Hallo zusammen!

Erst mal Vorab-Lorbeeren, ich finde es Toll, das es so engagierte Foren wie das eure gibt!

Nun zum Problem:

Es geht um den Rechner meines Freundes, WinXP. Am montag bekam er immer wieder von Avira den Hinweis, das eine torrent.exe auf das Netz zugreifen will. Dies hat er nicht zugelassen. Gestern hat Avira in genau dieser exe den Trojaner TR/Ransom.RJ.37 gefunden. Die Datei lies sich nicht löschen oder in Quarantäne verschieben sondern nur umbenennen. Das hat er erst einmal gemacht. Sie heißt nun torrent.nnn und liegt unter c:/dokumente und Einstellungen/***/Anwendungsdaten/Microsoft, ist aber noch am selben Platz. Der PC verhält sich bis jetzt unauffällig. Gott sei dank wird über den PC kein Onlinebanking oder ähnlich sensibles genutzt.

Was müssen wir nun tun, damit ihr uns helfen könnt, dieses Mistding wieder zu beseitigen?

LG und danke schon mal

Hi,

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo Chris,

danke für die schnelle Antwort. Mache das jetzt mal und melde mich dann mit den Ergebnissen. Kann allerdings etwas dauern, die Kiste ist schon 10 Jahre alt und vollgestopft bis oben hin.

LG
Barbara

Im Anhang die Log Dateien von OTL

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Temp\aaudstum.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
O4 - HKCU..\Run: [{4E3CF522-09F8-11DB-AB3F-806D6172696F}] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe File not found

:reg
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = dword:0x00
 
:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Poste auch noch das Log von MAM...

chris

Anbei das Log von MAM

Hat 2 Meldungen gemacht, 2 Trojaner ein Registry Key und ein File, aber das sieht man ja auch in der Logdatei denke ich oder?

Hier nun die Auswertung von Virustotal:


SHA256: 741c958671872cfb8ec50dbf8c4ddb13fbdae9330f39471752d2f6e3e3441c21
File name: aaudstum.sys
Detection ratio: 2 / 43
Analysis date: 2012-03-01 13:27:06 UTC ( 0 Minuten ago )

Antivirus Result Update
AhnLab-V3 - 20120228
AntiVir - 20120229
Antiy-AVL - 20120229
Avast - 20120301
AVG - 20120301
BitDefender - 20120301
ByteHero - None
CAT-QuickHeal - 20120301
ClamAV - 20120229
Commtouch - 20120301
Comodo - 20120301
DrWeb - 20120301
Emsisoft - 20120301
eSafe - 20120229
eTrust-Vet - 20120301
F-Prot - 20120301
F-Secure - 20120301
Fortinet - 20120229
GData - 20120301
Ikarus - 20120301
Jiangmin - 20120229
K7AntiVirus - 20120229
Kaspersky - 20120301
McAfee - 20120301
McAfee-GW-Edition - 20120229
Microsoft - 20120301
NOD32 - 20120301
Norman - 20120229
nProtect - 20120301
Panda - 20120229
PCTools - 20120228
Prevx - 20120301
Rising - 20120301
Sophos - 20120301
SUPERAntiSpyware - 20120301
Symantec - 20120229
TheHacker - 20120301
TrendMicro RTKT_AGENTT.CU 20120301
TrendMicro-HouseCall RTKT_AGENTT.CU 20120229
VBA32 - 20120301
VIPRE - 20120301
ViRobot - 20120301
VirusBuster - 20120229


ssdeep
384:1zqzge4vDVOmUdDXOkbHTf5uKr1RW8kOQ/Uv0Q5Cv1XyNZZHlEPyw:1vEmUdDXOAHTxe/6K1iZHlWd
TrID
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ExifTool

MIMEType.................: application/octet-stream
Subsystem................: Native
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2003:12:01 21:57:55+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 26112
LinkerVersion............: 6.0
EntryPoint...............: 0x1b04
InitializedDataSize......: 5120
SubsystemVersion.........: 5.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0

Portable Executable structural information

Compilation timedatestamp.....: 2003-12-01 20:57:55
Target machine................: 332
Entry point address...........: 0x00001B04

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5
.text 4096 23878 24064 5.95 6a0a1ae93ad5051faaf16d908edd5de9
.rdata 28672 804 1024 3.10 dd76d3d6512c2a01631c743d5456edd8
.data 32768 2800 512 0.02 9475a59226943a3ad422e18169989f66
INIT 36864 1824 2048 5.00 ac85a9030d1c9fa5ec102f9416c305ed
.reloc 40960 950 1024 5.63 608ecd1052a15080f856af23cf478240

PE Imports....................:

HAL.dll
KfReleaseSpinLock, KeQueryPerformanceCounter, KfAcquireSpinLock

ntoskrnl.exe
RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ZwClose, ZwReadFile, ZwQueryInformationFile, ZwCreateFile, IoRegisterDriverReinitialization, IofCompleteRequest, IoRegisterShutdownNotification, IoCreateDevice, IoDeleteDevice, IoDeleteSymbolicLink, KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, RtlInitAnsiString, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, ZwWriteFile, KeQuerySystemTime, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, MmMapLockedPagesSpecifyCache, memcpy, IoBuildDeviceIoControlRequest, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlCopyUnicodeString, RtlEqualUnicodeString, RtlAppendUnicodeStringToString, RtlUnicodeStringToInteger, RtlIntegerToUnicodeString, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, IoSetThreadHardErrorMode, PsGetCurrentProcessId, ZwQuerySystemInformation, InterlockedIncrement, IoFreeIrp, KeSetEvent, KeGetCurrentThread, IoAllocateIrp, IoFreeMdl, MmUnlockPages, MmMapLockedPages, MmProbeAndLockPages, IoAllocateMdl, _except_handler3, MmUnmapLockedPages, KeInitializeSpinLock, ExFreePool, ExAllocatePoolWithTag, RtlCompareMemory, memset

