Trojaner versteckt sich in Temporäre Internetfiles

    Liebe Leute,
    heute habe ich mir einen Trojaner gefangen, der, wie mein Panda Titanium meldet in den temporay Internet files sitzt.
    Ich habe das XP-Proffessional Betriebs-System.


    Ein alternativer Viren-Check onlie bei Symantec brachte keine Ergebnisse, diese Firma findet/kennt diesen Trojaner nicht.


    Wenn ich auf den Icon (temoraray Internetfiles) mit der rechten Maustase drücke heißt es unter Eigenschaften = X Dateien, X Ordner, 660.000 bytes aif der Festplatte - wenn ich den Ordner öffne - ist er leer.


    Wie kann ich diese Dateien sichtbar machen ?


    Der Trojaner hat den Namen = Trj/Downloader.WT und die Datei nennt sich = content.ie5\ozif97m3\ied_s7m_59 (1). cab (ied.exe)


    Ich habe versucht den Explorer Cache zu löschen, die Datei bleiben aber auf der Platte.
    Das scheint ein echtes XP Problem zu sein, ein Bekannter den ich übers Telefon fragte, meinte, mit Win95/98/2000 könnte man das ganz leicht löschen aber bei XP wusste er nicht weiter.


    Könnt ihr mir helfen ?
    Oder einen Tipp geben ?


    Verseuchte Zeiten - Grüße, El Bavaro

    Hi,
    schau mal in die Ordneroptionen und stell ein das dir alles angezeigt wird auch System-, geschützte und versteckte Dateien und Ordner.
    Cache löschen? Du solltest besser die Temporary Internet Files löschen.
    Rechtsklick auf Icon Temporary Internet Files? Meinst du in den Internetoptionen? Wüßte nicht das da mit Rechtsklick außer der Direkthilfe irgendwas angezeigt wird. Aber löschen kann man dort. Eventuell verhindert aber dein Antivirusprogramm den Zugriff auf die Datei dann mußt du den Virenschutz vorm löschen der Dateien deaktivieren.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Also ...


    In den Ordneroptionen ist aktiviert =
    Versteckte Dateien und Ordner =
    Alle Dateien und Ordner anzeigen


    In den Ordneroptionen ist deaktiviert =
    Geschützte Systemdateien ausblenden (empfohlen)


    Dann drücke ich auf START - auf Arbeitsplatz – auf lokaler Datenträger –
    Auf Dokumente und Einstellungen – auf Klaus – auf lokale Einstellungen -


    Auf temporary Internetfiles und dort sehe ich nichts.


    Der Ordner ist leer.


    Ich schließe diesen Ordner, drücke auf den Icon (gelbe Mappe ) dieses Ordners mit Namen „Temporary Internetfiles“ mit der rechten Maustaste -ein graues Fenster öffnet sich – ganz unten auf „Eigenschaften“ - draufdrücken und da steht dann =


    Größe = 697 kb - 7 Dateien – 5 Ordner.

    Wie bekomme ich diese 7 Dateien und 5 Ordner zu sehen?


    Jedes mal wenn ich online gehe, meldet Anti-Virus, dass ein Zugriff auf den Trojaner verhindert wird und das gleiche geschieht, wenn ich mich abmelde.


    Okay, dieser Trojaner ist ziemlich neu, es gibt Ihn erst seit dem 21. 10. und er ist wohl nicht so gefährlich. Antivirus kann den Trojaner nicht desinfizieren, aber blockt den Zugriff darauf von außen ab.


    Das Problem ist, warum sind diese 7 Dateien und 5 Ordner vorhanden und nicht sichtbar ?


    Verseuchte Welt, das. Grüße, El Bávaro.

