.