26.04.2009, 18:53
| # 1 |
| Urgestein  Registriert seit: 04.08.2002
Beiträge: 3.354
| Hallo Leute, Spybot S&D hat bei mir schon zum zweiten Mal den vermeintlichen Trojaner "Nebuler.BHO" gefunden, und zwar in zwei Einträgen in der Reg-Datenbank: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Int ernet Explorer\Main Da waren zwei infizierte Werte drin, einmal w32id und x32ua. Nach dem ersten Mal vor ca. einer Woche dachte ich eigtl., dass das beseitigt wäre. Avira AntiVir PE und Windows Defender meldeten nach einem Komplett-Scan nichts, nur Spybot S&D hat ihn vorhin wieder entdeckt und ich habe die zwei Einträge wieder gelöscht. Dann habe ich den Internet Explorer nochmal gestartet und wieder beendet - die Werte waren wieder in der Registry drin, hab sie manuell gelöscht. Ich bin nach dieser Anleitung vorgegangen, aber bei mir existieren nur die zwei oben genannten Registry-Schlüssel, mehr nicht: Manual Removal Guide for Nebuler.BHO [Archive] - Safer Networking Forums Daraufhin eben, nach der Entfernung mit Spybot S&D, ein Scan mit Malwarebytes' Anti-Malware, 7 Funde...: Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{673dde26-cfa4-3b8e-b86e-cef987a74af3} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{673dde26-cfa4-3b8e-b86e-cef987a74af3} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{d57b211b-d134-3c13-83ef-349c15ca1d6f} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{46c8d957-be12-3b32-9ef6-847293ed93b9} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{673dde26-cfa4-3b8e-b86e-cef987a74af3} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\System32\xwr90597.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Windows\System32\wr90597.dll (Trojan.BHO) -> Quarantined and deleted successfully. Zum Schluss noch ein HijackThis-Log, erstellt NACH Malwarebytes' Anti-Malware Scan und VOR Löschung der Funde: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:41:08, on 26.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManage r.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: D - {673DDE26-CFA4-3B8E-B86E-CEF987A74AF3} - C:\Windows\system32\xwr90597.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [VistaBatterySaver] C:\Program Files\Vista Battery Saver\VistaBatterySaver.exe O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Default-Printer.vbs.lnk = Notebook\AppData\Roaming\Microsoft\Windows\Start Menu\Default-Printer.vbs O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe -- End of file - 4919 bytes Nun hab ich alle infizierten Funde von Anti-Malware gelöscht und die zwei Werte mit "BHO" bei HijckThis gelöscht. Findet ihr sonst noch etwas? Habe ich vlt. etwas vergessen? Kenne mich leider nicht großartig mit Viren/Trojaner aus...  Werbung |
 |
|
26.04.2009, 20:45
| # 2 |
| Hausmeister im Virtuellen  Registriert seit: 28.12.2006
Beiträge: 2.749
| Hi, Du unterschätzt Dich  Bisher hast Du doch gut reagiert!!O2 - BHO: D - {673DDE26-CFA4-3B8E-B86E-CEF987A74AF3} - C:\Windows\system32\xwr90597.dll Laß das doch mal entfernen, ich habe kein gutes Gefühl bei dem Ding: WR46774.DLL, Prevx Auch wenn ich die Seite mehr als nur komisch finde :idea: Beende mal über den Taskmanager alle Programme, die von Deinem Benutzer gestartet wurden (insbesondere IE). Dann lasse mal vom Hijackthis das genannte entfernen und benenne mal die dll um (vielleicht nach "xwr90597.dll.weg") --> dann Neustart. Dann nochmal Hijackthis... Grüße Grunzer
__________________ Lieber eine unsichere Freiheit als eine sichere Diktatur ! |
| |
|
26.04.2009, 21:41
| # 3 |
| Urgestein Threadstarter Registriert seit: 04.08.2002
Beiträge: 3.354
