Trojaner eingefangen

G

Gaby33

Mitglied
Hallo Community

Spyware doctor meldete mir den Trojaner "Trojan-Downloader.Agent.DUJ, infizierte Datei: "C users Gaby33 Appdata Roaming Microsoft Windows Start Menu Programs Video.url"

Also 1. konnte mir Spyware doctor diesen nicht entfernen und 2. finde ich den Pfad nicht, also bis "users Gaby33", danach finde ich kein Wort mit "Appdata" usw.

Habe W. Vista, Norton Int. Security.

Ich finde auch nirgends im Web diesen DUJ, sämtliche andere Trojaner doch über diesen gibts auch bei z.b. Kaspersky keine Beschreibung.

Was ist zu tun? PS: Bin Anfängerin.

Danke und Gruss Gaby33
 
sergey

sergey

Stammgast
Hey,
hast du die Ordneransicht geändert?

Unter Extras/Ordneroptionen kannst du in der Registerkarte Ansicht / Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen wählen. Dann solltest du mit grösster Wahrscheinlichkeit auch diesen Ordner sehen.

Was den Trojaner betrifft, habe ich hier eine Beschreibung gefunden:

http://www.pctools.com/de/mrc/infections/id/Trojan-Downloader.Agent.DUJ

Dazu noch die Risikostufen auf der Webseite:

http://www.pctools.com/de/mrc/threatlevels/

Dieser Trojaner wurde als Hoch eingestuft, will heissen, er kann dir die Kontrolle über dein System wegnehmen.

Unter anderem sind zwei Punkte die stören:
  • Weiterleitung empfindlicher Daten an andere Server
  • Automatische Wiederinstallation nach De-Installation
Hätte ich fast vergessen:
pctools.com schrieb:
Trojan-Downloader.Agent.DUJ is a threat that attempts to download and connect from certain websites other malicious files. It also changes the internet browser main page.
Zum Vergrößern anklicken....

Auf gut Deutsch: Dieser Trojaner verbindet sich ohne zu fragen mit anderen Websites und lädt von dort weiteres schädliches Material herunter, zudem ändert er die Startseite des Internet Browsers.

Ich würde eine Neuinstallation des Systems empfehlen, da Trojaner erstens nicht leicht zu entfernen sind, und zweitens das System jetzt infiziert.

Gruss

sergey
 
Zuletzt bearbeitet:
G

Gaby33

Mitglied
Hey Sergey, vielen Dank!!


sergey schrieb:
Unter Extras/Ordneroptionen kannst du in der Registerkarte Ansicht / Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen wählen. Dann solltest du mit grösster Wahrscheinlichkeit auch diesen Ordner sehen.
Zum Vergrößern anklicken....

Genau das hab ich getan, dann suchte ich im Stamm, und fand das Teil. Ich habe es einfach in den Papierkorb gelöscht, dann einen neuen Scan gemacht mit Spyware Doctor - und weg isser.

Ich hoffe, er ist nun ganz von der Festplatte gelöscht, wenn das so einfach geht...?

Gruss Gaby
 
sergey

sergey

Stammgast
Gaby33 schrieb:
Ich hoffe, er ist nun ganz von der Festplatte gelöscht, wenn das so einfach geht...?
Zum Vergrößern anklicken....

Ich würde in vielleicht einer bis zwei Wochen noch einmal einen Check durchführen, um zu sehen ob sich dieses Teil wieder eingenistet hat.

Falls dies nicht der Fall ist, wurde der Trojaner durch das löschen entfernt.

Gruss

sergey
 
Swisstreasure

Swisstreasure

Stammgast
Führe trotzdem noch folgendes aus:


1. mache Combofix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.



2.Erstelle ein Hijackthis-Logfile

Download: http://www.trendsecure.com/portal/en...HiJackThis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
 
G

Gaby33

Mitglied
@Swisstreasure

Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilities\VolControl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\DINKEL~1\AppData\Local\Temp\Rar$EX00.928\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsi.de/av/vb/gpcoder.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvSvc] "RUNDLL32.EXE" C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [topi] "C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" -startup
O4 - HKLM\..\Run: [TPwrMain] "C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE"
O4 - HKLM\..\Run: [HSON] "C:\Program Files\TOSHIBA\TBS\HSON.exe"
O4 - HKLM\..\Run: [00TCrdMain] "C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Toshiba Registration] "C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [Sidebar] "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 
G

Gaby33

Mitglied
Nachtrag @Swisstreasure

(hatte angeblich zu viele Zeichen in der vorherigen Antwort, konnte deshalb nur das aktuelle Logfile reinposten)

Herzlichen Dank für Eure Mühe. @ Sergej: werde natürlich einen weiteren Scan in 1 bis 2 Wochen machen, Danke!

Combofix:

Hab ihn auf den DT gespeichert, gestartet, und auf dem geöffneten Fenster steht:

Bitte warten bla bla, und auf der nächsten Zeile steht: "Out of Memory", habe 10 Minuten gewartet, nix geht. Aber ev. kannst Du mit meinem HJT File was anfangen...

Gruss Gaby
 
Swisstreasure

Swisstreasure

Stammgast
@Gaby

Logfile sieht sauber aus
Bist du Ebay-User?


Combofix funktioniert nicht....

Download FixPolicies.exe (http://www.virus-protect.org/exxe/FixPolicies.exe) und speichere es auf den Desktop!
Doppelklick FixPolicies.exe um es zu entpacken.
Klicke: Install
Auf dein Desktop steht jetzt ein Ordner FixPolicies
Öffne diesen Ordner und doppelklick Fix_Policies.cmd
Ein schwarzes Fenster wird öffnen und sofort wieder schliessen (ist normal)
Und versuche ComboFix nochmal

Gruss Swiss
 
G

Gaby33

Mitglied
@Swisstreasure

danke fürs Logfile bewerten! ja, hab schon ver- oder gekauft bei e-bay, jedoch schon seit einigen Monaten nicht mehr. Du meinst bestimmt wegen dem HJT Logfile extrabutton e-bay. Interessantweise erscheint der Eintrag direkt nach dem HJT Scan nicht bei 09 (sodass man ihn fixen könnte). Er erscheint nur auf dem Logfile.

Also ich habs nun genauso gemacht wie Du angegeben hast, erst entpacken auf dem deskop, dann den ordner 2 x anklicken, fix pol. cmd angeklickt, Installation auf Desktop, schwarzes Bild kommt kurz, also alles stimmt, und noch immer heisst es out of memory.

Ich gebs auf...

Gruss Gaby
 
Swisstreasure

Swisstreasure

Stammgast
@Gaby

Wieviel virtuellen Speicher und RAM hast du?

Aber wie gesagt, es sieht sauber aus und wenn alles normals läuft ist ja gut.

Gelegentlich wieder mit SPYBOOT Search scannen.

Gruss Swiss
 
G

Gaby33

Mitglied
@Swisstreasure

...meinste das?

Arbeitsspeicher (RAM) Standard : 1.024 (512 + 512) MB
Max. Erweiterbarkeit : 4.096 MB
Technologie : DDR2 RAM (533 MHz)
Festplatte Kapazität (formatiert) : 120 GB
Zertifikat : S.M.A.R.T.

Gruss Gaby (hab grad vorhin gescannt mit spyboot, ist sauber)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben