Trojaner-Board - Trojaner TR/Dldr.iBill.P

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner TR/Dldr.iBill.P (https://www.trojaner-board.de/36196-trojaner-tr-dldr-ibill-p.html)

Trojaner TR/Dldr.iBill.P

Hallo,

ich habe seit 2 Tagen einenTrojaner auf dem PC zumindest vermute ich es.
Ich habe Antivira auf dem PC und ich kann einen Suchlauf starten aber er findet nichts. Wenn ich aber so am PC was mache erscheint eine Warnung von Antivir das der oben genannte Trojaner auf dem PC sei. Was kann ich tun habe bei google nichts gefunden.
Habe auch einen HiJackThis erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 21:49:50, on 10.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Mandy Falk\Eigene Dateien\Eigene Dokumente\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Visit Netcenter Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - DSL - Modem - Shopping - Entertainment
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Visit Netcenter Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = Net Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Visit Netcenter Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [iasx] iasx.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - Medionshop.de (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de...bertragung.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

Was soll ich tun. Habe nicht so viel Ahnung von PC's bitte helt mir.

Wäre euch sehr dankbar!!!

LG Mandy

Zitat:

Zitat von mandy010388 (Beitrag 253272)

Wenn ich aber so am PC was mache erscheint eine Warnung von Antivir das der oben genannte Trojaner auf dem PC sei.

1. Öffne das Hauptfenster von AntiVir. Klicke rechts auf den Reiter Ereignisse und suche dort nach Fundmeldungen. Per Doppelklick auf den Eintrag öffnet sich ein Fenster. Poste den Inhalt dieses Fensters.

2. Nutze die Windows-Suchfunktion um folgende Datei ausfindig zu machen:

Zitat:

iasx.exe

Es kann erfolderlich sein, alle Dateien sichtbar zu machen. Eine Anleitung hierfür findest Du hier:
http://www.trojaner-board.de/59624-a...-sichtbar.html

Lade die Datei bei virustotal.com hoch und lasse sie prüfen. Poste den vollständigen Scanreport samt Größengabe.

Gruß

Marc

es sind 3 Verschiedene Meldungen von Antivir

In der Datei 'C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Ebay-47052997.zip\Ebay.pdf.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.iBill.P' [TR/Dldr.iBill.P] gefunden.

In der Datei 'C:\WINDOWS\system32\bild_album.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/iBill.E' [TR/iBill.E] gefunden.

In der Datei 'C:\WINDOWS\system32\ipv6monl.dll'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Malware' [HEUR/Malware] gefunden.

Ich habe jedes mal bei dieser Meldung auf datei löschen geklickt.

Das andere sucht noch.

Stelle es dann gleich rein fals er was findet

Während Windows noch sucht, kannst Du mir schonmal sagen, ob Du eine Email von eBay erhalten und derren Anhang geöffnet hast?

Lade bitte alle drei Dateien bei Virustotal.com hoch und lasse sie prüfen. Poste die Ergebnisse der Scanreports.

Und bitte editiere Deine Beiträge (Button rechts unterhalb des Beitrages) so dass man Deinen Namen nicht mehr lesen kann (Betrifft 1. und 2. Beitrag).

Ich bekomme nur den einennoch geändert.

Das dauert aber sehr lange mit dem Suchen. ist das normal?

Also Windows hat die Datei isax.exe nicht gefunden auf meinem PC habe alle versteckten Datein sichtbar gemacht, muss ich die jetzt wieder unsichtbar machen?

Zitat:

Zitat von mandy010388 (Beitrag 253301)

Also Windows hat die Datei isax.exe nicht gefunden

Bedenklich.

Zitat:

auf meinem PC habe alle versteckten Datein sichtbar gemacht, muss ich die jetzt wieder unsichtbar machen?

Nur wenn Dich diese Ansicht stört. Ich kann aber erst morgen weitermachen, da ich jetzt auf Party gehe.

Gruß

Marc

danke wann wollen wir uns dann wieder hier treffen?