Symantec Reputation
Suspicious.Insight
First seen by VirusTotal
2007-05-24 15:23:07 UTC ( 4 Jahre, 9 Monate ago )
Last seen by VirusTotal
2012-03-01 13:27:06 UTC ( 3 Minuten ago )
File names (max. 25)

aaudstum.sys
22FABDC07B4DE09773A92D49201C9F94
22fabdc07b4de09773a92d49201c9f94
JNV4_MIB.SYS._A50AC59146D207147CD5A0CC9D0A83ADEBDD6C96
adxapie.sys
bad.bad
cportclm.sys
cusbohcn.sys
efipsk.sys
file-3237704_sys
gAGP440p.sys
gagp.sys
gel90xne.sys
jnv4_mib.sys
krdpdre.sys.(0)
lac97inf.sys
lredbooo.sys
mdxgthkn.sys
mdxgthkn_sys
nsysaudm.sys
pnicml.sys_

Hier die Results vom OTL Fix, hat einen Reboot erfordert:

All processes killed
========== OTL ==========
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{4E3CF522-09F8-11DB-AB3F-806D6172696F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E3CF522-09F8-11DB-AB3F-806D6172696F}\ not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall\\"DisableMonitoring" |dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 553173243 bytes
->Temporary Internet Files folder emptied: 7633061 bytes
->Java cache emptied: 15863871 bytes
->FireFox cache emptied: 169537018 bytes
->Google Chrome cache emptied: 37053018 bytes
->Flash cache emptied: 4501398 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1829576 bytes
%systemroot%\System32 .tmp files removed: 1601799 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3737135 bytes
RecycleBin emptied: 3980332723 bytes

Total Files Cleaned = 4.554,00 mb


OTL by OldTimer - Version 3.2.33.2 log created on 03012012_143401

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT07d36.TMP not found!

Registry entries deleted on Reboot...

Hi,

von MAM alles löschen lassen....
Würde die anderes sys-Datei ebenfalls löschen lassen (Treiber in Temp ist immer verdächtig), wenn TrendMicro recht hat ist das ein RootKit...

Killen wir Ihn:

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (aaudstum) -- C:\Temp\aaudstum.sys ()


:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Danach MAM updaten und neuen Komplettscan, falls es ein Rookit war und sich was unter seinem Mantel versteckt hatte...

chris

Hi Chris,

da der Rechner ja einen Reboot gemacht hat, ist der MAM nun natürllich zu. Muss ich den Scan nun noch mal neu machen, damit ich die Dateien löschen kann, oder komm ich da irgendwie anders dran? Hat ja ziemlich gedauert.

Zu den sys dateien, was genau meinst du damit? Klar lösch ich die, wenn es besser ist, aber wie mach ich das?

Barbara

So habe nun die beiden Dateien über den MAM gelöscht und das Fix über OTL laufen lassen, hier die Logdatei. mache nun noch einen Scan mit MAM... Allerdings ist die torrent.nnn, die das ganze auslöste, immernoch da, sagt Avira zwischendurch immer wieder.

All processes killed
Error: Unable to interpret <DRV - (aaudstum) -- C:\Temp\aaudstum.sys ()> in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1187012 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 23235764 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 920 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 23,00 mb


OTL by OldTimer - Version 3.2.33.2 log created on 03012012_161933

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT06c22.TMP not found!

Registry entries deleted on Reboot...

Hi,

die sys-Datei wird mit dem vorangegangen Post gelöscht (OTL-Script abfahren)...

MAM musst Du nochmal komplett durchlaufen lassen, alles Bereinigen und dann das Log posten (da gibt es einen Reiter dazu, schau Dir das Fenster von MAM mal genau an ;o)...

chris

Hallo!

So ich habe nun MAM noch mal komplett durchlaufen lassen, findet nichts mehr. Allerdings ist währen der Suche Avira immer wieder mal angesprungen, in C:/Temp waren einige Dateien, die verdächtig waren (aber ein anderer Trojaner) diese konnte ich löschen. Die torrent.nnn die alles ausgelöst hatte ist noch auf dem PC ich konnte sie nun aber manuell löschen, das ging vorher nicht. War es das nun oder muss ich jetzt noch andere Scans machen?

Hier die Logdatei von MAM

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.01.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Besitzer :: PC-JONAS [Administrator]

01.03.2012 16:27:09
mbam-log-2012-03-01 (16-27-09).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 332212
Laufzeit: 1 Stunde(n), 58 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,

der Otl-Fix hat nicht funktioniert, Du musst den Inhalt der Codebox komplet in OTL kopieren, auch das :OTL!.

Bitte nochmal ausführen und ein neues OTL-Log erstellen und posten...

chris

Hi Chris,

hier nun das neue Log vom OTL:

All processes killed
========== OTL ==========
Service aaudstum stopped successfully!
Service aaudstum deleted successfully!
C:\Temp\aaudstum.sys moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1098831 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40375481 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 703 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 920 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 40,00 mb


OTL by OldTimer - Version 3.2.33.2 log created on 03022012_103610

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT0338a.TMP not found!

Registry entries deleted on Reboot...