"Trojan.Win32.Monderb.gjo"

5n4k3 · 15. Oktober 2008

Hey Leute,
ich habe mir wohl heute Abend/Nacht irgendwie einen Virus eingefangen den ich mit "Kaspersky Internet Security 7.0" leider nicht desinfizieren bzw. löschen kann.

Der Virus nennt sich laut "Kaspersky Internet Security 7.0" "Trojan.Win32.Monderb.gjo" und "winlogon.exe\efcYPGvt.dll" ist wohl damit infiziert.

Ich habe keine Ahnung wie ich mir diesen Virus eingefangen hab. Ich habe meine Festplatte auch schon in ein externes Gehäuse eingebaut, die oben genannte Datei gelöscht und mit der gleichen Datei eines Freundes ausgetauscht. Ich hab dann das Virusprogramm (er hat auch "Kaspersky Internet Security 7.0") bei meinem Kollegen über den gesammten Windowsordner laufen lassen und dieses hat dort nichts mehr gefunden. Als ich jedoch die Festplatte wieder in meinem Computer eingebaut habe und anschließend den PC hochgefahren habe, war der Virus immernoch da und es hat sich nichts verändert.

Ist es noch möglich mein System zu retten? Ich habe wirklich keine Lust und Zeit mein komplettes System neu zu installieren, da auf meinem Computer viel zu viele Programme installiert und auch konfiguriert sind. Es würde einfach viel zu viel Zeit in Anspruch nehmen und deshalb würde ich gerne versuchen mein System erst einmal zu retten.

Ich konnte diesen Virus mit der Hilfe von "google.de" leider nicht beseitigen und hoffe jetzt auf Hilfe.

Vielen Dank im vorraus,
5n4k3

Anzeige

N-Sane · 15. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Trojan.Win32.Monderb.gjo

Falls du davon irgendwas nicht verstehst, frag nach.

5n4k3 · 15. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Ja, das habe ich auch schon gefunden, jedoch komme ich damit irgendwie nicht weit.

Soweit ich es verstehe soll ich die Systemwiederherstellung vorrübergehend deaktivieren, dann den Computer im abgesicherten Modus starten und weiter...?

Welche Virusdateien soll ich löschen? Ich kann die "winlogon.exe" nicht löschen.
Was soll ich denn "umbringen"? Die Anwendung im Task-Manager (falls dort überhaupt eine läuft)?
Wie kann ich denn die Registry-Einträge löschen und wie finde ich heraus welche mit dem Vorus in Verbindung waren?

Danach soll ich dann nur noch die temporären Internetdateien löschen, den Computer neustarten und das Virusprogramm laufen lassen?

Vielen Dank für deine Hilfe!

MfG,
5n4k3

R0cka · 15. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

DU hast dir ja den Text fast alleine übersetzt

Um temporäre Dateien zu löschen und Registrierungseinträge zu beseitigen kannst du CCleaner benutzen:

Download CCleaner

Ausserdem:

Gehe auf http://www.hijackthis.de/de und downloade das Programm

Lass einen Systemscan durchführen, kopiere den Log und werte ihn auf o. g. Seite aus und Lass das Programm offen!

im offenen Programm nun alle Programme die von HJT bemängelt werden fixen

anschliessend mit Kaspersky einen neuen Systemscan durchführen lassen

sollte der Trojaner weiterhin vorhandensein, würde ich dir empfehlen, das System leider neu aufzusetzen. In meiner Sig findest du auch ein Tutorial.

MFG R0cka
PS: du kannst natürlich auch den Log hier Posten und die RRler werten ihn aus

5n4k3 · 15. Oktober 2008

Vielen Dank für die Hilfe!

Ich habe HijackThis laufen und auswerten lassen, leider kam nichts nützliches dabei heraus.

Anbei poste ich die "Log-Datei".

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:11:53, on 15.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Java\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = board.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - MSN Games - Free Online Games
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201105179843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210923256453
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - MSN Games - Free Online Games
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - MSN Games - Free Online Games
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6A52CFE-6A17-4174-AE7B-D3A9516A10D0}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6151 bytes

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

MfG,
5n4k3

Achso, die einzigen drei Fehler die HijackThis erkannt hatte (zwei alte ICQ Einträge und ein alter G DATA Internet Security Eintrag), habe ich behoben. Diese Einträge haben jedoch ja leider nichts mit meinem Problem zutun.

Könnt ihr aus dieser "Log-Datei" mehr erkennen?

MfG,
5n4k3

booni · 15. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Las deine Kiste von Malwarebytes' Anti-Malware säubern ich hatte auch Probleme mit
byOXgGxW.dll, trojan.win32.monderb.shb, Win32.BZub.ffq und Kaspersky hat es nicht auf die Reihe bekommen, das Programm killt irgendwie alles, seit dem ist nichts mehr.
Danach noch ne Runde Combofix Ein Leitfaden und Tutorium zur Nutzung von ComboFix und fertig

5n4k3 · 15. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Wo finde ich "Malwarebytes' Anti-Malware"? Ist das Freeware? Ich suche gleich mal via "google.de". Okay, ich hab schon was gefunden!

Vielen Dank!

Ich werde es gleich mal in Angriff nehmen.

Ähm, was ist ComboFix für ein Programm? Das sieht ziemlich übel aus?
Muss ich das Programm danach laufen lassen?

MfG,
5n4k3

booni · 16. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Ich denke du hast schon alles gefunden.
Ja Combo ist schon "heftig" aber läuft ohne Probleme und das Programm macht ja ein Backup wenn du willst, bei mir lief bis jetzt immer alles ohne Probleme und mein Rechner ist sauber wie noch nie

Inquisito · 22. Oktober 2008

AW: "Trojan.Win32.Monderb.gjo"

Hab grade deinen Post gelesen und dachte..

"Inqui... während du jetzt die ganzen posts studierst, googelst schonmal die Trojaner Definition..."

Ich darf dier hiermit herzlichst gratulieren das du Kasperky Labs in Google überholt hast
Bei dem Suchbegriff "Trojan.Win32.Monderb.gjo" wurde dein Eintrag als erstes aufgeführt !

Take a look : Trojan.Win32.Monderb.gjo - Google-Suche

_____

Und zum eigentlichen Thema:

Im falle von "winlogon.exe" kann es sich natürlich nicht um eine schädliche Anwendung handeln.
Die einzige logische begründung warum Kasperky die "winlogon.exe" als schädlich anzeigt wäre eine "Memory Execution" (dies machen vornehmlich Trojaner um sich hinter der Anwendung zu verstecken.).

Im regelfall würde die "winlogon.exe" dann aber zweimal auftauchen....

Sehr intressant
du könntest mal zwei Tools benutzen und das ganze ein wenig beobachten.

1.) FileMon von Winzigweich.
2.) TCPView von IsUnsWayne.....

Mit FileMon kannst du jeden Lese/Schreib/Create- Vorgang für Dateien auf deinem Rechner on the Fly beobachten. (Damit kannst du dann feststellen ob eine Datei irgendwas tut.. was sie nicht tun soll... z.b. irgendwo was hinkopieren...)

Und da wir davon ausgehen können das die klassischen "Viren" (also programme die nur schaden anrichten sollen) ausgestorben sind. Hast du es mit nem Wurm oder nem Trojaner zu tun.

Die meisten Trojaner arbeiten mit Reverse Connection (das heißt nicht der Hacker kontaktiert dich , sondern dein Rechner ihn.)

TCPView
Das zeigt dir alle aus/eingehenden TCP (!!!) verbindungen an.
"winlogon.exe" .... öffnet keine TCP verbindung wenn das da drin is -> kappen.

(Damit kann man zumindest erstmal Schaden begrenzen wenn man sich den sicher ist das man wirklich was auf der HDD hat.)

PS:

Trojaner melden sich in regelmässigen abständen beim ersteller. (Die blinken manchmal nur kurz auf.)

Mfg, Inqui

Nützliche Suchen

"Trojan.Win32.Monderb.gjo"

Videos zum Themenbereich