Trojaner-Board - Trojan Spy.Win32.Ursnif ....kann ich nicht löschen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan Spy.Win32.Ursnif ....kann ich nicht löschen (https://www.trojaner-board.de/83421-trojan-spy-win32-ursnif-loeschen.html)

Welches ist jetzt die msconfig32.exe und welches die conilder.dll?

Kommst du in den Taskmanager? (Strg + Shift + Esc)
Findest du dort eine msconfig32.exe?

sorry das ist
msconfig32.exe

Zitat:

Zitat von sunda (Beitrag 506961)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.03.02 Trojan.SuspectCRC!IK
AhnLab-V3 5.0.0.2 2010.03.02 -
AntiVir 8.2.1.176 2010.03.02 -
Antiy-AVL 2.0.3.7 2010.03.02 -
Authentium 5.2.0.5 2010.03.02 -
Avast 4.8.1351.0 2010.03.02 -
Avast5 5.0.332.0 2010.03.02 -
AVG 9.0.0.730 2010.03.02 -
BitDefender 7.2 2010.03.02 Trojan.Generic.KD.103
CAT-QuickHeal 10.00 2010.03.02 -
ClamAV 0.96.0.0-git 2010.03.02 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.02 Trojan.Siggen1.4277
eSafe 7.0.17.0 2010.03.01 -
eTrust-Vet 35.2.7335 2010.03.02 -
F-Prot 4.5.1.85 2010.03.02 -
F-Secure 9.0.15370.0 2010.03.02 Gen:Heur.Krypt.5
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.03.02 Trojan.Generic.KD.103
Ikarus T3.1.1.80.0 2010.03.02 Trojan.SuspectCRC
Jiangmin 13.0.900 2010.03.02 -
K7AntiVirus 7.10.986 2010.03.01 -
Kaspersky 7.0.0.125 2010.03.02 -
McAfee 5907 2010.03.01 -
McAfee+Artemis 5907 2010.03.01 -
McAfee-GW-Edition 6.8.5 2010.03.02 -
Microsoft 1.5502 2010.03.02 -
NOD32 4908 2010.03.02 -
Norman 6.04.08 2010.03.01 -
nProtect 2009.1.8.0 2010.03.02 -
Panda 10.0.2.2 2010.03.01 Suspicious file
PCTools 7.0.3.5 2010.03.02 -
Prevx 3.0 2010.03.02 -
Rising 22.37.01.04 2010.03.02 -
Sophos 4.50.0 2010.03.02 -
Sunbelt 5716 2010.03.01 -
Symantec 20091.2.0.41 2010.03.02 Suspicious.Insight
TheHacker 6.5.1.7.218 2010.03.02 -
TrendMicro 9.120.0.1004 2010.03.02 TROJ_FAKEAV.VGC
VBA32 3.12.12.2 2010.03.02 -
ViRobot 2010.3.2.2208 2010.03.02 -
VirusBuster 5.0.27.0 2010.03.02 -
weitere Informationen
File size: 39424 bytes
MD5...: 1f9d3a73da0a142c24aea9e257535f57
SHA1..: 7e9d804b46e8eae102068ff1dbc403876be0d42c
SHA256: d1c41f35b7c9d9d9b2eeffd198820cb5fdd8a467fc2cbebcaa7de7c6676b79ea
ssdeep: 768:tanB/9ta1IeuKw7h6JxeUMTLLACk9P5BaVOMzCMOS3XMygY8f:tan9aVuN6J
sR/K5BUOY7OS3XGX

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3c5f
timedatestamp.....: 0x4b86c43b (Thu Feb 25 18:40:59 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2dec 0x2e00 6.09 9a37f20cae12e95d4a77e3f30fd4086b
.rdata 0x4000 0x206d 0x2200 5.68 316edb3e50bc6b9d212251cc12f75865
.data 0x7000 0x157a0 0x4200 6.12 1bbda29f578d9a8e120e66425601af57
.rsrc 0x1d000 0x380 0x400 2.93 2f42b6496cc95cfe533f403527c7dca7