    Hm, du hast die Option "Inhalte von Systemordnern anzeigen" in den Ordneroptionen vergessen. Allerdings müßtest du trotzdem den Inhalt des Temp.InternetFiles-Ordners sehen können. Komisch, fällt mir auch wenig dazu ein.
    Ein TrojanDownloader ist gefährlich denn er lädt Schädlinge aus dem Internet nach. Das die Datei nicht desinfiziert werden kann ist klar, die Datei ist der Schädling. Allerdings müßte man die Datei mit Panda löschen oder in Quarantäne verschieben können oder bietet Panda diese Option nicht?


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Hm, du hast die Option "Inhalte von Systemordnern anzeigen" in den Ordneroptionen vergessen. Allerdings müßtest du trotzdem den Inhalt des Temp.InternetFiles-Ordners sehen können.



    Ja, ich habe vergessen, es auf zu schreiben, aber diese Option ist auch aktiviert. Der Trojaner hat sich schreibgeschützt nehme ich mal an. Ich war auch in DOS und habe dort die Rettungsdisketten von Panda benutzt.
    Der Trojaner wurde erkannt - mehr nicht.
    Gibt es eine Start-Boot-Diskette für XP - dann könnte man eventuell über diese Ebene auf die Dateien zugreifen ?
    Ich glaube, XP macht die Dateien unsichtbar um Sie zu schützen ?


    Danke für Deine Hilfe, vielleicht weiß ja noch jemand Rat ?


    Gruß, El B´´avaro.

    Wenn du zitieren willst nutze bitte den "Zitat"-Button unten rechts im Post. Und nicht vergessen - Fullquotes sind nicht sinnvoll. Das nur so am Rande.

    Zitat von elbavaro

    Gibt es eine Start-Boot-Diskette für XP

    Schau mal in uneren Downloadbereich.


    Tja, den Windows-Dateischutz hast du ja abgeschaltet deshalb müßtest du eigentlich alles sehen können. Auch schreibgeschützte Dateien müßte man löschen können. Hast es schon im abgesicherten Modus versucht? Irgendwas paßt da bei dir nicht, mit Panda sollte man auch mit den Rettungsdisketten die gefundenen Schädlinge verschieben und löschen können( sagt jedenfalls Google). Mach mal nen Onlinevirenscan( http://de.trendmicro-europe.co…roducts/housecall_pre.php mit dem IE und eingeschaltetem ActiveX), vielleicht kann Trendmicro den Downloader löschen.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    hallo elbavaro,


    ziehe dir mal den freecommander aus dem netz. das wird dir, wenn du schon
    unter dos gearbeitet hast bekannt vorkommen. damit kannst du dann
    alles ansehen und löschen, was du willst. dem programm ist es egal, ob
    schreibgeschützt oder so.


    mfg Wusel

    --- ALLEN EINEN GUTEN RUTSCH INS JAHR 2005 ---
    P4 2.6Ghz - 256Mb - 80GB Festp.
    Gforce 4 Ti 42xx
    win-xp sp1
    DL9UNF - LOC: JO52AR - DOK: Y43

    gehe auf systemsteuerung system systemwiederherstellung deaktivieren rechner runterfahren auf f8 drücken im abgesicherten modus starten dann das suchprogramm aufrufen gebe ied.exe ein löschen auch die übergordneten dateien dann wieder neustart system wiederherstellung aktivieren neustart dann müsste es weg sein laut meiner erfahrung TESTEN

    Ein Viren-Scan bei TREND MICRO hat nicht geklappt.
    Ich habe es mit dem AOL-Browser, mit IE. 6 und Netscape .7 probiert,
    die Fehlermeldung war immer gleich = ich würde die Zertfikate nicht zulassen, dabei sind diese nie angezeigt worden.


    Mit dem CD-Brenn-Programm Nero konnte ich immerhin alle Dateien im Ordner Tenpory Internet Files sehen, natürlich nicht löschen, aber ich konnte mir jetzt den Namen der Datei notieren.


