Trojaner-Board - spy.goldun.ks.4

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - spy.goldun.ks.4 (https://www.trojaner-board.de/32780-spy-goldun-ks-4-a.html)

Guten Tag alle zusammen,
habe folgendes Problem und zwar meldet mir Antivir das es einen Virus findetn und zwar spy.goldun.ks.4 und in folgendem Pfad C:\Dokumente und Einstellungen\...\~tmp3423.tmp .

Ist das n schlimmer Trojaner/Virus und was mach ich jetz am besten?

MfG
Cobol

Erstmal ein Hijackthis-Logfile posten.

Zitat:

Zitat von cobol

Ist das n schlimmer Trojaner/Virus und was mach ich jetz am besten?

Hallo.

1.) Was schlägt dir denn dein Antivir vor? Hast du versucht die Datei in Qurantäne zu setzen oder zu löschen?

2.) Wenn die Datei in Quarantäne ist, ist sie dann vollständig aus dem teporären Ordner entfernt?

3.) Hast du versucht die in Quarantäne gesetzte Datei manuell zu löschen?

4.) Poste bitte zusätzlich noch ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß ;)
Sunny

so ok hier is das HiJack logfile und ich werde auch noch heute das Service Pack 2 installieren, aber damit wollt ich noch warten, ob dieser Goldun ein Backdoor Trojaner ist oder nicht, weill wenn er einer ist muß ich eh neu installieren alles!

Logfile of HijackThis v1.99.1
Scan saved at 16:32:05, on 10.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
E:\daemon tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/2003b/email_login.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\AdobeReader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.1.87.cab
O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.shockwave.com/content/tumblebugs/axhost.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Vielen Dank für die schnelle Hilfe

Cobol

Zitat:

Zitat von cobol

Ein Backdoor-Trojaner nicht ganz, aber ein Schädling welcher dir Daten klaut.
z.B. Passwörter usw.

bt848rom.dll
Troj/Goldun-CW

Scanne dein System mal mit eScan, Anleitung dazu in meiner Signatur.
BEACHTE: BITTE genau lesen ;)

Gruß
Sunny

OK werde mit escan dann mal scannen.

Danke vielmals für deine schnelle Hilfe Sunny

MfG
Cobol

Achso, wollt noch fragen ob denn das Hijack Logfiel sont in Ordnung ist oder ob ich noch mehr Trojaner/viren auf dem Rechner habe und AnitVir die nur nicht findet?

MfG
Cobol

Zitat:

Zitat von cobol

Achso, wollt noch fragen ob denn das Hijack Logfiel sont in Ordnung ist oder ob ich noch mehr Trojaner/viren auf dem Rechner habe und AnitVir die nur nicht findet?

MfG
Cobol

Das war eigentlich alles was ich aus dem Hijacklog entnehmen konnte.
Daher auch der eScan, Hijacklog zeigt nur "aktive" Prozesse an, es kann sich aber trotzdem noch mehr in deinem System verstecken..

Gruß
Sunny

Hallo Sunny,
hab jetzt escan drüberlaufen lassen und auch nach tagged/infected gesucht in dem Log, wei es in der Anleitung steht aber nix gefunden.
Heißt das jetzt der Torjaner wurde erfolgreich von Antivir entfernt und ich kann jetz beruhigt SP2 installieren?
Meine Passwörter werde ich trotzdem mal ändern!

MfG
cobol

Suche auf deiner Festplatte mal eben folgende Datei:

Zitat:

bt848rom.dll

(ich denke nicht das sie noch vorhanden ist!)

Fixe dann mit Hijackthis noch folgenden Einträg:

Zitat:

O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)

Dann sollte auch das Log wieder "makellos" sein.

Ansonsten solltest du jetzt das SP2 einspielen, sowie die nachfolgenden Sicherheitsupdates! Bring das System auf den neusten Stand und du bleibst länger vor vielleicht noch gravierender Infektionen geschützt... :aplaus:

Danach solltest du trotzdem vorbeugend alle Passwörter ändern!
Wenn noch fragen sind, weißt du ja wo du uns findest ;)

Gruß
Sunny

Hallo Sunny,

so die deatei bt848rom.dll ist nirgends zu finden auf meinem Rechner und hab das im Hijack gefixed, wei du gesagt hast! *freu*
Ja werde die Passwörter ändern und werd jetz gleich erstmal SP2 installieren und die ganzen anderen Updates runterladen und installieren.

Danke dir Vielmals für deine super Hilfe, ich kann dir gar nicht genug danken!

MfG
Cobol

Zitat:

Zitat von cobol

Danke dir Vielmals für deine super Hilfe, ich kann dir gar nicht genug danken!

Schön das alles geklappt hat, und das ich mal nicht empfehlen musste die Festplatte zu formatieren. :aplaus:

schönen Abend dann noch.

Gruß
Sunny

Mein Problem: Antivir detection: C:\WINDOWS\System32\bt848rom.dll

Hallo erstmal

ich möchte euch bitte um Hilfe bitten; ...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hallo SMP,
zur Funktion kann ich dir schon mal folgendes mit auf deinen Weg geben...
Eröffne für dein Problem einen eigenen Thread/neues Thema.
Lese dieses nochmal gut durch und handle danach http://www.trojaner-board.de/extra/impressum.html#NUB
Die gelten nämlich auch für dich,du hast sie bei der Anmeldung als gelesen und beachtet abgehakt...:zzwhip:
Dein erster Post ist nur gut für unsere Mülltonne unten....
Trage Sorge dafür das deinem zweiten Post nicht das gleiche Schicksal droht...:rolleyes:
Irrlicht