Wie lösche ich am besten einen Trojaner-Downloader aus detr Registry

Hallo,
mein Virenprogramm hat gerade beim Installieren eines Programms einen Trojaner gemeldet. Ein Teil ist aber jetzt wohl doch installiert, nämlich der Trojaner-Downloader oder irgnd ein Programm, das andauernd versucht beim Start des Computers zu starten. Ich weiß das deshalb, weil ich den Startup Monitor und Startup Control Panel installiert habe. Dort habe ich das Programm auch schon deaktiviert. Trotzdem fragt der Startup Monitor mich immer, ob ich den Start des Trojanerprogramms zulassen will.
Wie lösche ich denn jetzt den Registry - Eintrag für den Trojaner?
Sorry, kenn mich da nicht so aus.
Wäre für jeden Hinweis dankbar.
MfG

 

R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMX\GMXUPL~1\DFSDrive.dll
-> Verdächtig

 

Hallo!

Probiere mal diese Tools:

Spybot

CWShredder

@franzkat
Was ist denn interessant? Kläre mich mal auf.

 

Ja, hab?schon gesehen, dass igfxtray.exe bei mir von der Intel Corporation ist. Zumindest steht das unter Eigenschaften der Anwendung. Deshalb habe ich sie lieber nicht gelöscht.
In der Registry habe ich auch keinen Eintrag mit Windows_LowLevel_Security_Core gefunden.

Da hab?ich wohl noch mal Glück gehabt.

In der Registry unter HKLM\...\Run ist auch kein Eintrag mehr von bundle.exe zu finden. Irgendwie wird das aber noch angezeigt, wenn ich das Programm Startup Control Panel aufrufe (und dort steht es unter dem Register HKLM\...\Run). Ich hab aber keine Ahnung warum. Weiß jemand, wie man das dort wegbekommt?

 

Das ist ja eine sehr interessante Seite. Habe ich mir gleich mal abgespeichert !

 

Hallo,

sei bitte so vorsichtig mit dem Löschen, wie sich cidre ausgedrückt hat (..."deutet auf einen Trojaner hin"). Meines Erachtens könnte es auch ein System-Prozess sein:

http://www.liutilities.com/products/wintaskspro/processlibrary/igfxtray/

 

Wow, ich hätte nicht gedacht, dass igfxtray.exe ein Trojaner ist. Die Datei habe ich aber glaube ich schon länger auf meinem Notebook. Ich werde den Eintrag mal löschen und hoffe, dass dann noch alles funktioniert.
Vielen Dank für den Hinweis.:

 

@ FT74

Diese igfxtray.exe deutet vielleicht auf einen Trojaner hin.

Die Trellian Toolbar ist i.O., du kannst sie aber trotzdem fixen, wenn du sie nicht mehr benötigst.

@ bond7

Process File: hkcmd or hkcmd.exe
Process Name: Hkcmd
Description: Application that implements the Intel Hotkey command.
Company: Intel Corporation
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

 

@FT74
O3 - Toolbar: Trellian Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\ToolBar\toolbar.dll
das sieht mir "unecht" und daher gefährlich aus
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
zu welcher anwendung gehört das tastatur-aufzeichnung-tool ?

 

Re: Systemwiederherstellung

Nein, das siehst Du falsch, afaik macht die Systemwiederherstellung das (d.h. das Wiederherstellen von gelöschten Systemdateien) automatisch, ohne Dich zu fragen und ohne daß Du das mitbekommst.

MfG
Vimes

(Geändert, da vorher mißverständlich formuliert)

P.S.: Für mich sieht Dein Logfile sauber aus.

 

Also gut, dann poste ich mal die Logdatei von HijackThis. Ich konnte nichts verdächtiges entdecken oder ist jemand anderer Meinung?

Logfile of HijackThis v1.97.7
Scan saved at 23:53:52, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Buhl\PCFIRE~1.0\sfw.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Steganos AntiDialer 6\guard.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Frank\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pcwelt.de/
R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMX\GMXUPL~1\DFSDrive.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Trellian Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\ToolBar\toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Secuties Personal Firewall] C:\Programme\Buhl\PC Firewall 2.0\sfw.exe /waitservice
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steganos AntiDialer 6] "C:\Programme\Steganos AntiDialer 6\guard.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.2079861111
O17 - HKLM\System\CCS\Services\Tcpip\..\{91F16AB9-ED98-4586-A4B0-3C01E5CB83A7}: NameServer = 192.168.120.252,192.168.120.253


Ich wollte ja eigentlich nicht mein ganzes System wieder neu installieren, wenn es nicht sein muss.

@ Vimes: Sehe ich das richtig, dass das mit der Systemwiederherstellung nur dann ein Problem ist, wenn ich sie betätige, d. h. das System wiederherstellen will?

 

Wenn "bundle.exe" im startup auftaucht, ist logischerweise auch noch nicht die Malware eliminiert:

http://www.liutilities.com/products/wintaskspro/processlibrary/bundle/

Du kannst einfach die Datei löschen, die normalerweise in C:\Dokumente und Einstellungen\( Benutzername)\Lokale Einstellungen\Temp sitzt.