Zitat:

Zitat von mandy010388 (Beitrag 253305)

danke wann wollen wir uns dann wieder hier treffen?

Wenn ich wieder gehen und sprechen kann ;)

Ich gehöre hier fast zum Inventar und wen ich nicht da bin, hilft Dir sicher jemand anderes.

Gruß

Marc

OK nur eine Frage ist das normal wenn virustotal so lange sucht?

Guten Morgen,

sollte ja die verschiedenen Datein bei Virustotal suchen, aber er zeigt mir immer an Fehler auf der Seite!
Was soll ich jetzt machen?

LG Mandy

Hallo

da Marc wohl noch im Koma liegt;) frag ich einfach mal nach, welche Fehlermeldung bekommst du denn?
Bitte beschreibe die Fehlermeldung so genau es dir möglich ist.

MFG

Hallo,

es kommt einfach nur Fehler auf der Seite und er macht dann nichts mehr es steht oben in dem Kästchen wo ich den Namen eingegeben habe uploading file und Plaese wait... und es geschieht nichts.

Nur weiß ich halt nicht warum:(

Probiere mal folgendes:

Kopiere eine der Dateien auf den Desktop und benenne sie um (z.B. in virus.exe). Versuche dann sie nochmal hochzuladen. Funktioniert das?

das versteh ich jetzt nicht ich ichhabe ja keine Datei sondern nur einen Namen oder bin ich jetzt falsch?

Zitat:

Zitat von mandy010388 (Beitrag 253405)

das versteh ich jetzt nicht ich ichhabe ja keine Datei sondern nur einen Namen oder bin ich jetzt falsch?

Zitat:

C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Ebay-47052997.zip\Ebay.pdf.exe
C:\WINDOWS\system32\bild_album.exe
C:\WINDOWS\system32\ipv6monl.dll

Diese Dateien meinte ich. Mit der Bezeichnung von Antivir kann ich nichts anfangen. Ich hoffe, dass andere Scanner eine bessere Bezeichnung liefern.

Dann lade dir Blacklight:
F-Secure Blacklight > Rootkit Elimination Technology
Scanne damit und poste das Log.

Habe erstmal die Datein bei Virustotal geprüft.
Hier die Antworten

Your file "bild_album.exe" is queued in position: 4. Estimated start time is between 81 and 116 seconds.

Your file "Ebay.pdf.exe_" is queued in position: 29. Estimated start time is between 5 and 8 minutes.

Your file "ipv6monl.dll" is queued in position: 30. Estimated start time is between 5 and 8 minutes.

Hatte noch mehr meldungen von denen habe heute alerdings ein anderes Virusprogramm rauf machen wollen und dafür musste ich das alte Deinstallieren und jetzt sind alle meldungen weg.

Lade mir das andere Programm mal runter.

Ein anderes Antivrenprogramm wird vermutlich nicht viel bringen. Die entscheidende Frage ist, bo wir diese eine ominöse Datei finden können. Dafür benötigen wir Blacklight.

So habe das andere Programm jetzt herunter geladen. Es scannt jrtzt den PC aber das wird sicherlich ne weile dauern.

Habe meinen PC damit gescannt er hat keine Viren, 32 Spyware, keine Riskware-Elemente gefunden. Den Bericht konnte ich leider nicht öffnen. :heulen:

Kann ich sonst noch was machen?

LG Mandy

Hallo,
würde mich freuen wenn mir jemand helfen könnte.

Es komme immer mehr meldungen.
Jetzt hat ein anderes Programm einen Virus gefunden

NAME: MS05-013
ALIAS: DHTML Editing Component ActiveX Control Cross Domain Vulnerability
ALIAS: Exploit.Win32.MS05-013.gen
ALIAS: CAN-2004-1319

Summary

F-Secure Anti-Virus contains generic detection for a exploit that takes advantage of the vulnerability in DHTML Editing ActiveX Control (MS05-013/CAN-2004-1319). Further information about this vulnerability is available from Microsoft

Was soll ich jetzt machen das Löschen oder in Quarantäne lassen?

Bitte helft mir.