Hallo liebe Trojaner Jäger....

Ich hab mir doch tatsächlich gestern Abend einen Trojaner eingefangen.
Es scheint ein Bifrose gewesen zu sein, den ich aber ohne einen Neustart wieder mit Malwarebytes entfernen konnte. Malwarebyte hat dann auch noch irgendwas mit "Passwort" gefunden. Dies war eine Datei mit dem Namen "Output.exe". Die Datei stand dann bei mir immer in 2 Verzeichnissen. Also Anitviren Programm hab ich KIS 09 von der CBE installiert, aber es war vor der installation leider aus, weil ich davor noch was getestet habe. Ich Idiot..... Nach ein paar neustarts war diese Outup.exe immer wieder in den 2 Verzeichnissen. Ich war schon dran und wollte neu installieren, hab mich dann aber mal zu Combofix im Abgesicherten Modus entschieden und Combofix hat den übeltäter dann auch gefunden und hat alle Sachen von dem gelöscht! Seitdem ist er nicht mehr drauf. Mir ist eben dann noch aufgefallen, das meine "HOSTS" Datei nicht mehr die selbe war. Es war nur der 127.0.0.0 Eintrag drin. Sonst nichts mehr. Zum Glück hatte ich noch Backups von der davor und von der Originalen. Die Originale hab ich dann wieder zurück geschrieben. So wie sie bei Windows XP Home dabei ist!

Jetzt wollte ich euch mal fragen, ob ihr bitte mal über mein HJT Log schauen könntet, ob ihr noch etwas findet. Ich will gerne sicher gehen, das der da nicht mehr irgendwo rumfliegt!

Hier kommt mal mein HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:54, on 14.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\WirelessBooster\WBTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller 4\UIWatcher.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und Einstellungen\BIOTEC\Desktop\sft-loader_2008_rc2\leecher.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\ABC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wieistmeineip.de/start/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ievkbd.dll
O2 - BHO: Buyertools - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\Buyertools Reminder\IEButtonBuyertoolsInterface.dll
O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programme\WirelessBooster\TweakBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGet Software\ReGet Deluxe 5.2\IEBar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [TweakMASTER] C:\Programme\WirelessBooster\WBTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 4\UIWatcher.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\SCIEPlgn.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219425971031
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Security Suite CBE 09 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 9620 bytes

Ich hab auch noch die Logs von Combofix....die werde ich auch noch hier rein machen, damit ihr euch ein Bild von dem machen könnt, was ComboFix da gemacht hat!

Mit freudlichstem Gruss

BIOTEC

Und hier kommt noch das, was Combofix bei mir gemacht und gefunden hat, incl. der Sachen, die er umbenannt hat.

Ich hoffe ihr könnt mir da weiterhelfen

Ich hab das Verzeichniss mit RAR gepackt und auf RS.com hochgeladen.

RapidShare: 1-CLICK Web hosting - Easy Filehosting

Und irgendwie komm ich nicht mehr auf HJT Logfileauswertung....vieleicht ist sie Down...weil über VMWare komm ich auch nicht drauf.

Desweiteren komme ich auch auf die Virustotal Seite nicht mehr drauf und VirScan.org geht bei mir auch nicht mehr!

Ist das noch von dem Virus???????

Kann keiner mal bitte drüber gucken?

Ich Pushe mal....nicht das mein beitrag ins Nirvana kommt!

Hat den keiner Lust, mein Log mal zu Prüfen???

hallo,

Zitat:

C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\oodtray.exe

lass mal untersuchen bei VirusTotal - Kostenloser online Viren- und Malwarescanner. poste das ergebniss

mfg Most

Hallo Most.....

Vielen Dank für deine Antwort.

Also die beiden oo Threads sind Residente Programmteile von O&O Defrag 11...die müssen auch laufen, sonst geht O&O Defrag nicht mehr, weil das Programm damit die HDD lokalisiert. Ich hab am Anfang auch gedacht "WAS IST DAS", aber die sind Clean....da ist nicht ungewöhnliches!