( 5 imports )
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, lstrcpyW, GetProcessHeap, lstrlenW, SetFilePointer, SetLastError, TerminateProcess, LocalAlloc, GetLastError, GetModuleHandleA, VirtualFree, VirtualAlloc, GetVersion, GetCommandLineW, GetModuleHandleW, LocalFree, CreateFileA, WriteFile, CloseHandle, SetEvent, GetCPInfo, GetModuleFileNameA, GetCurrentProcess, GetCommandLineA, GetStartupInfoA
> USER32.dll: GetSystemMetrics, ClientToScreen, ShowWindow, TranslateMessage, EndPaint, BeginPaint, SetWindowLongA, GetWindowLongA, GetMessageA, LoadAcceleratorsA, DispatchMessageA, RedrawWindow, PostQuitMessage, RegisterClassW, CreateWindowExA, MessageBoxA
> ADVAPI32.dll: LookupPrivilegeValueW, DeleteService, CreateServiceW, RegQueryValueExA, RegSetValueExW, RegOpenKeyExA, RegCloseKey, GetTokenInformation
> WS2_32.dll: -, -, -, -, -, -, -, -
> MSVCRT.dll: _controlfp, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, fclose, memchr, memcpy, __p__commode, __p__fmode, __set_app_type, _except_handler3, _adjust_fdiv

( 2 exports )
YFAALPOAGN, pfWtgaxKMRCB

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: IrBXJDKfFt
copyright....: VfaTl
product......: IrBXJDKfFt
description..: EkKweXi
original name: IrBXJDKfFt.exe
internal name: IrBXJDKfFt.exe
file version.: 2.0.0.5
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

und das ist condilder

Zitat:

Zitat von sunda (Beitrag 506964)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.03.02 Trojan-Spy.Win32.Ursnif!IK
AhnLab-V3 5.0.0.2 2010.03.02 -
AntiVir 8.2.1.176 2010.03.02 TR/Agent.35328
Antiy-AVL 2.0.3.7 2010.03.02 Backdoor/Win32.Papras
Authentium 5.2.0.5 2010.03.02 W32/Heuristic-KPP!Eldorado
Avast 4.8.1351.0 2010.03.02 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.02 Win32:Malware-gen
AVG 9.0.0.730 2010.03.02 BackDoor.Generic12.ALRO
BitDefender 7.2 2010.03.02 Trojan.Generic.3259128
CAT-QuickHeal 10.00 2010.03.02 Backdoor.Papras.ay
ClamAV 0.96.0.0-git 2010.03.02 Trojan.PWS.Papras-1
Comodo 4091 2010.02.28 Backdoor.Win32.Papras.ay
DrWeb 5.0.1.12222 2010.03.02 BACKDOOR.Trojan
eSafe 7.0.17.0 2010.03.01 Win32.TRAgent
eTrust-Vet 35.2.7335 2010.03.02 Win32/Ursnif.IG
F-Prot 4.5.1.85 2010.03.02 W32/Heuristic-KPP!Eldorado
F-Secure 9.0.15370.0 2010.03.02 Trojan-Spy:W32/Papras.gen!A
Fortinet 4.0.14.0 2010.02.28 W32/Papras.AY!tr.bdr
GData 19 2010.03.02 Trojan.Generic.3259128
Ikarus T3.1.1.80.0 2010.03.02 Trojan-Spy.Win32.Ursnif
Jiangmin 13.0.900 2010.03.02 Backdoor/Papras.m
K7AntiVirus 7.10.986 2010.03.01 Backdoor.Win32.Papras.ay
Kaspersky 7.0.0.125 2010.03.02 Backdoor.Win32.Papras.ay
McAfee 5907 2010.03.01 Generic PWS.y!cbh
McAfee+Artemis 5907 2010.03.01 Generic PWS.y!cbh
McAfee-GW-Edition 6.8.5 2010.03.02 Heuristic.LooksLike.Trojan.Agent.H
Microsoft 1.5502 2010.03.02 TrojanSpy:Win32/Ursnif.gen!I
NOD32 4908 2010.03.02 a variant of Win32/PSW.Papras.AW
Norman 6.04.08 2010.03.01 -
nProtect 2009.1.8.0 2010.03.02 Backdoor/W32.Papras.35328.K
Panda 10.0.2.2 2010.03.01 Generic Trojan
PCTools 7.0.3.5 2010.03.02 Backdoor.Trojan
Prevx 3.0 2010.03.02 High Risk System Back Door
Rising 22.37.01.04 2010.03.02 -
Sophos 4.50.0 2010.03.02 Mal/Generic-L
Sunbelt 5716 2010.03.01 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.02 Backdoor.Trojan
TheHacker 6.5.1.7.218 2010.03.02 Backdoor/Papras.ay
TrendMicro 9.120.0.1004 2010.03.02 -
VBA32 3.12.12.2 2010.03.02 Backdoor.Win32.Papras.ay
ViRobot 2010.3.2.2208 2010.03.02 -
VirusBuster 5.0.27.0 2010.03.02 -
weitere Informationen
File size: 35328 bytes
MD5...: eb6ecc316e1691e51451b539a36b85fe
SHA1..: 0689573aa2ba59b6b7255726aee46f43ab3533c9
SHA256: 4148f657fce5b752719ed8a1f59027a5489129bafc30645ba94a67a99fd43f40
ssdeep: 768:rj1COhI+BShUPFuJtoWvedX+CtxvqN4574n2:1pIiRWto0e8qxSh2

