Trojaner-Board - TR/Dldr.Mediket.V - welche Eigenschaften?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dldr.Mediket.V - welche Eigenschaften? (https://www.trojaner-board.de/15407-tr-dldr-mediket-v-welche-eigenschaften.html)

TR/Dldr.Mediket.V - welche Eigenschaften?

Liebe Leute,

leider habe ich mir aus dem Netz folgendes Exemplar: TR/Dldr.Mediket.V gezogen. Mein AntiVir hat ihn entdeckt. Natürlich weiss ich nicht woher der gekommen sein könnte. Ich habe jetzt mal bei www.sophos.com nachgesehen, was die über den Trojaner wissen. Folgendes erschien als ich auf der Seite nach dem Exemplar gesucht habe:

"Troj/Dloader-FD is a downloader Trojan for the Windows platform.
Troj/Dloader-FD will download and execute files from the following URLs:
i.ring0406808080.nu
www.sexfiles.nu
After Troj/Dloader-FD has downloaded the files it will attempt to remove itself from the infected computer"

... leider verstehe ich nicht richtig, was die meinen. Verstanden habe ich, dass der Trojaner versucht, bestimmte Ordner von den genannten sites herunterzuladen und auszuführen. Muss ich mir deswegen Sorgen machen? Kann das passieren, ohne dass ich es merke? Natürlich habe ich keine Lust, irgendwelche sexfiles auf meinem Rechner zu haben. Achja: ich habe dsl, macht das was aus?

Würde mich über einen Tip sehr freuen - Danke :heilig:

Eure mirasol

Wenn du wissen willst, wie man generell Trojaner bekommt und was man dagegen machen kann empfehle ich dir folgenden Link

Zitat:

Troj/Dloader-FD ist ein Downloader-Trojaner für die Windows-Plattform.
Troj/Dloader-FD lädt Dateien von folgenden URLs herunter und führt sie aus:
i.ring0406808080.nu
wxx.sexfiles.nu

Nachdem Troj/Dloader-FD die Dateien heruntergeladen hat, versucht er sich von dem infizierten Computer zu entfernen.

wie Du schon richtig übersetzt hast er lädt Dateien runter und das passiert immer im Hintergrund da ist es egal ob Du DSL hast oder was anderes, bei DSL geht's halt schneller ;)
Aber Du solltest auf jeden Fall mal überprüfen ob neue Bilddateien oder ähnliches auf den Rechner gelangt ist.
Erstelle mal unabhängig davon ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Zitat:

Zitat von Gigamail

hallo liebe Leute, hallo Gigamail,

ich hoffe, dieser logfile ist korrekt, denn WinZip - ich glaube es war WinZip - hat beim Öffnen und Verwenden von HijackThis immer mal wieder protestiert, dass das Ausführen des Programmes nicht gehe, weil es von irgendeinem anderen Prozess verwendet werde. Naja, kann es nicht wirklich beurteilen, was da jetzt geklappt hat oder nicht, zumindest scheint der Scan ausgeführt worden zu sein. Ich poste ihn mal. Voilà:

Logfile of HijackThis v1.99.1
Scan saved at 22:01:46, on 15.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.m-base.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

Ich würde auch noch gerne wissen, welche sichere Methode es gibt, um festzustellen, ob neue Order/Dateien auf dem Rechner gelandet sind. Ich kann ja nicht alle Ordner einzeln durchsehen, vielleicht übersehe ich was.

Danke für Eure Hilfe schon mal....

Eure mirasol

Hi,

tut mir leid ist ewas später geworden.Lade Dir mal eScan Beschreibung unten. Dein Logfile sieht eigentlich gut aus.
Frage kennst Du folgendes Programm:
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE

folgende beiden Einträge kannst Du im abgesicherten Modus (wenn ME das hat,bin ich jetzt etwas überfragt)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

die Datei von Hand löschen:
C:\WINDOWS\web\related.htm

Zitat:

Ich würde auch noch gerne wissen, welche sichere Methode es gibt, um festzustellen, ob neue Order/Dateien auf dem Rechner gelandet sind. Ich kann ja nicht alle Ordner einzeln durchsehen, vielleicht übersehe ich was.

wenn Du noch weisst wann der Tojanerbesuch war (Logfile Antivir) sehe ich im Moment nur die Windowssuche nach Datum

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)