Und der VMNAT ist der NAT Treiber für VMWARE, über den ich mit VMWARE direkt ins Netz gehen kann, als wenn die Virtuelle Maschine direkt im Router hängen würde. Der Thread ist auch nichts auffälliges!

also du kommst nichat auf Virustotal. dann versuch es mal auf Jottis Malwarescanner. poste das ergebniss

MFG Most

Hallo,

fixe folgenden Eintrag: Öffne HJT ->Do a System scan Only -> Haken vorsetzen

Zitat:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

Fix Checked.
Neustart des PCs

Lade dieses C:\WINDOWS\system32\winsys2.exe hier gemäß dieser Anleitung hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Danach lässt du Malwarebytes laufen.

@Most

Hallo....

Zitat:
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\oodtray.exe

oodag und ootray sind von O&O Software. Nichts Böses.
vmnat ist von seiner Virtual Machine

Erkundige dich bitte genauer zu den Einträgen, bevor du was auswerten lässt

Hi Angel21....

Vielen Dank das du mir hilfst....das mit dem O&O und dem VMWare hat er sicherlich nicht so gewusst....aber er hätte googlen können...^^
Hat es ja gut gemeint und jetzt ist er schlauer.

Hier mal die auswertung der Winsys2 bei Virustotal....(komme wieder drauf!)

Virustotal. MD5: daee383586db76671c43a83c04e51283 UnclassifiedMalware Trojan.Win32.Malware.1 Trj/Agent.ISR

Da gibts noch nen Winsys....nur, das die Tasks nicht sichtlich im Taskmanager laufen! Seltsam. Ist DOT MFC Anwendung....kein Plan was das ist und welches Prg das da hin kopiert hat!

Ich werde den auf jedenfall mal Fixen und lasse morgen früh noch Malwarebyte drüber laufen. Hab das vorgestern und gestern schon mit der 1.39 Portable gemacht und nix gefunden. Auch mein Kaspersky KIS 09 findet nix....

Ich lad noch die WinSYS2 für euch hoch!

EDIT: OK....WinSYS und WinSYS2 sind beide hochgeladen und bereit zum testen....wie gefordert!

EDIT2: Hab da noch was wegen der Winsys gefunden....look her:

http://www.technodoctor.de/winsysproblem.htm

Scheint ein Teil meiner GraKa Software zu sein. Habe eine MSI 7600GT Silent....wegen Dynamischem Overclocking!

mal sehen was die neuen Auswertungen so ergeben werden über die Winsys2.exe

Ich lass morgen früh noch Malwarebytes laufen und poste das log.....

Wenn du noch was brauchst, sag bescheid....

Ich würde ja gerne wissen ob da noch irgendwas auf meinem rechner geblieben ist, was da nicht hingehört!

Gute Nacht!

Muss das LOG nochmal machen....

Auf meiner D sind nur Backups drauf, welche auch infizierte Dateien beinhalten....aber von denen ist ja nichts aktiv....ich werde das LOG nur von meiner C machen... BITTE WARTEN

Hier nun mein MBAM LOG:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2450
Windows 5.1.2600 Service Pack 3

17.07.2009 13:11:18
mbam-log-2009-07-17 (13-11-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 193559
Laufzeit: 31 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{dbda710e-0067-467c-bbff-20009a3da96f}\RP142\A0090002.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
c:\system volume information\_restore{dbda710e-0067-467c-bbff-20009a3da96f}\RP142\A0090151.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\BIOTEC\Desktop\neuer ordner\superantispyware.professional.4.26.1006.by.laser\keygen\keygen.exe (Dont.Steal.Our.Software.A) -> Not selected for removal.

Was doof ist, das ich die beiden RestorePoint Dateien ja in Quarantaine geschickt habe und ich nach einem neustart aufm Desktop ne Fehlermeldung bekommen hab....irgendwas mit Speedup oder sowas. Ich bin mal gespannt, ob er nach einem weiteren neustart weg ist. Wenn nicht werde ich die Dateien mal wiederherstellen lassen und die Systemwiederherstellung deaktivieren. Dann sollte der Fehler weg sein!