Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.IstBar.A (https://www.trojaner-board.de/11275-tr-dldr-istbar-a.html)

duttlinger 27.12.2004 15:59
TR/Dldr.IstBar.A
 
Hallo,

habe vor einigen Tagen die Meldung bekommen, das sich der Trojaner TR/Dldr.IstBar.A bei mir eingenistet hat. Habe dann die von AntiVir angezeigte Archivdatei gelöscht. Seitdem ist die Meldung weg, aber sobald eine Onlineverbindung hergestellt ist, sendet der Computer ununterbrochen irgendwas irgenwohin. Habe Spybot und Adaware installiert und, die auch infizierte Einträge gefunden und gelöscht haben, das Problem des ständigen Sendens ist trotzdem da. Ist das überhaupt noch der Trojaner? Hier mein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 15:48:39, on 27.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\quuezo.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\hllcxpa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Leseland GmbH\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Relay Manager] quuezo.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Relay Manager] quuezo.exe
O4 - HKLM\..\RunServices: [HLL Data Parameter] hllcxpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HLL Data Parameter] hllcxpa.exe
O4 - HKCU\..\RunServices: [HLL Data Parameter] hllcxpa.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FEB7C36-13D3-42A0-905F-093F95DE02F2}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Danke schon mal für evtl. Hilfe.

HerrKautz 27.12.2004 16:08
Hallo,


lass diese beiden Dateien

C:\WINDOWS\System32\quuezo.exe

C:\WINDOWS\System32\hllcxpa.exe

bitte hier überprüfen

http://virusscan.jotti.org/de

und poste das Ergebnis!

duttlinger 27.12.2004 16:21
Hallo HerrKautz,

im Ordner System 32 finde ich diese Dateien nicht. Über die Suche findet er eine Datei HLLCXPA.EXE-1C8AFA20.pf, habe sie auf der Seite scannen lassen, aber ohne Ergebnis, Status ok. quuezo.exe findet der Rechner überhaupt nicht...

HerrKautz 27.12.2004 16:29
Geh im Explorer bitte auf Extras>Ordneroptionen>Ansicht

Bei den beiden Sachen machst du den Punkt raus:


Geschützte Systemdateien ausblenden und bei

Versteckte Dateien und Ordner gehst du dann auf anzeigen,übernehmen und OK,jetzt sollte man die Dateien finden!

duttlinger 27.12.2004 16:40
Super, danke für den Tip. Also beide Dateien scheinen infiziert zu sein. Was kann ich jetzt tun?

Service load: 0% 100%

File: HLLCXPA.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.MORPHINE, MORPHINE, PE_PATCH, MEWBUNDLE, MEW

AntiVir No viruses found (0.18 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.90 seconds taken)
ClamAV Trojan.Mybot-650 (0.35 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.24 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (1.69 seconds taken)
mks_vir Trojan.Rbot.Gen (0.23 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (1.51 seconds taken)
Norman Virus Control No viruses found (5.17 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in undetectable.shutdown.p2p.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender X 0.69 seconds
ClamAV X 0.35 seconds
Dr.Web X 0.54 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Worm.P2P.gen 0.65 seconds
mks_vir X 0.20 seconds
NOD32 probably unknown NewHeur_PE 0.46 seconds
Norman Virus Control X 0.66 seconds

Service load: 0% 100%

File: QUUEZO.EXE Status: INFECTED/MALWARE
Packers detected: PE-DIMINISHER

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Backdoor.RBot.Gen (0.89 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web Win32.HLLW.MyBot.based (0.66 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.65 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.51 seconds taken)
Norman Virus Control Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 105472 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\xagwxz.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsoft Relay Manager"="xagwxz.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft Relay Manager"="xagwxz.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Microsoft Relay Manager"="xagwxz.exe" in key "HKCU\Software\Microsoft\OLE".

[ Network services ]
* Looks for an Internet connection.
* Connects to "w33d.zwnd.com" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname NOR, 80340024.
* IRC: Uses username ezkieyacag.
* IRC: Joins channel #D3.TiT with password 31121986.
* IRC: Sets the usermode for user NOR, 80340024 to +x.

[ Process/window information ]
* Creates a mutex urxbot.
* Will automatically restart after boot (I'll be back...). (5.28 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in undetectable.shutdown.p2p.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender X 0.69 seconds
ClamAV X 0.35 seconds
Dr.Web X 0.54 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Worm.P2P.gen 0.65 seconds
mks_vir X 0.20 seconds
NOD32 probably unknown NewHeur_PE 0.46 seconds
Norman Virus Control X 0.66 seconds

HerrKautz 27.12.2004 16:45
Tja,

leider hast du einen Backdoor der Rbot Familie auf dem Rechner,dazu auch

http://www.sophos.de/virusinfo/analyses/w32rbotgr.html

Du solltest daher dein System neu Aufsetzen,siehe dazu auch:

http://www.trojaner-board.de/showpos...28&postcount=2

Was anderes kann ich dir nicht raten!

Gruss

duttlinger 27.12.2004 17:03
Das kling ja übel. Aber vielen Dank für Deine Hilfe. Sitze da schon seit Tagen dran.
Nochmal ne Frage: Könnte man auch einfach die beiden betroffenen Dateien ersetzen?

Cidre 27.12.2004 17:11
Zitat:
Könnte man auch einfach die beiden betroffenen Dateien ersetzen?
Nein, denn diese Datei ist die Malware .

Mehr Infos zu Backdoor Rbot.gen:
http://www3.ca.com/securityadvisor/v....aspx?id=39437


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131