Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32:Trojano-3384, Hilfe! (https://www.trojaner-board.de/40536-win32-trojano-3384-hilfe.html)

kirsch.kaetzchen 02.07.2007 14:55
Win32:Trojano-3384, Hilfe!
 
Hallo!

Vor kurzem habe ich festgestellt, dass ich bei google-Suchanfragen erstmal auf Seiten weitergeleitet werde, die den angegebenen URLs nicht entsprechen. (Z.B. Suchbegriff "Banane", erster Link in der Auflistung war wikipedia, bei Anklicken Weiterleitung auf Ask.com oder andere Seiten).
Habe ein bisschen im Internet herumgesucht und habe so erstmals von "Browser-Hijacking" gehört und einen LogFile mit hijackthis erstellt. Der ist dann auf ein einziges unbekanntes Programm/Ding gestoßen: "browserd.dll" im system32-Ordner. Das habe ich dann mit Virus total scannen lassen.

Complete scanning result of "browserd.dll", received in VirusTotal at 07.02.2007, 13:05:40 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.02.2007 Win-AppCare/Stud.9728
AntiVir 7.4.0.37 07.02.2007 ADSPY/Stud.D
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.02.2007 Win32:Trojano-3384
AVG 7.5.0.476 07.01.2007 Adware Generic.WNV
BitDefender 7.2 07.02.2007 Adware.Stud.I
CAT-QuickHeal 9.00 06.30.2007 AdWare.Stud.d (Not a Virus)
ClamAV devel-20070416 07.02.2007 Adware.BHO-15
DrWeb 4.33 07.02.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3758 07.02.2007 no virus found
Ewido 4.0 07.02.2007 Adware.Stud
FileAdvisor 1 07.02.2007 no virus found
Fortinet 2.91.0.0 07.02.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 W32/Adware.IJT
F-Secure 6.70.13030.0 07.02.2007 no virus found
Ikarus T3.1.1.8 07.02.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 07.02.2007 not-a-virus:AdWare.Win32.Stud.d
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.02.2007 Trojan:Win32/Webprefix
NOD32v2 2368 07.01.2007 Win32/Adware.BHO.AA
Norman 5.80.02 06.29.2007 W32/Stud.Y
Panda 9.0.0.4 07.02.2007 no virus found
Sophos 4.19.0 06.24.2007 MapKon
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.02.2007 Adware.Webprefix
TheHacker 6.1.6.140 06.28.2007 Adware/Stud.d
VBA32 3.12.0.2 07.02.2007 AdWare.Win32.Stud.d
VirusBuster 4.3.23:9 07.01.2007 Adware.BHO.EC
Webwasher-Gateway 6.0.1 07.02.2007 Ad-Spyware.Stud.D

Aditional Information
File size: 30022 bytes
MD5: bbeebddb213c8e416d678ecd173862f7
SHA1: 938dd46ff4752542aad8fff67f54ae28f5a8a0de
packers: UPX
packers: UPX
packers: UPX
packers: UPX

___________________________

Habe mir anschließen noch avast runtergeladen und den Win32:Trojano-3384 isoliert, jetzt taucht er nicht mehr im hijack-log auf.
Wie sollte ich jetzt weiter vorgehen? Muss ich jetzt alle meine Passwörter ändern? Konnte nirgends im Internet etwas darüber finden, was dieser Trojaner bewirkt!

Es wäre super, wenn ihr mir helfen würdet!

Viele Grüße
kirsch.kaetzchen

Win32/Jeefo 02.07.2007 14:58
Wie wäre es, wenn du deinen aktuellen Hijackthis Log mal postest? damit man dir überhaupt helfen kann?

terayaki 02.07.2007 15:01
Genau pste mal nen HJT-Log;)

Mobius07 02.07.2007 15:17
Gucke Dir mal diesen thread an :
http://www.trojaner-board.de/37797-i...netseiten.html

Dort ist von Gc Sunny das Programm Avenger angegeben.
Dort die Datei C:\WINDOWS\system32\browserd.dll eingeben und die Anleitung abarbeiten.

kirsch.kaetzchen 02.07.2007 15:45
Vielen Dank für eure schnelle Reaktion...!
Hatte keinen log gepostet weil der betroffene Teil nicht mehr auftaucht, da ich ihn mit avast isoliert hatte. Aber wenn es hilft, gerne ;) (kenne mich überhaupt nicht mit sowas aus...). Habe grade auch avenger ausprobiert, aber da konnte er die datei nicht mehr finden.

Logfile of HijackThis v1.99.1
Scan saved at 16:33:25, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\avast\aswUpdSv.exe
D:\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AdAware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Player\Quicktime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\avast\ashDisp.exe
D:\avast\ashMaiSv.exe
D:\avast\ashWebSv.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\Downloads\avenger\avenger.exe
D:\Hijackthis\HJT1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Player\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\AdAware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

nochdigger 02.07.2007 16:02
Hallo

du hast dir einen "relativ harmlosen" Werbeeinblender eingefangen, kannst du
hier nachlesen --> Adware.Webprefix - Symantec.com
aber Avast scheint ihn erlegt zu haben.

Starte Hijackthis mit der Option - do a system scan only - und hake diesen Eintrag an :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
klicke nun auf - fix checked - und beende Hijackthis.
Nach einem Neustart bitte per Hijackthis kontrollieren ob der Eintrag auch gelöscht ist (wovon ich ausgehe).

MFG

kirsch.kaetzchen 02.07.2007 16:38
ok danke, das Webprefix konnte ich fixen! Und wegen diesem "browserd.dll" mit dem Win32:Trojano-3384, das von avast isoliert wurde, ist jetzt unschädlich? oder war das falscher Alarm? Wie kommt das überhaupt, dass das eine Programm beim Überprüfen mit VirusTotal diesen Trojaner findet, ein anderes dann Webprefix? :confused:

irrlicht 02.07.2007 16:49
Hallo,

Zitat:
Wie kommt das überhaupt, dass das eine Programm beim Überprüfen mit VirusTotal diesen Trojaner findet, ein anderes dann Webprefix?
Das kommt daher das jeder AV Hersteller sein Kindchen selbst taufen möchte....
Hat auch was mit Protzerei zu tun,oder anders ausgedrückt "Schwanzvergleich:)

Wer hat welche Signatur ,für welchen Virus zuerst......
Hilft beim "Werbung machen" für das eigene Produkt....
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131