    Free Commander zeigt nicht den Ordner „Lokale Einstellungen“ an, jedoch konnte, da ich ja jetzt den Namen der Datei wusste, diese gesucht, gefunden und gelöscht werden.


    Jetzt sitzt die Datei, 10 kb groß, ein WinZip File, im Papierkorb und jeder Löschversuch schlägt fehl. Zugriff wird verweigert. Andere WinZip Files die ich heute von der Platte gelöscht habe, konnten per Mausklich ohne Probleme aus dem Papierkorb gelöscht werden.
    Aber DIE mit dem Trojaner drin, die lässt such nicht entfernen.


    Immerhin ist Sie jetzt greifbarer als vorher.


    Ich frage mich, ob es etwas nutzt, die Systemwiederherstellung zu deaktivieren ?
    Wie erwähnt, andere WinZip File lassen sich ja löschen.


    Gruß, El Bávaro

    Hast du ActiveX aktiviert wenn du den Onlinescan aufrufst( Internetoptionen/ Reiter Sicherheit/ Stufe anpassen, die einzelnen ActiveX-Punkte auf Eingabeaufforderung)? Der IE reicht, weiß nicht ob die anderen Browser überhaupt ActiveX unterstützen.

    Zitat von elbavaro

    Ich frage mich, ob es etwas nutzt, die Systemwiederherstellung zu deaktivieren ?

    Ich denke nicht aber du kannst es ja ausprobieren. Blöd ist nur das dann deine alten Wiederhstellungspunkte weg sind.
    Könnte es sein das Panda den Löschzugriff nicht erlaubt? Deaktivier mal den Scanner und versuch dann zu löschen.
    Wie lautet denn die genaue Fehlermeldung, nur "Zugriff verweigert"? Du könntest es im abgesicherten Modus zu löschen versuchen, du könntest dir auch "Who Lock Me" aus unserem Downloadbereich runterladen und nachschauen was die Datei blockiert.
    Irgendwas stimmt bei dir trotzdem nicht glaub ich, mach mal unseren Sicherheitscheck( http://www.xp-tipps-tricks.de/PNphpBB2-viewtopic-t-4525.html ) und poste auch mal ein HijackThis-Log.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Hallo und Danke, dass Du mir weiterhin hilfst.


    Du hast geschrieben =
    „Hast du ActiveX aktiviert wenn du den Onlinescan aufrufst( Internetoptionen/ Reiter Sicherheit/ Stufe anpassen, die einzelnen ActiveX-Punkte auf Eingabeaufforderung)?“


    In den Internetoption war die einzelnen Active-X Punkte zu Teil aktiviert und zum Teil deaktiviert. Ich habe jetzt diese Punkte auf „Eingabeaufforderung“ umgestellt.
    Kann man diese Einstellungen so lassen ?
    Gibt es eine Liste, wie man die Sicherheits-Optionen optimal eingestellt haben sollte ?



    Du hast geschrieben =
    „Wie lautet denn die genaue Fehlermeldung, nur "Zugriff verweigert"?“



    Das Fenster welches sich beim Löschversuch öffnet, enthält den folgenden Text.
    „Fehler beim Löschen der Datei oder des Ordners“ steht in der Überschrift des Fensters.


    Der Text lautet = Dc43 kann nicht gelöscht werden: Der Zugriff wurde verweigert.
    Stellen Sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird.



    Du hast geschrieben =
    „du könntest dir auch "Who Lock Me" aus unserem Downloadbereich runterladen und nachschauen was die Datei blockiert.“


    Ich habe es probiert,
    ich bin in den Downloadbereich und da ist so viel zum Herunterladen.
    Uff, ich habe gesucht, aber nichts gefunden.
    Dann habe ich auf der Seite vom Downloadbereich die Suchfunktion genutzt und eingegeben = Who Lock Me – und es wurde nichts gefunden. Kein Treffer.
    Kannst Du es mir etwas genauer schreiben, wo ich das Who Lock Me finden kann ?