| Hallo grunzer, die Datei habe ich schon gelöscht, ist im 1. Beitrag ein wenig untergegangen Also HijackThis ist auch nach ein paar Neustarts sauber, Anti-Malware findet auch nichts mehr. Dann ist das Ding wohl (vorerst?) mal weg, werde das ganze noch eine Zeit lang im Auge behalten. Aber nach ein wenig weiterer Recherche bin ich der Meinung, dass das keine wirklich gfährlicher Trojaner waren. Mehrzahl, weil Anti-Malware ja auch "Trojan.Vundo.H" gefunden hat im ersten Durchgang. Mal sehen, was die Zeit zeigt. Hier mein jetziger HijackThis-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:39:18, on 26.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManage r.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = heute.de Nachrichten - Startseite R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [VistaBatterySaver] C:\Program Files\Vista Battery Saver\VistaBatterySaver.exe O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Default-Printer.vbs.lnk = Notebook\AppData\Roaming\Microsoft\Windows\Start Menu\Default-Printer.vbs O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe -- End of file - 4298 bytes Das Zeug dürfte ich dann wohl erst mal los sein, hoffe ich. Nicht, dass noch irgendwo eine Datei steckt, die ihn immer wieder neu installiert. |
| |
|
27.04.2009, 08:59
| # 4 |
| Hausmeister im Virtuellen Registriert seit: 28.12.2006
Beiträge: 2.749
| Sieht gut aus. Zumindest das was man sehen kann Code: O4 - Startup: Default-Printer.vbs.lnk = Notebook\AppData\Roaming\Microsoft\Windows\Start Menu\Default-Printer.vbs Weißt Du wie Du ihn eingefangen hast? Das solltest Du nach Möglichkeit noch analysieren um vielleicht eine Wiederansteckung zu verhindern... cu Grunzer
__________________ Lieber eine unsichere Freiheit als eine sichere Diktatur ! |
| |
|
27.04.2009, 20:36
| # 5 |
| Urgestein Threadstarter Registriert seit: 04.08.2002
Beiträge: 3.354
| Hallo grunzer, richtig, das Skript ist also vertrauenswürdig. BTW, wo wir schon mal dabei sind... kennst du dich vlt. zufällig mit dem Windows Task-Scheduler bzw. Aufgabenplanung aus? Ich hab das zwar im Autostart, aber das hilft mir da ja nichts, wenn der Drucker aus ist. Ich müsste das Skript mit einem Hardware-Event, wenn sich also ein Drucker online meldet, verbinden können. Aber keine Ahnung wo.Nochmal zum vermeintlichen Trojaner: Nein, leider keine Ahnung, woher der kommen könnte. Ich bin im Internet schon immer sehr vorsichtig unterwegs, war auch mein erster Trojaner/Virus und ich kanns mir rein gar nicht erklären. Danke aber so weit!  |
| |
|
27.04.2009, 22:10
| # 6 |
| Hausmeister im Virtuellen Registriert seit: 28.12.2006
Beiträge: 2.749
| Hi, Zu Deinem "Eindringling": Etwas Sorgen macht mir der Speicherort der Datei! In system32 kann man nur mit Adminrechten eine Datei ablegen. Also wo kommt die her  Wenn die Datei jetzt nur im IE Zwischenspeicher oder so herum gelegen hätte, OK das kann schon mal einfach so vorkommen... Vielleicht ist es mit irgendeinem Programm mitgekommen und einfach nur eine Falschmeldung vom Scanner? Ach ja ------ wenn man nicht immer so viele Möglichkeiten im Kopf hätte :idea: Zu Deinem Druckerthema: Mit solchen Hardwareaktionen habe ich mich bisher nicht beschäftigt. Aber mein Laptop benutze ich in der Arbeit und Zuhause. Da sind die Einstellungen ziemlich unterschiedlich: Daheim --> Dyn Adresse vom Router Arbeit --> Feste Adresse, Gateway, DNS/WINS... --> Proxy --> Netzlaufwerke Deshalb habe ich mir eine Batchdatei erstellt, die mir alle Einstellungen macht. Sie liegt im Autostart und fragt mich "Bist Du in der Arbeit oder daheim? a/d" Geb ich a ein, stellt er die richtigen Netzdaten ein (netsh), den IE Proxy (registry) und verbindet die Netzlaufwerke nicht persistent. Bei d macht er den Proxy aus und stellt wieder alle Netzeinstellungen auf automatisch. Soetwas könntest Du doch mit Deinen Druckern auch machen, oder? Ungetestet: Gruppenrichtlinien - Übersicht, FAQ und Tutorials CU Grunzer
__________________ Lieber eine unsichere Freiheit als eine sichere Diktatur ! |
| |
