Generic.dld.akl.a80abf12 Geht Mir Auf Die Nerven - Werde Ihn Nicht Los!

L0n3St4R

Hi all,

hatte letzte Woche einen kompletten Virencheck durchgeführt und dabei 17 Viren erkannt und gelöscht. Kurze Zeit später spuckte Bitdefender Gamesafe in Intervallen von 5-15 Minuten eine Alarmmeldung aus, die besagte, das der Trojaner Generic.Dld.AKl.A80ABF12 in einer kleinen Datei gefunden und gelöscht wurde. Ärgerlich ist nur, das sich das dämliche Spielchen STÄNDIG wiederholte. Der Trojaner befand sich immer in E:\Dokumente und Einstellungen\Lone Star\Lokale Einstellungen\Temp in Form einer Datei, deren Namen aus einer Folge von 8-10 zufälliger Zahlen bestand und eine .exe war. Zusätzlich befabd sich dort die Datei lkdslkje38w3yughdf.tmp, bei der der Name jedes Mal gleich ist.

Interessant ist: obwohl Bitdefender sgat, die Datei ist gelöscht, befindet sie sich noch im Ordner, ist aber inaktiv. Nacheiniger Zeit sammelte sich da ein ganz schöner Haufen an! urios war: werder Bitdefender, noch Spybot Search and Destroy noch das Windowstool zur Entfernung schädlicher Software erkannten in diesen Dateien eine Bedrohung (Bitdefender hat die geblockten und gelöschten aber bei der Firewall als blockiert eingetragen), die ich dann aber doch löschte.

Über den nervigen Schädling kann ich bis jetzt nichts sagen, ausser:

- nach dem, was ich rausgefunden habe, steht das AKl für einen Keylogger

- immer, wenn der Trojaner auftaucht, blockiert er die Registry ("Das bearbeiten der Registrierung wurde duch den Administrator deaktiviert)" und ändert dort in "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" den Schlüssel "NoFolderOptions" auf der Wert 1, was verhindert, das bei "Extras" und in der Systemsteuerung die Ordneroptionen sichtbar werden, um zu verhindern, das der Benutzer den Kappes der Hand löscht (ich komme über den Tune Up Registry Editor rein, also nich wundern^^)

---> Inzwischen weis ich, wie ich das rückgängig mache, genau wie die Blockade der Registrierdatenbank

- der Angriff kommt immer von aussen, denn ohne I-net tut sich nix

Im Prinzip könnte man ja damit Leben, aber .... das wäre ja auch zu schön um Wahr zu sein.

Denn: in letzter Zeit erkennt Bitdefender diese Dateien nicht mehr als Schädlinge! Es wird lediglich gefragt, ob die Datei eine Verbindung ins I-net haben darf; die Datei ist dabei Aktiv (abschiessbar über Taskmanager).

Ich würde jetz gerne die Meldung posten, aber grade scheint sich nix zu tun... *grrr*

Interessant ist, das die Datei auf die Website microfive.info verbinden will. Diese ist aber auf ner Seite namens Premiumdrops.com (geht grade nicht) als nicht in Benutzung ausgewiesen, sprich, die Seite gibts nicht ("Micro Five" waren ne Pop oder Rockband oder so was, das nur am Rande)

Wenn ich den Mist nicht beenden kann, wäre es doch sicherlich eine Möglichkeit zu versuchen, den Port zu sperren, über den der Trojaner eindringt bzw. senden will (habe da mal was gelesen, das Administratoren den port-traffic ablesen können und man so manche Viren erkennen kann). Wäre das ne idee und wie mache ich das?

Ich hoffe, jamnd kann mir helfen (sinst kriege ich nen Raster und installiere Windoof neu!)

So long,

L0n3St4R

Ps.: in letzter Zeit will jedes noch so profane Programm ne Internetverbindung (Taskmanager, der Tune Up Registry Editor usw.)! Woran kann das liegen? Ist das Normal?

L0n3St4R

Ok, kaum gepostet, schon der nächste Alarm.

Die Meldung hänge ich an.

Der Inhalt der TMP-Datei ist immer anders (so wie etwa: €ÿûªÉ@4Ð,ªÉ@«7ªÉ) und ändert sich auch ständig.

Die .exe-Datei ist vom Inhalt immer identisch (ich sehe mir die mit WINRAR an).

Darin sind folgende Zeilen zu finden, die nicht verschlüsselt sind:

CreateMailslotA GlobalGetAtomNameA CloseHandle VirtualProtect CreateFileA DebugBreak GetConsoleCP GetCommandLineA FindAtomW FillConsoleOutputAttribute GetWindowsDirectoryA TransmitCommChar GetMailslotInfo CreateFileW WriteFile HeapLock FileTimeToLocalFileTime GetEnvironmentStrings LocalHandle GetNumberFormatA GetComputerNameA InitializeCriticalSection GetCurrencyFormatA ADVAPI32.DLL BackupEventLogW CryptVerifySignatureW RegisterServiceCtrlHandlerA CryptSetProvParam GetNamedSecurityInfoW ClearEventLogA ImpersonateLoggedOnUser SetServiceBits RegCreateKeyExW CryptGetKeyParam OpenBackupEventLogA OpenBackupEventLogW GetCurrentHwProfileW IsValidAcl RegLoadKeyW CryptSetProviderExW AreAllAccessesGranted LookupSecurityDescriptorPartsA SetKernelObjectSecurity TrusteeAccessToObjectW CryptGetDefaultProviderA ControlService CryptDestroyKey RegReplaceKeyA RegNotifyChangeKeyValue GetSecurityDescriptorControl CryptAcquireContextW GetPrivateObjectSecurity RegOpenKeyW GDI32.DLL DeleteDC TextOutW SaveDC DescribePixelFormat FillPath PlayMetaFileRecord CreatePolyPolygonRgn GdiPlayDCScript GetOutlineTextMetricsW SelectPalette GetTextExtentExPointA CreateFontIndirectA GetCharWidthA SetDIBits RealizePalette StartDocW AddFontResourceA TranslateCharsetInfo GetCharWidth32W

Vielleicht hilft das irgendwie.

L0n3St4R

Ich glaube, die Antwort gefunden zu haben:

http://www.threatexpert.com/report.aspx?md...a99d9ab97aa56e1

Dies stimmt mit meinem problem überein, die winlogonn.exe habe ich schon ewig vorher gelöscht. Der IMAPI-Brenndienst wurde grade von mir deaktiviert. Jetz kümmere ich mich nur noch um die Registry.

L0n3St4R

Ok, scheint funktioniert zu haben, tolle Seite.

Ganz schön bekloppt, wenn man bedenkt, das man nicht gegen nen Virus, sondern gegen sein System/seineRegistrierdatenbank kämpft.

Hat sich also erledigt.