# TR/Dldr.Keenval.1 und 2



## Kölsche.Jung (21 Juni 2004)

Hallo zusammen,

ich habe seit Samstag mit dem Trojaner TR/Dldr.Keenval.1 und TR/Dldr.Keenval.2 zu kämpfen.

Nachdem ich mein Betriebssystem (Windows XP Home Edition) am Samstag mit Antivir XP habe scannen lassen, wurde ich auf den Trojaner aufmerksam.

Anschließend habe ich ihn gelöscht, am Sonntag war dann Keenval.2 auf meinem Rechner. Erneut löschen lassen, heute erneut drauf.

Antivir meldet den Trojaner von selbst nicht, nur beim Durchsuchen. Benutze außerdem die Kerio Firewall. Ad-aware findet den Trojaner nicht.

Was kann ich dagegen machen, damit ich den Trojaner, der sich offensichtlich bei jeder neuen Inetverbindung runterlädt, entgültig los werde?

Falls es euch etwas nutzt, habe ich mit Hijackthis mein System scannen lassen:

Logfile of HijackThis v1.97.7
Scan saved at 17:05:18, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\SSK\SSK.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\a2 free\a2start.exe
C:\Dokumente und Einstellungen\Tobias Carspecken\Eigene Dateien\Downloads\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-koeln.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AvirMail] C:\Programme\AvirMail\AvirMail.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: ePrompter.lnk = C:\Programme\ePrompter\ePrompter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab


----------



## Devilfrank (21 Juni 2004)

Merkwürdig.
Die Beschreibung bei Symantec deckt sich nicht mit dem HJT-Logfile...
http://securityresponse.symantec.com/avcenter/venc/data/adware.keenval.html
Wie ich sehe, hast Du auch versucht, mit TrendMicro´s Housecall den Burschen zu finden. Kam da eine Meldung?
Wenn nicht, würde ich eher auf einen False/Positive tippen. Zumal auch SS&D nichts gefunden hat, ebensowenig wie der ebenfalls installierte Trojanerjäger a2.

Somit würde es 3:1 stehen und es wäre eher auf einen Fehlalarm zu tippen.


----------



## virenscanner (22 Juni 2004)

> Antivir meldet den Trojaner von selbst nicht, nur beim Durchsuchen.


In welcher Datei (und in welchem Pfad) findet Antivir den Trojaner?


----------



## Kölsche.Jung (22 Juni 2004)

der schädling sitzt/saß hier:

C:\SYSTEM VOLUME INFORMATION\_Restore{42BF73F5-F652-4AF5-9204-20A276A27832}\RP97

housecall hat nix gefunden, a2 hab ich nicht ganz durchlaufen lassen. habe aber im abgesicherten modus suchen lassen. nix gefunden. bei antivir wurde mir gesagt, dass der trojaner nicht aktiv war, sonst hätte antivir den schädling schon vor dem duchsuchen gefunden.

wie kann ich denn jetzt 100 prozentig sicher sein, dass der trojaner weg ist? samstag hab ich ihn löschen lassen, sonntag war die einser-version drauf, montag glaub ich wieder die zweier. ich merk ja sonst nix.


----------



## virenscanner (22 Juni 2004)

Ich vermute mal, dass der jeweilige Trojaner (Adware-Downloader) bei Dir nie aktiv war, sondern "einfach" nur "anwesend". Ich könnte mir "vorstellen", dass Du (zumindest gelegentlich) mit dem Internet Explorer surfst und eventuell eine "präparierte" Seite angewählt hattest, die Dir den Trojaner auf Dein System geladen hatte.


----------



## Kölsche.Jung (22 Juni 2004)

virenscanner schrieb:
			
		

> Ich vermute mal, dass der jeweilige Trojaner (Adware-Downloader) bei Dir nie aktiv war, sondern "einfach" nur "anwesend". Ich könnte mir "vorstellen", dass Du (zumindest gelegentlich) mit dem Internet Explorer surfst und eventuell eine "präparierte" Seite angewählt hattest, die Dir den Trojaner auf Dein System geladen hatte.



ich surfe zur hälfte inet explorer und netscape


----------



## Anonymous (30 Juni 2004)

Hallo, genau das selbe ist mir auch passiert. Bei mir saß er im Ordner : InetPal unter Windows/System32. Da ist auch ein Set up mit der Bezeichnung 
m3tsp8  dabei.
Weiß niemand mehr über diesen Schädling?


----------

