Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Trojaner

Anton18 / 8 Antworten / Baumansicht Nickles

Hallo Leute

ich hätte da wieder mal ne knifflige Sache. Als ich einen Rechner mittels Spybot s. & d. untersuchte, meldete dieses einen Trojener namens "Virtumonde.Dll". Da ich nach längeren Recherchen im Netz festellte, dass es sich hier nicht um eine Dll alleine handelt, habe ich noch nichts dagegen unternommen. Ich habe im Anschluss noch SpywareDoctor darüber laufen lassen und siehe da, keine Spur von "Virtumonde.Dll". SpywareDoctor fand aber folgendes: "Trojan.Downloader.Agent.KO". Wer kennt diese beiden Schädlinge und wie kamen sie auf das System? Wie killt man diese nachhaltig? Der Rechner ist sonst völlig unauffällig, er startet flott und lahmt nicht bei der Arbeit. IE ist nie im Einsatz, außer bei Microsoft-updates.

Einstweilen danke für die Aufmerksamkeit, Gruß Anton18.

bei Antwort benachrichtigen
Conqueror Anton18 „Trojaner“
Optionen

Ein Trojaner kann sich sehr schnell anpassen und den Namen ändern und seinerseits schadhafte Programme nachladen und installieren.
Stell mein ein Logfile von HiJackThis hier rein.
Wie das geht ist hier beschrieben:
http://sicher-ins-netz.info/analyse/hjt.html

bei Antwort benachrichtigen
Anton18 Nachtrag zu: „Trojaner“
Optionen

Hallo Conqueror,

hier folgt ein Logfile, welches, nach deiner Empfehlung-"Link", mit HiJackThis erstellt wurde:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:36, on 03.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Drivers\pdisrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\admin\Desktop\Schlauberger.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ixquick.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097418447593
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E13A0E3-F9B7-447C-857E-24D6035CB0F3}: NameServer = 195.34.133.14,195.34.133.15
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Programme\Gemeinsame Dateien\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6755 bytes

bei Antwort benachrichtigen
Conqueror Anton18 „Hallo Conqueror, hier folgt ein Logfile, welches, nach deiner Empfehlung- Link ,...“
Optionen

Welche Softwareversion von GData hast Du ?
"Trojan.Downloader.Agent.KO" ist nur ein Name für einen Trojaner, damit weißt Du aber nicht welche Datei vermutlich infiziert ist.
Ich würde das Tool hier noch einsetzen
http://www.emsisoft.com/en/software/free/
Dazu aber die anderen aktiven Virenscanner etc. deaktivieren.
Dann Ergebnis posten.

bei Antwort benachrichtigen
Prosseco Anton18 „Trojaner“
Optionen

Hallo Anton,


Du hats ja einiges drin an Software. Ich kann durch die Auswertung nicht schlimmes entdecken. Koennte dir Tipps geben um deine Maschine schneller machen, aber es bringt nichts.

Aber da du sagst Virtumonde, tja das ist Adware.

Du hast bis jetzt 3 verchiedene Spyware Proggy's. Ad-Aware, Spybot S&D und noch den Spyware Doctor.

Zu viele Programme fuer ein gleichen Zweck, da hadert es bei mir. Normal der G-Data muesste es locker packen. Ist er auf dem Neuesten Stand ?

Gehe mal im Abgesicherten Modus deines Betriebssystem und lass den G-Data nochmals scannen.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Anton18 Prosseco „Hallo Anton, Du hats ja einiges drin an Software. Ich kann durch die Auswertung...“
Optionen

Hallo Sascha, hallo Conqueror,

voerst mal vielen Dank für eure raschen Antworten. Mein G-Data Anti Virus ist Stand 2009, Version 19.3.0.0 und wird grundsätzlich vor jedem Internetbesuch mit den neuesten Signaturen versorgt. Ich arbeite nur in Ausnahmefällen mit Administratorrechten und da sicher nicht zum Surfen. Ich bin bei jeder Software kritisch, die auf dem Rechnenr intalliert werden soll. Die Programme Spybot, AdAware sowie Spyware Doctor, laufen nicht auf meinem Rechner, nicht im Hintergrund - Autostart und so. Ich verwende sie nur zur Überprüfung, bevor ich ein Image erstelle. Ob das unnötig ist oder nicht, kann ich mit nein beantworten, weil G-Data garnichts meldet, Spybot findet "Virtumonde" und Spyware Doctor meldet "Trojan.Downloader.Agent.KO". Toll, wer ist jetzt das Genie von den drei Klassikern? Und wenn ich noch fünf andere Programme dieser Art darüberlaufen lasse, werden wahrscheinlich neue Kuriositäten auftauchen. Der einzige Wächter, der bei mir immer aktiv ist, ist G-Data und der bleibt von den beiden genannten Schädlingen unbeeindruckt.
Jetzt könnte man meinen, warum nervst du uns, wenn du eh ein Image hast. Spiel es zurück und die Schädlinge sind weg. Was mich aber wirklich interessiert ist, wo zum Henker kommen sie her, und wie schaffen sie es immer wieder, trotz aller Vorsichtsmaßnahmen, in das Herz von Windows vorzudringen? Lücken im Browser? Ist mir schon klar, die werden nie alle dicht sein. Aber selbst mit FF 3.5, Adblock Plus, NoScript, Better Privacy und vielen nützlichen AddOns, sollten sich nur begründeter Weise Schädlinge einnisten können.
Es heißt so schön, aus Fehlern soll man lernen. Ich wüsste gerne mehr über die Fehler die dies ermöglichen. Vielleicht ist es eh schon das bloße "online gehen". Der sauberste Rechner ist der, der nie Online ist.