Aber das ist nur eine scheinbare Lösung. Nach meiner Meinung kommt es weniger darauf an, dass du nicht weißt, was sonst noch so an schädlichen Programmen auf deiner Platte ist . (Das wissen wir strenggenommen alle nicht) Vielmehr weißt du nicht, was die Malware mit deinem System angestellt hat.

 

@ FT74

mmk hat natürlich recht, das dein System nicht mehr vertrauenswürdig ist und du daher besser neuaufsetzen solltest.

Die bundle.exe gehört auch zu SahAgent.
Solange du keine Log Datei postest, kann man dir nur schlecht helfen.

Wenn dein System mit einem Virus infiziert ist, kann es sein, dass der Virus durch die Systemwiederherstellung gesichert wird. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass du eine mit einem Virus infizierte Datei versehentlich wiederherstellst.

 

Das hilft streng genommen nicht beim Löschen. Wenn Du aber aus dem Systemordner eine Systemdatei löschst, dann haut Dir die Systemwiederherstellung das automatisch wieder drauf. In diesem Falle die Malware, weil Windows das natürlich nicht wissen kann, daß das ein unerwünschtes Programm ist.

Ansonsten stimme ich meinem Vorredner zu -- ist ein System einmal erkennbar befallen, weiß man nie, was da noch für'n Zeug drauf rumwurmt und -virt. Besser alles platt machen und neu aufsetzen.

MfG
Vimes

 

Da hilft nur eines:
http://oschad.de/wiki/index.php/Kompromittierung

 

Danke für den Hinweis mit dem Patch.
Bis jetzt geht aber meine Internetverbindung noch. Ich hatte von dem Problem auch schon gelesen, aber vielleicht liegt es daran, dass ich noch versucht habe die Installation des verseuchten Programms abzubrechen. Anschließend habe ich mit einem Installationsüberwachungsprogramm versucht, die installierten Komponenten zu entfernen. Vielleicht hat das ja auch geholfen, weiteren Schaden zu vermeiden. Allerdings konnte ich nicht alle Dateien der Spyware entfernen und habe dann Adaware verwendet.
Powermule habe ich übrigens nicht. Ich wollte mir gestern einen Bildschirmschoner aus dem Internet runterladen und der war verseucht.

HijackThis habe ich bis jetzt noch nicht verfwendet. Bin mir auch ganz sicher, dass ich alles wieder entfernt habe, bis auf die Sache mit bundle.exe als Eintrag im Startup.

Warum soll denn das Deaktivieren der Systemwiederherstellung beim Löschen helfen? Das würde mich interessieren.

 

Hallo FT74,

SahAgent ist Spyware. Hast du eventuell Powermule installiert, den diese Version hat den SahAgent onBoard.
Löschen kannst du SahAgent mit Ad-Aware.Es gibt aber ein Problem: Sobald das Spytool erkannt und entfernt wird, kannst du wahrscheinlich keine Internetverbindung mehr aufbauen.

Um dieses Problem wiederum zu beheben, gibt es folgenden englischsprachigen Patch (Quelle: http://cexx.org/lspfix.htm):
http://cexx.org/lspfix.zip
Zip-Datei entpacken und dann die lsp.exe starten.
Dann nur noch auf Finish klicken, und das Problem sollte gelöst sein.

Hinweise:
-Bei LSP nicht den Haken bei "I know what I do" setzen!


Process File: sahagent or sahagent.exe
Process Name: Sahagent
Description: Application that collects and combines user Internet browsing behavior and sends it to ShopAtHomeSelect servers.
Company: ShopAtHomeSelect.com
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
Common Errors: N/A

Bundle.exe

Systemwiederherstellung abschalten, dann kannst du sie löschen

Ps
Poste die Log Datei von Hijackthis

 

Hab?inzwischen mal ein bischen recherchiert und herausgefunden, dass die genannten Programme Spyware sind. Ich habe sie inzwischen mit Adaware beseitigen können.
Ich musste also Hijack This gar nicht verwenden.
Trotzdem erscheint jetzt immer noch der Eintrag "bundle.exe" , wenn ich das Startup Control Panel aufrufe. Da muss wohl noch ein Registry-Eintrag da sein, oder?

 

probiers über linux (knoppix) oder im abgesicherten modus mit der doskonsole

 

Danke erstmal.
Ich hoffe, ich werde dann kapieren, wie ich das Programm verwende.

Ich hab?jetzt aber noch ein anderes Problem:

Durch den Trojaner hat sich jetzt bei mir ein Programm mit dem Namen "sahagent1020.exe" unter Windows\System32 festgesetzt. (Sogar mit kleinem Pferd als Icon) Wenn ich es löschen will, erscheint die Meldung: Die Datei kann nicht gelöscht werden, weil sie von jemand anderem verwendet wird (oder so ähnlich). Bei `ner anderen Datei mit dem Namen "bundle.exe" erscheint die Mitteilung, dass sie nicht gelöscht werden kann, weil sie entweder voll oder schreibgeschützt ist.

kann ich die Dateien auch von Hand löschen und wenn ja, wie?