Trojaner-Board - Meine Mp3 Player sind Infiziert!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Meine Mp3 Player sind Infiziert!!! (https://www.trojaner-board.de/56765-mp3-player-infiziert.html)

Meine Mp3 Player sind Infiziert!!!

Hallo erstmal ,:)

In letzter Zeit hatte ich schon viele Probleme mit Viren usw. musste jetzt schon in 2. Wochen 2.mal formatieren......:headbang: (hatte dieses Bagle ding und XP Antivirus 2008)

Ich habe jetzt schon Vieren auf meinen mp3 Playern und dachte mir das das vielleicht ein Teufelskreis ist, also das meine MP3's meinen Pc immer aufs neue infizieren.:pfui: Achso die Malware um die es sich handelt heißt

TR/PSW.Nilage.bvl.1, sagt jedenfalls Antivir so.

Ich poste auch zur sicherheit noch ein Logfile hier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:30, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Amok web bash obj] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\seek film amok web\error logo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [phonegram] C:\DOKUME~1\ADMINI~1\ANWEND~1\BOOBAM~1\Move Enc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RK Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216570611671
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2BB1F19-7220-49AC-988E-1D0297436E80}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6802 bytes

Würde mich sehr auf Antworten freuen :)

Hi,
in welcher Datei wird der Virus denn gefunden?

Du hast auch noch Spuren von Swizzor auf deinem Rechner.

Achso; danke das du dir die mühe gemacht hast und es durchgelesen hat:aplaus:

Die Datei wurde in der Datei I:\autorun.inf gefunden.

Swizzor ist nicht so schlimm, kommt eh nur wenn ich de Internet Explorer benutze (tu ich aber nicht,ich benutze Safari oder Firefox)

Hi,

poste mir bitte den Inhalt der autorun.inf:

Stecke den MP3-Player ein und öffne ihn per Rechtsklick unter Arbeitsplatz. Rufe dann die autorun.inf per Rechtsklick ->öffnen mit->Editor auf und poste den Inhalt der gemeldeten Datei dann hier.

Swizzor ist leicht zu beseitigen, aber wenn du weißt dass du ihn installiert hast, weißt du wahrscheinlich auch mit welchem Programm du es dir installiert hast...
Willste Swizzor denn behalten?

lg myrtille

Hi, :)

Ich vertsehe nicht ganz wie ich die autorun Datei öffnen,
soll. Ich drücke bei Arbeitsplatz auf den MP3 Player da kann ich aber nur öffnen nicht öffnen mit...:confused:

Aber ich hebe einen Scan mit Antivir gemacht und der hat das hier drauf gefunden:

Die Datei 'J:\nideiect.com'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Bagle.NK' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f34561.qua' verschoben!

Das ist dieser Bagle wieder:heulen:

Hi,
den Datenträger öffnen, die Datei dann mit "öffnen mit" öffnen.

Wenn du aber Bagle noch am Rechner hast, solltest du über ein Neuaufsetzen nachdenken.

lg myrtille

wie finde ich denn die Datei autorun.inf??? Also in meinem MP3 player sind diese datein: Muic Pictures Playlists und pmp_usb.ini WMPInfo.xml WMPInfo.xml:confused:

Hast du die Dateien sichtbar gemacht?

Wird die Datei von Antivir denn gemeldet?

lg myrtille

Jetzt sind da drei neue sachen aber nicht mit autorun oder nideiect.com

Hi,
wie heißen denn die Dateien?

Die nideiect.com zeigt deutlich, dass du noch mit vielen infiziert bist.
Ist J: eine externe Platte gewesen? Wieviele externe Speichermedien hast du denn?
Du hast dir offenbar etwas zugezogen, dass sich über USB-Sticks verbreitet. Verleih deine Sticks vorerst nicht und nutze auch keine von anderen Leuten.

lg myrtille

Ich habe 4 (2 Handys, 2 Mp3 Player) die neuen Datein heißen: winamp_cache_0001.xml

winamp_cache_0001.xml DevLogo.fil (habe ich 2 mal) BOOTEX.LOG

In meinem Vorletzten Beitrag habe ich eine Fehler gemacht ich habe die datei

WMPInfo.xml nur einmal

hi,
die von dir genannten Dateien gehören zu Winamp oder WMP, Checkdisk und deinem Telephon. Die Dateien sind wahrscheinlich sauber.

lg myritlle

UNd Was soll ich jetz machen??????????????? Ich weiß ich nerv aber ich in echt verzweifelt soll ich sie jetzt alle weg schmeißen?????????

Was sind I: und J: für Laufwerke? Externe/Interne?

Was hast du mit der Datei gemacht die als Bagle erkannt wurde, was ist aus der autorun.inf geworden? Hat Avira die vielleicht gelöscht?

Ich kann nicht helfen, wenn ich nicht weiß was Sache ist.

lg myrtille

Ich weiß garnicht was der Unterschied zwischen einer int. ext. Laufwerk ist :(

Der Bagle habe ich in Quarantäne gesteckt. autrun.inf wurde nur zugriff verweigert.
Soll ich die Vielleicht nur Löschen und dann mein System neu aufsetzten?????????

Edit: Ich habe die beiden Viren jaetz einfach über antivir gelöscht hoffe das hat mein Problem gelöst................. Trotzdem danke:)

Hi,
intern ist alles was immer in deinem Rechner ist.

Mit extern meinte ich eigentlich alle Laufwerke die du über USB und Ähnliches anschließen kannst, Laufwerke die also nicht immer am Rechner angeschlossen sind.

Du hast die Autorun.inf gelöscht? Ich dachte du konntest sie nicht finden? :confused:

Die Laufwerke sind alle extern

Also ich habe das jetzt bei allen so gemacht: ich habe den z.B Mp3 Player angeschlossen uns sofort kam die Meldung das ein Virus in der Datei autorun.inf gefunden wurde, anstatt dann Zugriff verweiger zu drücken mache ich dann einfach lösche. :D

Dann durchsuche ich das gesamte Laufwerk mit antivir der findet dann den Bagle den lösche ich dann auch einfach.........

Wenn dann noch was ist sag ich dann Bescheid :D

Mich hats auch nach langer Zeit endlich mal wieder erwischt, genau diesen Virus hab ich mir eingefangen.

Der war in einem mp3-Bearbeitungstool und scheint sich auch auf mp3-player spezialisiert zu haben. Denn nur auf dem war die autorun.inf verseucht. Ich mache zum Glück jede Nacht ein Backup von C mit http://rebecca.machiko.de/bilder/ima...les/anbet2.giftrueimage, aber erstmalig hat sich der Erreger auch ausserhalb C ein Nest gebaut. So war kurz nach dem Aufspielen wieder was im Busch.

Habs natürlich erst gemerkt, als der Antivir sich selbst komplett geschlossen hat und auch Firewall stürzte von sich aus ab. Ich glaube jemand hatte remote auf meinen PC und fand es auch witzig, meine Arbeitsfenster zu schliessen. Erstmal das Modem abgestellt.

Die autorun.inf hat antivir leider gelöscht bevor ich den Inhalt sehen konnte, aber die war knapp 160kb gross, nicht 1kb wie üblich.

Mache gerade den Superscan und werde dann nochmal ein sauberes Image aufspielen oder sogar Windows mal wieder ganz neu draufbuttern, wie schon so oft, weils einfach auch wieder ziemlich langsam geworden ist nach 5-6 Monaten. Aber vor XP waren Neuinstallationen wesentlich häufiger nötig als heutzutage.

Xp ist echt ganz brauchbar geworden für Poweruser, Microsoft hat sich seinen eigenen Albtraum geschaffen, ein haltbares Produkt. :-)
Es muss schrecklich sein für einen Milliardär, plötzlich weniger Milliarden als gewohnt einzusacken, der Staat sollte hier sofort unterstützend eingreifen ;-), jeder sollte sein letztes Hemd geben, damit die Milliardäre nicht so leiden müssen...