win32.goldun.bn Trojaner/Passwortfischer
 

Moin,

Gdata 2006 meldet diesen netten kleinen Freund. Schon einiges im Netz darüber gelesen, allerdings nicht eine Möglichkeit, die es mir als User und Nichtexperte erlaubt, ihn nach Hause zu schicken.

Gdata gibt auch keine Adresse an, wo er zu finden ist. Mehrere Trojaner-Scanner schon durchs System gejagt, nichts gefunden.

Kann mir jemand helfen ?

Gruß

Lj

Hi,
erstmal, wenn GData was meldet, wie tut es dann das?
Bitte beschreibe die Meldung/kopiere sie hier rein.
Ein HiJackThis-Logfile gibt außerdem weiteren Aufschluß. Poste es rein.
cacatoa

edit: Servus chaosman!! :party:

@Longjohn

das dürfte den hier sein
scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Moin,
also: GData meldet den Fund wie folgt:
VIRUS: Trojan-Spy.Win32.Goldun.bn
WÄCHTER MELDET VIRENFUND
ADRESSE:
das wars.

HiJack gibt folgendes Ergebnis, womit ich als Laie nichts anfangen kann:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:17, on 19.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\Eigene Dateien\Downloads\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115741071468
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7474F15-9AB3-4F67-ACF4-A05493FD7418}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

solltet ihr es lesen und deuten können...... :daumenhoc

Gruß
Lj

Moin,

noch eine kleine Ergänzung zu der Geschichte: Besitzer des PC hat eine ebay-Rechnung aufgemacht, obwohl er gar kein Ebay-Konto hat. Daher dürfte er kommen.
Ich habe vorhin versucht, mit dem PC HiJackthis runter zu laden. Meldung: Download abgeschlossen, jedoch nirgends auf dem PC zu finden, DANACH ein nicht von mir ausgeführter Download, angezeigt von GDATA über 168 KB. Und dann kam ich nicht mehr auf Trojaner-Board Seite, Downloads von anderen Sites für HJT waren: FORBIDDEN.
Per 2. Rechner + USB-Stick dann Programm doch noch geladen.

Lj

Hi,
lade Dir mal, wie in dem post von chaosman beschrieben, den eScan runter und führe ihn nach Anleitung durch.
Poste bitte die Ergebnisse rein. Das scheint mir etwas seltsam zu sein.
cacatoa

Moin,

tja, mit dem eScan ist das auch so eine Sache:

Die Bilder sind zu groß um hier zu posten. Habe alle Haken gesetzt, wie beschrieben, Systemwiederherstellung abgeschaltet und im abgesicherten Modus gestartet. Es lief etwa2-3 Sekunden, dann Fehlermeldung: eScan AntivirusMonitor Service Part has not startet. application will be terminated.

Was geht, ist der normale Scan für Windows. Wobei ich dem nicht ganz traue, denn das Ding sieht aus wie GData.

Noch eine Idee, bevor ich den PC plattmache ?

Gruß

Lj

Hi,
eScan benutzt die Kaspersky engine.
Bitte was meinst du mit:
Hast Du alle Häkchen gesetzt, wie in der Anleitung beschrieben?
cacatoa

Jau, alle Häkchen gesetzt. Hatte mir die Vorgehensweise extra ausgedruckt und entsprechend befolgt.

Vielleicht habe ich mir das "falsche" eScan geladen. Eine Trialversion mit Updatefunktion.
Wie dem auch sei: Es wurde gefunden der kleine Freund unter:
Directory: C:\Windows\system32
File: mfCC4.dll

Im abgesicherten Modus nicht zu finden, im normalen Modus zwar den Pfad aber diese spezielle .dll nicht dabei.

Ich kann mich täuschen, aber gibt es nicht die Möglichkeit, einen Ordner bis 15MB direkt zu scannen ?
Nehme auch jeden anderen Weg zur Beseitigung.

Danke vorerst, für Interesse und Tipps.

Gruß

Lj

Na, ja,
eScan erkennt den Goldun. Aber ich weiß nicht ob ich einen kennwortstehlenden Troj auf dem System nur löschen würde.
Neu aufsetzen ist sicherer.
Ansonsten die Datei löschen. Hast Du bei den Ordneroptionen die Haken gesetzt bei "alle Dateien anzeigen" und " Inhalte von Systemordnern anzeigen" undHaken weg bei geschützte Systemdateien ausblenden?
Die hier empfohlenen eScan Versionen sind alle "Trials mit Updatefunktion" und verweisen nur auf die Malware ohne zu löschen.
cacatoa

Moin.

Danke für die Infos und Tipps. Wieder ein bisschen was gelernt. Werde den Rechner neu aufsetzen.

Gruß

Lj