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12d8
timedatestamp.....: 0x4b7fd55f (Sat Feb 20 12:28:15 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5d70 0x5e00 6.29 0a37af733b3cee5b2dffcc479d365393
.rdata 0x7000 0x16e9 0x1800 5.06 211894e0d55a9d605e6e56c3c3348ab2
.data 0x9000 0x578 0x400 2.93 d366260d82a03ea9eecaeeaf113592c5
.reloc 0xa000 0xb3e 0xc00 5.83 de1b7b1d918afb600de7754b9b047417

( 5 imports )
> ntdll.dll: memset, ZwOpenProcess, ZwClose, ZwQueryInformationToken, memcmp, memcpy, ZwOpenProcessToken, RtlUnwind, NtQueryVirtualMemory
> SHLWAPI.dll: StrChrA, StrStrIW, StrRChrA, StrStrIA
> KERNEL32.dll: CloseHandle, LocalFree, ResumeThread, CreateThread, SetEvent, HeapDestroy, HeapCreate, lstrlenA, HeapAlloc, SetWaitableTimer, HeapFree, LeaveCriticalSection, lstrcatA, FindFirstFileA, lstrcmpiA, RemoveDirectoryA, EnterCriticalSection, LocalAlloc, WaitForMultipleObjects, FindNextFileA, CreateMutexA, ReleaseMutex, CreateWaitableTimerA, DeleteFileA, lstrcpyA, GetModuleHandleA, CreateFileA, lstrcpynA, GlobalLock, WriteFile, lstrlenW, GlobalUnlock, lstrcpyW, LoadLibraryExW, SetLastError, lstrcmpW, HeapReAlloc, WaitForSingleObject, OpenProcess, CreateEventA, Process32First, GetProcAddress, ResetEvent, Process32Next, CreateToolhelp32Snapshot, GetCurrentProcessId, GetTempPathA, FreeLibrary, InterlockedExchange, LoadLibraryA, RaiseException, GetLastError, CreateProcessA, Sleep, GetCurrentProcess, CreateProcessW, VirtualAllocEx, GetModuleFileNameA, WriteProcessMemory, VirtualProtect, SwitchToThread, TerminateThread, InitializeCriticalSection, CreateRemoteThread, GetVersion, GetTickCount
> ADVAPI32.dll: ConvertStringSecurityDescriptorToSecurityDescriptorA, AdjustTokenPrivileges, RegDeleteValueA, LookupPrivilegeValueA, RegDeleteKeyA, OpenProcessToken, RegEnumValueA, RegCloseKey, RegOpenKeyA, RegCreateKeyA, RegQueryValueExA, RegSetValueExA, CreateProcessAsUserW, CreateProcessAsUserA
> PSAPI.DLL: GetModuleFileNameExA, EnumProcessModules

( 2 exports )
CreateProcessNotify, DllEntryPoint

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=43BCC63B00B838D28A60005880949D003C8E7E30' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=43BCC63B00B838D28A60005880949D003C8E7E30</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Zitat:

Zitat von TXL (Beitrag 506984)

Welches ist jetzt die msconfig32.exe und welches die conilder.dll?

