Trojaner

[El_Duderino]

Hallo,

Habe seit kurzem folgenden Trojaner auf dem Rechner: TR/Spy.Goldun.ML

Antivir erkennt diesen auch, löscht ihn allerdings nicht. Habs auch schon im abgesicherten Modus probiert.

Wie es aussieht hängt der Trojaner am Internet Explorer.

Kann jemand helfen?

Gruß
El_Duderino

[TMK]

...dann poste am Besten mal ein Hijackthis-Logfile, siehe auch:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

[El_Duderino]

Hier das logfile:


Logfile of HijackThis v1.99.1
Scan saved at 23:17:34, on 06.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RunDll32.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\neue Programme\ICQLite\ICQLite.exe
C:\neue Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\neue Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\System32\LVComsX.exe
C:\neue Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\neue Programme\phonostar\ps_timer.exe
C:\Programme\Finanztreff Stockticker\Ticker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\NEUEPR~1\INCRED~1\bin\IncMail.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\neue Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\NEUEPR~1\WINZIP\winzip32.exe
C:\neue Programme\Opera\Opera.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Dokumente und Einstellungen\cheech.DUDE-ATJWHHGLE5\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.3sat.de/boerse/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\neue Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\neue Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\neue Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\neue Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\neue Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\neue Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [PhonostarTimer] C:\neue Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [FTD Ticker] C:\Programme\Finanztreff Stockticker\Ticker.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\neue Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\NEUEPR~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\neue Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\NEUEPR~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\neue Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\neue Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\neue Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - http://www.tradesignalonline.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in) -
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\neue Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\neue Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\neue Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

[El_Duderino]

hab das auf der avira-seite gefunden:
(leider nicht genau mein trojaner (TR/Spy.Goldun.ML) und steht auch nicht da, wie man den loswird...


Name: TR/Spy.Goldun.CL.1
Entdeckt am: 10/07/2006

Art: Trojan
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Mittel
Statische Datei: Ja
Dateigröße: 26.173 Bytes
MD5 Prüfsumme: fa9e92fdcc371f941eab5201ff532932
VDF Version: 6.35.00.143
IVDF Version: 6.35.00.182

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Goldun.cl
   •  TrendMicro: TSPY_GOLDUN.EU
   •  F-Secure: Trojan-Spy.Win32.Goldun.cl
   •  VirusBuster: TrojanSpy.Goldun.IO
   •  Eset: Win32/Spy.Goldun.HP


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– %SYSDIR%\obbn13t.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.GJ.1

– %SYSDIR%\obbn13rt.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldun.CL

– %SYSDIR%\ksl48.bin
Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   obbn13t
   • "DllName"="obbn13t.dll"
   • "Startup"="obbn13t"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[37BEC52F4C6BE6DDE]"

– HKLM\SYSTEM\CurrentControlSet\Services\obbn13rt
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\obbn13rt.sys"
   • "DisplayName"="Windows Objects manager"

– HKLM\SYSTEM\CurrentControlSet\Services\obbn13rt\Enum
   • "0"="Root\\LEGACY_OBBN13RT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\obbn13rt\Security
   • "Security"=%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\obbn13t.dll am TCP Port 5075 um eine Shell zur Verfügung zu stellen.
– %SYSDIR%\obbn13t.dll 6051 um einen Proxy Server zur Verfügung zu stellen.
– %SYSDIR%\obbn13t.dll 6052 um einen Socks5 Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Einer der folgenden:
   • http://doclogs.com/**********
   • http://doclogs.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Versteckte Passwörter
    • Arbeitszeit der Malware
    • Geöffneter Port
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Internet Explorer
   • My IE
   • Miranda
   • Mozilla
   • Maxthon
   • The Bat!
   • Outlook Express
   • MSN Explorer
   • ICQ
   • Opera

– Aufgezeichnet wird:
    • Anmeldeinformation

Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\obbn13t.dll

    Prozessname:
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher
      ist%



Zweck:
Der Zugriff auf folgende Webseiten wird effektiv unterbunden:
   • avp.ch; customer.symantec.com; dispatch.mcafee.com;
      download.mcafee.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com; avp.com;
      avp.ru; awaps.net; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; updates1.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates2.kaspersky-labs.com;
      virustotal.com; updates3.kaspersky-labs.com;
      d-ru-2f.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates4.kaspersky-labs.com; updates5.kaspersky-labs.com;
      downloads-us1.kaspersky-labs.com; downloads-us2.kaspersky-labs.com;
      downloads-us3.kaspersky-labs.com; engine.awaps.net; f-secure.com;
      ftp.avp.ch; ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
      d-eu-1f.kaspersky-labs.com; rads.mcafee.com;
      d-eu-2f.kaspersky-labs.com; liveupdate.symantec.com;
      d-us-1f.kaspersky-labs.com; ftp.sophos.com; ids.kaspersky-labs.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com


Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

[El_Duderino]

was mich auch noch interessieren würde:

antivir bringt immer eine fehlermeldung, das der trojaner gefunden wurde. wenn ich immer "zugriff verweigern" wähle, bleibt der Trojaner dann inaktiv?

kann so zwar den IE nicht nehmen, aber bei opera kommt keine Fehlermeldung.

[El_Duderino]

Hat keiner ne Ahnung wie ich dat Ding wegbekomme? Wollte eigentlich vermeiden das komplette System platt zu machen.

[American]

Im Logfile erkenne ich kein aktiven Trojaner, könntest aber dennoch folgendes Fixen:

O2 - BHO: (no name) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS    

Schon mal mit der Windows Suche nach der Datei obbn13t.dll gesucht?

[El_Duderino]

nüscht gefunden

noch mal die frage, ob antivir den trojaner blockiert, oder ob er im Hintergrund aktiv ist und daten sendet.

Er erkennt ihn ja und ich wähle immer zugriff blockieren.

[American]

wenn AntiVir Ihn aber auch net Löschen kann, dann wird er auch net blockiert.. zeigt antivir net anw elche datei er gefundne hat, also was infiziert sein soll?

[El_Duderino]

Meldung bezieht sich auf den IE

hab adaware durchlaufen lassen - da ging auch dauernd ne Fehlermeldung von Antivir an - bestimmt ca. 30 mal. denke das waren alles infizierte dateien

[El_Duderino]

Im Report standen jedenfalls 30 einträge

[El_Duderino]

ich habe meinen recher von einem anderen system auf einer separaten platte gestartet und die platte mit dem trojaner nochmal mit antivir gescannt, Diesmal hat er nichts gefunden. kann es sein, das sich der troj erst mit dem systemstart aktiviert und vorher nicht erkannt werden kann?

[LeMurmel]

Bin jetzt zwar nicht so der Profi in Sachen Viren/Trojaner, aber wenn's nach der Beschreibung von Avira geht, ist der Trojaner nur schwer auszumachen, wenn er nicht mit dem Systemstart aktiviert wurde (Stichwort: Laufzeitkomprimierung). Wie man den Parasiten los wird, kann ich dir leider auch nicht sagen... Ich benutze aber aus gewissen Gründen schon länger nicht mehr AntiVir, sondern avast! Home Edition. Dort regel ich solche Sachen über einen Boot-Timescan. Würde in deinem Fall wahrscheinlich auch nicht viel helfen, da sich der Trojaner recht gut verstecken kann.

Finde bei Google aber auch nicht wirklich gescheite Infos, wie man das Biest loswird

[El_Duderino]

Ok Leute, erst mal vielen Dank für eurer Feedback.

Soll ich euch mal was verraten? Hätte meine Festplatte fast wegen nichts formatiert.

Ich hab nämlich gar kein Problem, der Trojaner existiert bei mir nicht.

Wen es interessiert:

http://www.heise.de/newsticker/meldung/82094

1 Tag Strees umsonst. Und nicht lachen. 

[dns]

Is ja geil! Wie wär es aber mit einem Update vom AntiVir?

[El_Duderino]

durch das erste update ist das problem entstanden.

Nach dem letzten update läufts als wär nichts gewesen.

[dns]

Nach dem letzten update läufts als wär nichts gewesen.

Das meinte ich!

[LeMurmel]

Is ja geil! Wie wär es aber mit einem Update vom AntiVir?

Das Problem ist mit dem 07:25Uhr-Update vom 06.12.2006 aufgetreten und wurde ca. eine halbe Stunde später gefixt.
Ist im Endeffekt Pech gewesen, dass er ausgerechnet das erste Update erwischt hat

[dns]

Das Problem ist mit dem 07:25Uhr-Update vom 06.12.2006 aufgetreten und wurde ca. eine halbe Stunde später gefixt.
Ist im Endeffekt Pech gewesen, dass er ausgerechnet das erste Update erwischt hat

Deshalb hab ich auch dieses gefragt:

Wie wär es aber mit einem Update vom AntiVir?