Hallo Allerseits,

habe mir gestern nen Trojaner gefangen, welcher versucht mit meinem durch Kerio gesperrten IE ins Netz zu connecten. Habe mir die hier beschriebenen Tools Spybot, eScan, HijackThis, Clearprog gezogen und benutzt.

Hijack log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
D:\Office\JAVA\jre1.5.0\bin\jusched.exe
D:\DVD-Programme\Player\PowerDVD6\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Multimedia\Acrobat 6 pro\Distillr\acrotray.exe
D:\Office\OpenOffice\program\soffice.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
D:\Systemprogramme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Internetprogramme\Firewall\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\regedit.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\Internetprogramme\Opera7\opera.exe
D:\Internetprogramme\Firewall\Kerio\Personal Firewall\PFWADMIN.EXE
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE


O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Office\JAVA\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] D:\DVD-Programme\Player\PowerDVD6\PDVDServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvdno32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Office\OpenOffice\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Multimedia\Acrobat 6 pro\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB0E3451-9B82-48AA-ACE1-9091818D5E2E}: NameServer = 217.237.150.141 217.237.150.97
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll


Die von mir dick hervorgehobene Datei ist laut eScan, mit dem im Trojan.Win32.StartPage.nk infiziert. Ich kann diese Datei aber leider weder im normal noch im abgesicherten Mode finden.
Dieses Clearprog habe ich bereits zum löschen der temp Files benutzt (nur so zur Info).


eScan:
File C:\windows\system32\kalvdno32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\shell32.exe infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\******\Lokale File C:\RECYCLER\S-1-5-21-484763869-616249376-839522115-1003\Dc5.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\shell32.exe infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.


Spybot findet immer wieder Exploits in der Registry:

zB:
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-616249376-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Der Trojaner scheint sich also zu reproduzieren, direkt nach dem fixen mit Spybot sid sie nämlich wieder da.
Das könnte womöglich an dem 2ten von mir hervorgehobenen Trojaner liegen?!


Jemand von euch eine Idee, wie ich jetzt weiter vorzugehen habe?
Thx im Voraus

Den DSO-Exploit kannst du ignorieren, das ist ein Bug von Spybot. Es fehlt auch noch die Kopfzeile des Logs.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Danach solltest du die Datei finden und im abgesicherten Modus löschen können.