Kommst du in den Taskmanager? (Strg + Shift + Esc)
Findest du dort eine msconfig32.exe?

Im Taskmanager unter Prozesse?....Nein finde ich nicht!

Ok, bitte einen Scan mit GMER machen.

Evtl. müssen wir das System komplett neu aufsetzen... Aber mal sehen, was GMER sagt.

mfg,TXL

Gmer...läuft gerade am Rechner durch.
Virenprogramm mußte ich nicht ausschalten, die gehen eh nicht :mad:
Ich kann noch nicht einmal eine Datnsicherung mehr machen.

Wenn Gmer durch ist, dann schreib ich es hier rein.....

Danke auch an dich, daß du mir hilfst.....ohne dich wäre ich aufgeschmissen und würde meinen Rechner :killpc:

Da kommt jetzt ein zweites mal....
GMER has found system modification, which might have been caused by ROOTKIT activity

Es gibt aber kein No...es gibt nur ein Ok...oder soll ich es mit dem X schließen?

OK und weiter laufen lassen

Jetzt bekomm ich die Meldung

GMER has found system modification caused by ROOTKIT activity.

Ich hab aber alle Programme geschlossen und den Virenscanner kann ich eh nicht schießen, der ist schon seit ich Probleme habe geschlossen.

es sind drei Zeilen rot makiert...am Anfang vom Scan

Module \systemroot\system32\drivers\_VOIDekjhikvtgy.sys(***hidden***)8CF36000-8CF54000(122880 bytes)
Service C:\Windows\system32\drivers\_VOIDekjhikvtgy.sys(***hidden***)(System)_VOIDd.sys

und dann nach der zweiten Warnung

File C:\Windows\system32\drivers\_VOIDekjhikvtgy.sys 42496 bytes excutable

Kann dann nur noch ok klicken.....dann läuft der San aber nicht weiter.....was muß ich machen?

Zitat:

Zitat von sunda (Beitrag 506996)

Im Taskmanager unter Prozesse?....Nein finde ich nicht!

Hab nochmal den Pc ein bißchen durchstöbert
Ich finde im CCleaner (Autostart).....msconfig32.exe

Ich hab vergessen die Windows Firewall aus zu machen....
jetzt scan ich nochmal mit gmer

*reinhüpf*

@TXL

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510

Wenn ich das richtig sehe war die Datenbank veraltet.
Lass ihn nochmal mit MBAM scannen eventuell;)

@sunda
Rootkits sind nicht so gut. Info
Aber TXL wird dir helfen.

*raushüpf*
.keNNy#

Hab gmer nochmal laufen laßen....aber wieder die gleiche Warnung
dann hab ich mit ok bestätigt und auf copy geklickt dann kam...

Text was copied to the clipboard
Paste the output your favourite editor (ie notepad) using Ctrl+V keys

Was muß ich machen????
Ich weiß nicht, wo ich bei Vista das Log finde???

Zitat:

Zitat von sunda (Beitrag 507181)

Einfach einen Editor öffnen und Strg+V einfügen.
Wenn das nicht funktioniert, musst du wsl. noch mal scannen :killpc:

Zitat:

Zitat von TXL (Beitrag 507290)

Einfach einen Editor öffnen und Strg+V einfügen.
Wenn das nicht funktioniert, musst du wsl. noch mal scannen :killpc:

Ich hab jetzt schon drei mal gescannt, der läuft nicht durch bis zum Schluß.
Da kommt immer die Warnung
Ich kann nur so Bilder kopieren...bringt dir das was?

http://www.bilder-hochladen.net/files/eean-1.jpg

Jetzt bekomm ich auch noch mehr Fehlermeldungen..

http://www.bilder-hochladen.net/files/eean-2.jpg
Und der Netzwerksicherheitsschlüssel hat sich in luft aufgelöst...ich trau mich aber nicht ihn neu einzugeben...oder kann da nix passieren?

Bin zur Zeit mit einem anderen PC online...und der andere ist :killpc::headbang: