Trojaner-Board - Trojan Keylogger Win 32 Fung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan Keylogger Win 32 Fung (https://www.trojaner-board.de/63307-trojan-keylogger-win-32-fung.html)

1. Datei

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.1.0        2008.10.31        -

AntiVir        7.9.0.10        2008.10.31        -

Authentium        5.1.0.4        2008.10.31        -

Avast        4.8.1248.0        2008.10.31        -

AVG        8.0.0.161        2008.10.31        -

BitDefender        7.2        2008.10.31        -

CAT-QuickHeal        9.50        2008.10.31        -

ClamAV        0.94.1        2008.10.31        -

DrWeb        4.44.0.09170        2008.10.31        -

eSafe        7.0.17.0        2008.10.30        -

eTrust-Vet        31.6.6184        2008.10.31        -

Ewido        4.0        2008.10.31        -

F-Prot        4.4.4.56        2008.10.31        -

F-Secure        8.0.14332.0        2008.10.31        Suspicious:W32/UltimateRAT.21!Gemini

Fortinet        3.117.0.0        2008.10.31        -

GData        19        2008.10.31        -

Ikarus        T3.1.1.44.0        2008.10.31        -

K7AntiVirus        7.10.513        2008.10.31        -

Kaspersky        7.0.0.125        2008.10.31        -

McAfee        5419        2008.10.31        -

Microsoft        1.4005        2008.10.31        TrojanDownloader:Win32/Dabew

NOD32        3575        2008.10.31        -

Norman        5.80.02        2008.10.31        -

Panda        9.0.0.4        2008.10.31        Suspicious file

PCTools        4.4.2.0        2008.10.31        -

Prevx1        V2        2008.10.31        Fraudulent Security Program

Rising        21.01.42.00        2008.10.31        -

SecureWeb-Gateway        6.7.6        2008.10.31        -

Sophos        4.35.0        2008.10.31        -

Sunbelt        3.1.1767.2        2008.10.31        -

Symantec        10        2008.10.31        -

TheHacker        6.3.1.1.135        2008.10.31        -

TrendMicro        8.700.0.1004        2008.10.31        -

VBA32        3.12.8.9        2008.10.30        -

ViRobot        2008.10.31.1446        2008.10.31        -

VirusBuster        4.5.11.0        2008.10.31        -

weitere Informationen

File size: 100352 bytes

MD5...: ecb01538701840902f25159d401b00f4

SHA1..: c4f8a9ed9115100524fc10e4a12a058d71ea0d7a

SHA256: 50c1392d42de8336b666b9243ed257112b35dbd8f09018b8808af2c2c32f79ad

SHA512: adff3cc84a6704b060358bfb95845853dfdac3d57eeadb1ae2811888c8d75d06

ed300211b53883c6fc79fe43f10c618e556104579d2c15a139c98c69d12ef64f

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (38.4%)

Win32 Dynamic Link Library (generic) (34.1%)

Win16/32 Executable Delphi generic (9.3%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x405ea4

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

CODE 0x1000 0x6d8c 0x6e00 7.31 7c5d2599dfc5c5de35a167e1f078861e

DATA 0x8000 0xad0c 0xae00 6.25 97842ec0f6b64c6f6db13e775afabc08

BSS 0x13000 0xa45 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x14000 0x9d2 0xa00 4.64 730782252460a62355438c3f80d139cf

.tls 0x15000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x16000 0x18 0x200 0.21 edbc3e5536a5fe87f44333e41c2f7759

.reloc 0x17000 0xa50 0xc00 6.26 4c695930e300345b9e28221a173c163e

.rsrc 0x18000 0x5000 0x5000 6.18 c75a1fde1799dd2354cfc20e75b9ae75
 

( 10 imports )

> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

> user32.dll: GetKeyboardType, MessageBoxA, CharNextA

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

> oleaut32.dll: SysFreeString

> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegDeleteValueA, RegCloseKey

> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpiA, lstrcatA, WriteFile, WinExec, VirtualProtect, Sleep, LoadLibraryA, HeapFree, HeapAlloc, GetTickCount, GetProcessHeap, GetProcAddress, GetModuleHandleA, GetLastError, GetEnvironmentVariableA, FreeLibrary, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, CreateFileA, CloseHandle

> gdi32.dll: TextOutA, StretchBlt, SetTextColor, SetBkMode, SetBkColor, SelectObject, MoveToEx, LineTo, DeleteObject, DeleteDC, CreateSolidBrush, CreatePen, CreateFontIndirectA, CreateCompatibleDC, BitBlt

> user32.dll: CreateWindowExA, UnregisterClassA, TranslateMessage, SystemParametersInfoA, ShowWindow, SetWindowPos, SetCursor, SendMessageA, ScreenToClient, RegisterClassA, PostQuitMessage, PeekMessageA, LoadImageA, LoadIconA, LoadCursorA, KillTimer, GetWindowLongA, GetSysColor, GetCursorPos, EndPaint, DrawIcon, DispatchMessageA, DestroyWindow, DefWindowProcA, BringWindowToTop, BeginPaint

> shell32.dll: ShellExecuteA
 

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=59937ED800677093882901B06FA5D4004F0E1806

packers (F-Prot): embedded

2. Datei

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.1.0        2008.10.31        Win-Trojan/Bookedspace.139264

AntiVir        7.9.0.10        2008.10.31        ADSPY/BookedSpace.A

Authentium        5.1.0.4        2008.10.31        W32/Adware.GFC

Avast        4.8.1248.0        2008.10.31        Win32:Adware-gen

AVG        8.0.0.161        2008.10.31        Generic.BDG

BitDefender        7.2        2008.10.31        Application.Bookedspace.E

CAT-QuickHeal        9.50        2008.10.31        AdvWare.BookedSpace.a (Not a Virus)

ClamAV        0.94.1        2008.10.31        -

DrWeb        4.44.0.09170        2008.10.31        DLOADER.Trojan

eSafe        7.0.17.0        2008.10.30        -

eTrust-Vet        31.6.6184        2008.10.31        -

Ewido        4.0        2008.10.31        Adware.BookedSpace

F-Prot        4.4.4.56        2008.10.31        W32/Adware.GFC

F-Secure        8.0.14332.0        2008.10.31        AdWare.Win32.BookedSpace.a

Fortinet        3.117.0.0        2008.10.31        Adware/Bkdspace

GData        19        2008.10.31        Application.Bookedspace.E

Ikarus        T3.1.1.44.0        2008.10.31        not-a-virus:AdWare.Win32.BookedSpace.a

K7AntiVirus        7.10.513        2008.10.31        Non-Virus:AdWare.Win32.BookedSpace.a

Kaspersky        7.0.0.125        2008.10.31        not-a-virus:AdWare.Win32.BookedSpace.a

McAfee        5419        2008.10.31        potentially unwanted program Adware-BkdSpace

Microsoft        1.4005        2008.10.31        Adware:Win32/BookedSpace

NOD32        3575        2008.10.31        Win32/Adware.BkdSpace

Norman        5.80.02        2008.10.31        W32/BookedSpace.G

Panda        9.0.0.4        2008.10.31        Adware/BookedSpace

Prevx1        V2        2008.10.31        Malicious Software

Rising        21.01.42.00        2008.10.31        Adware.BookedSpace.b

SecureWeb-Gateway        6.7.6        2008.10.31        Ad-Spyware.BookedSpace.A

Sophos        4.35.0        2008.10.31        -

Sunbelt        3.1.1767.2        2008.10.31        BookedSpace

Symantec        10        2008.10.31        Adware.Bookedspace

TheHacker        6.3.1.1.135        2008.10.31        Adware/BookedSpace.a

TrendMicro        8.700.0.1004        2008.10.31        -

VBA32        3.12.8.9        2008.10.30        AdWare.BookedSpace.a

ViRobot        2008.10.31.1446        2008.10.31        -

VirusBuster        4.5.11.0        2008.10.31        Adware.BookedSpace.Z

weitere Informationen

File size: 139264 bytes

MD5...: e2bde544846f6530d9c9d8d9aa65aeb8

SHA1..: ebaaafd2dd2198c8c8495234a061a3d255119a7a

SHA256: c5f28ca54cb10284de0da560a6770eb46e7bfb9a42bd15c7db8624e598c9fc7a

SHA512: ba53fc84ff1805bcca5dcd7ede327c01f0b4a3cde6653af34e0780cbf558a0f0

336e5fd95e92693606c95239788857b23d951b85bda4cd7f0972efd571c9a8e7

PEiD..: -

TrID..: File type identification

DirectShow filter (52.6%)