Was mich bei der G-Data Boot-CD extrem nervt, ist, dass sie es noch nie geschafft hat, einen komoletten Plattenscan durchzuführen, ohne mittendrin hängen zu bleiben. Mal an der einen Stelle, mal an einer anderen. Sogesehen, ein wertloses Tool. Von der Idee, ohne laufendes Windows, eine Platte zu scannen, wäre ich allerdings schwer begeistert. G-Data nervt auch mit den Hinweisen, "Zugriff verweigert" oder "Passwortgeschützt", was so viel heißt wie, ich hätte gerne da rein gesehen, aber ich durfte nicht. Das wissen sicher alle Programmierer von Malware, und genau dort werden sich auch ihre neuen Schädlinge hineinschreiben, weil G-Data dort nicht reinschauen darf. Mein Mitleit hält sich in Grenzen. Was so ein Systemscan dann letztendlich wert ist, sei jedem selbst vorbehalten.

Wieso kann Symantec u.A., Software herstellen, die ein Abbbild eines laufenden Betriebssystems machen kann, inclusive Bootsektoren und allem was dazu gehört? Warum sind da alle Schädlingsbekämpfer so eingeschränkt? Gehts hier doch nur ums Geschäft?


Ich hoffe jetzt Niemand vergrämt zu haben, Gruß Anton18.

bei Antwort benachrichtigen
Conqueror Anton18 „Trojaner“
Optionen

"Spybot findet "Virtumonde" und Spyware Doctor meldet "Trojan.Downloader.Agent.KO". Toll, wer ist jetzt das Genie von den drei Klassikern?"
Vermutlich keiner. Je nach dem wie Du die Programme einstellst schlägt unter anderem die sogeannte Heuristik zu, d.h. mit unter Falschalarme.
"Der einzige Wächter, der bei mir immer aktiv ist, ist G-Data und der bleibt von den beiden genannten Schädlingen unbeeindruckt."
Dein Programm ist per se ein Antivirenprogramm ABER KEIN spezialisierter Trojanerscanner.
"G-Data nervt auch mit den Hinweisen, "Zugriff verweigert" oder "Passwortgeschützt"
Liegt in der Natur der Dinge dass ein Virenscanner z.B. nicht in passwortgeschützte Dateien schauen bzw. diese scannen kann, es hat ja kein Passwort.
Und "Zugriff verweigert" kommt meist bei pagefile.sys da diese vom Betriebssystem geschützt ist.
"Warum sind da alle Schädlingsbekämpfer so eingeschränkt?"
Das habe schon andere Leute bemerkt z.B. wie ich und setzen schon lange keinen Virenscanner mehr ein, da die Technik mit Viren-Signaturen in den Programmen heuzutage überholt ist, und die Heuristik zu fehleranfällig.
"Wieso kann Symantec u.A., Software herstellen, die ein Abbbild eines laufenden Betriebssystems machen kann, inclusive Bootsektoren und allem was dazu gehört?"
Sorry aber Du kannst einen Virenscanner und ein Imageprogramm technisch nicht vergleichen.
Ein Imageprogramm speichert Rohdaten und kümmert sich nicht um deren Inhalt. z.B, bleibt eine passwortgeschützte Datei weiterhin passwortgeschützt und das Imageprogramm weiß nichts von dem Inhalt.

bei Antwort benachrichtigen
Anton18 Conqueror „ Spybot findet Virtumonde und Spyware Doctor meldet Trojan.Downloader.Agent.KO ....“
Optionen

Hallo Conqueror,

das klingt ja alles sehr spannend. Nehmen wir mal an du würdest auch Windows verwenden, darf ich fragen wie du so ein System gegen Schädlinge schützt?

bei Antwort benachrichtigen
Anton18 Nachtrag zu: „Trojaner“
Optionen

Hier folgt der Abschlussbericht, für alle die es noch interessiert.

Das Problem ist gefunden und beseitigt. Die Datei, die von Spybot als "Vitumonde.Dll" tituliert wurde, ist nichts anderes als ein Fehlalarm. Die eigentliche Datei ist eine Windows eigene Dll namens "zipfldr.dll". Nach Angaben von Safer Network, ist dies nur in Spybot Vers. 1.5 so, der bug wurde mit Vers. 1.6 behoben. Siehe folgenden Link - http://forums.spybot.info/showthread.php?s=923d2dfad062295321ca7a0b5a4de16f&p=330513#post330513.

Ich habe dieses Experiment selber durchgeführt, und bestätige somit die Richtigkeit dieser Aussage von Safer Network. Als ich dann mit Spybot 1.6 erneut mein System scannte, teilte mir Spybot mit, dass es sauber sei. (Kein "Vitumonde.Dll" mehr, ich habe auch keine Säuberung meines System bezüglich "Vitumonde.Dll" vorher durchgeführt.)


Anscheinend sind Trojener und anderer Schrott eher Nebensache in diesem Forum, trotzdem bedanke ich mich bei allen Teilnehmern, selbst wenn das Interesse sehr rasch gegn Null ging.



Also bis zum nächsten Mal, Gruß, Anton18.

bei Antwort benachrichtigen