    Ich habe gerade „Hijack this“ herunter geladen und geöffnet.


    Hier das Ergebnis =


    Logfile of HijackThis v1.98.2
    Scan saved at 23:53:11, on 23.10.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\cisvc.exe
    C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
    C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    C:\Programme\QuickTime\qttask.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\Programme\Panda Software\Panda Antivirus Titanium\Apvxdwin.exe
    C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\Microsoft Office\Office\WINWORD.EXE
    C:\PROGRA~1\Netscape\Netscape\Netscp.exe
    C:\PROGRA~1\WinZip\winzip32.exe
    C:\DOKUME~1\klaus\LOKALE~1\Temp\HijackThis.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://de.my.yahoo.com/p/d.html
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {AF55FAF3-D17C-4F10-B463-51E99F149AA7} - C:\WINDOWS\System32\lan.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
    O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/s…ontent/vc/bin/AvSniff.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.micros…eb_site.cab?1093645598390
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s…tent/common/bin/cabsa.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab



    Kannst Du damit was anfangen ?



    Letzter Schritt =
    Ich habe die Fire-Wall (Zone-Alarm) und den Viren-Scanner (Panda Titanium) deaktiviert und dann
    konnte ich den Trojaner aus dem Papierkorb löschen.


    Eine gleich darauf durchgeführter Viren-Scan der Festplatte ergab jetzt keinen Befund –
    der Trojaner hat (wohl) den Rechner verlassen.


    Interessant und lehrreich zu sehen, wie das Betriebs-System Zugriffe auf Dateien verhindert und wie ein Anti-Viren-Programm das Löschen einen Trojaners erfolgreich verhindert.


    Gibt es etwas besseres als Panda ? Aber nicht teurer als ca. 20 EUR. Die Panda Lizenz erlischt am 12. November und ich überlege, ob ich 20 EUR für die Verlängerung zahlen soll oder nicht.


    Ich bin interessiert, ob das Log file irgend etwas enthält, was eventuell noch falsch ist.


    Vielen Dank für die Hilfe an Alle die hier geschrieben haben.


    El Bávaro

    Zu ActiveX - die Punkte mit unsignierten oder unsicheren ActiveX-Controls sollten auf deaktiviert stehen, die anderen hab ich der Sicherheit wegen auf Eingabeaufforderung. Wer aber viel mit dem IE surft wird sich bald an den vielen Meldungen bezüglich ActiveX stören, besser und sicherer als der IE( der AOL-Browser basiert übrigens auch auf dem IE) sind Opera, Mozilla oder Firefox. Diese Browser unterstützen kein ActiveX daher gibts da auch keine Meldungen diesbezüglich. Die Entwicklung von Netscape verfolge ich nicht daher kann ich zu seiner Sicherheit nichts sagen.
    Jedenfalls - wenn du ActiveX auf der Onlinescan-Seite erlaubst sollte der Scan funktionieren( dazu wird ein ActiveX-Control installiert, laut deinem Log hast du mal auf Symantec's Seite gescannt oder Norton draufgehabt). Verstehe nicht warum das jetzt nicht geht.
    Who Lock Me gibts hier: http://www.xp-tipps-tricks.de/displayarticle282.html
    Du wirst lachen - ich habs selber nicht gefunden, erst Google hats ans Licht gebracht*grins*.
    Schön das das böse Dingelchen jetzt weg ist.
    In deinem Hijack-Log kann ich nix verdächtiges entdecken, nur ein paar imho überflüssige Einträge im Autostart die aber nicht weiter wild sind.
    Panda ist nicht der schlechteste Scanner, ich selbst favorisiere aber das AVK von GData, kostet ca. 40 Euro, wenn du über die Preissuchmaschinen gehst gibts das bestimmt auch was billiger. Hier mal ein seriöser Test verschiedener Virenscanner: http://www.rokop-security.de/main/article.php?sid=693


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!