Windows OCX File (32.2%)

Win32 Executable MS Visual C++ (generic) (9.8%)

Win32 Executable Generic (2.2%)

Win32 Dynamic Link Library (generic) (1.9%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x100112ca

timedatestamp.....: 0x3f41bf26 (Tue Aug 19 06:09:42 2003)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x17f09 0x18000 6.59 fbf397dc6eb0dcb71f03c286199c2ece

.rdata 0x19000 0x36fb 0x4000 4.70 b7609442b34ea07e223a03bc146f75e5

.data 0x1d000 0x3344 0x2000 3.50 523679a26c17a99eb5352ae3405ada53

.rsrc 0x21000 0xef8 0x1000 3.95 b5423bbdc00ed2e13ef6d6a536f99cb6

.reloc 0x22000 0x1e4e 0x2000 4.73 17ed5a4e446db3c144255b1c97032bfe
 

( 8 imports )

> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetCloseHandle, InternetReadFile, InternetSetOptionA

> KERNEL32.dll: SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, DeleteCriticalSection, EnterCriticalSection, InitializeCriticalSection, MultiByteToWideChar, lstrlenA, GetLastError, GetModuleFileNameA, lstrcatA, lstrcpyA, WideCharToMultiByte, lstrlenW, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, LockResource, FindResourceExA, GetShortPathNameA, lstrcpynA, WaitForSingleObject, ReleaseMutex, CloseHandle, DeleteFileA, CreateProcessA, GetTempPathA, GetTempFileNameA, GetWindowsDirectoryA, GetEnvironmentVariableA, CreateFileA, WriteFile, SetEndOfFile, LoadLibraryA, RtlUnwind, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, RaiseException, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, CreateMutexA, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualProtect, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetStringTypeW, GetStringTypeA, LCMapStringW, FlushFileBuffers, SetStdHandle, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetSystemTimeAsFileTime, GetCurrentThreadId, TlsSetValue, GetCommandLineA, ExitProcess, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCurrentProcess, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetOEMCP, GetCPInfo, TlsFree, SetLastError, TlsGetValue, TlsAlloc, LCMapStringA, ReadFile

> USER32.dll: CharNextA

> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, RegEnumKeyExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, RegCreateKeyExA

> SHELL32.dll: SHGetFileInfoA

> ole32.dll: CoCreateInstance, StringFromGUID2, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateGuid, StringFromCLSID, CoTaskMemFree

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -

> SHLWAPI.dll: PathFindExtensionA
 

( 6 exports )

DllCanUnloadNow, DllGetClassObject, DllMain, DllRegisterServer, DllRun, DllUnregisterServer

Dachte ich es mir. :kloppen: Beides ist Malware.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe

C:\WINDOWS\bs3.dll

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ich hoffe das bringts erstmal. Ich muss erstmal ins Bett. :sleepy:

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Fri Oct 31 23:13:41 2008
 

23:13:41: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Fri Oct 31 23:13:57 2008
 

23:13:57: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe" deleted successfully.

File "C:\WINDOWS\bs3.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:28:27, on 31.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\T-DSL Manager\DslMgrSvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

C:\PROGRAMME\MOZILLA FIREFOX 3 BETA 4\FIREFOX.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Total Commander\TOTALCMD.EXE

D:\Felix\HiJackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\8a2f93426d4163721f5c882a773f8fb3\update\update.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun

O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"

O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')

O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAFC43E-0BBE-4BE1-8D1F-0F6041B91965}: NameServer = 217.237.149.205 217.237.151.51

O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
 

--

End of file - 5356 bytes

Guten morgen,

ich hab egrad meinen rechner hochgefahrn un da kam dann beim start die meldung "RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

1. Was bedeutet diese Datei?
2. Ist es schlimm, wenn sie nicht gefunden werden konnte, bzw. was bedeutet das für mich?

Das Fenster mit dem Trjoan-keylogger.win32.fung ist auch nicht wieder aufgetaucht...puuuh zum glück. Ich kann damit jetzt auch wieder auf meine windows firewall zugreifen.

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?

Danke nochmal für die Hilfe von gestern, warst echt mein retter.. ;)

Hallo,

Code:

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)

O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun

O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"

Diese Einträge bitte mit Hijackthis fixen. Wie das geht, entnimmst Du der Anleitung.

Code:

O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup

Hast Du in der Zwischenzeit dieses Programm SpyNoMore installiert? Es taucht erst jetzt im Logfile auf!

Zitat:

"RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

Das passiert, weil noch ein Autostart-Eintrag vom Schädling vorhanden ist, wenn Du die o.g. Einträge fixt, sollte die Meldung nicht mehr auftauchen.

Zitat:

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Ja. Diesen Artikel vollständig lesen, begreifen und umsetzen. Frag ruhig nach, wenn etwas unklar ist.

Zitat:

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?

Du brauchst weder ZoneAlarm (:pukeface:) noch dieses Steganos-Zeugs- ein einfacher Virenscanner wie z.B. AntiVir oder AVG Free (kostenlos für Privatanwender) plus Windows-Firewall reicht dicke aus. Wenn Du oben verlinkten Artikel liest, weißt Du auch warum. ;)

Code:

C:\Dokumente und Einstellungen\mjkmsk.dll

Werte diese Datei bitte nochmal bei Virustotal aus und poste die Ergebnisse.
Du solltest übrigens auch zusehen, dass Du möglichst bald das SP3 für Windows XP sowie die Folgeupdates installierst! :kloppen:

Zitat:

Zitat von Partynixe21 (Beitrag 387767)

sry... bin bill durcheinanner gekomm..

was is seppdepp fürn typ??

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Zitat:

Zitat von Seppdepp (Beitrag 388695)

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Deine Anleitung war in diesem Fall auch richtig. :rolleyes:
Ich mach aber absichtlich weitergehende Analysen, also in jedem Falle es komplizierter als dem ersten Anschein nötig, weil erfahrungsgemäß die Malware heute nicht mehr so primitiv ist wie sie vor einigen Jahren noch war. Und häufig findet man noch weitere "schlummernde" Dateien. Einfach nur einen Task beenden und die korrespondierende Datei löschen reicht idR schon lange nicht mehr allein aus.

Zitat:

Zitat von root24 (Beitrag 388699)

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!! Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Nix für ungut...

Grußß der S...Depp

Zitat:

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror ---

Es gibt überhaupt keinen Grund sich künstlich aufzuregen. Entspann Dich. :rolleyes:

Zitat:

Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!!

Naja, manch einer muss leider garantiert ein sauberes System haben. In Firmennetzwerken z.B. wäre das der Fall. IdR hat man dort aber über ein Systemimage schnell ein Client wiederhergestellt, falls es doch zum Befall gekommen sein sollte.

Zitat:

Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Wie gesagt. Möglichkeiten gibts immer. Statt neu aufsetzen kann man sich auch vorher ein Image erstellen und bei bedarf wieder zurückspielen. Ansonsten hat man meist eben Pech gehabt. An für sich ist man ja auch selbst Schuld, dass das System die Pest hat. :rolleyes:

Oder aber eben, man nimmt eine recht aufwändige Bereinigung in Kauf und ich hoffe diesen Aufwand sieht man in meiner Anleitung.

Zitat:

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Es klang schon ein wenig unqualifiziert, v.a. deswegen weil es in den allerseltensten Fällen ausreicht, nur nach Deiner Methode vorzugehen. :kloppen:
Außerdem verunsichert es auch den TO, wenn auf einmal jmd. anders was dazwischenruft, mach mal lieber dies und das, ... kannst Du verstehen oder? :twak:

Zitat:

Nix für ungut...

Dito...