Hallo Leute!

Ich habe mir am 23.12. das GData AntivirenKit 2005 gekauft und auch den DOS (bzw. Linux) Scan gemacht... Viren hat er gefunden und unschädlich gemacht, das Selbe auch als ich das Kit dann unter Windows installiert hatte..

Nun habe ich alle Viren weg, nur ein Plagegeist kommt immerwieder, wird aber immer vom AV-Kit erkannt... Trotzdem öffnet sich so ein blödes Fenster mit der Aufschrift "Microsoft Internet Explorer" in der Titelzeile, "You must klick yes to access to this content" als Meldung im Fenster, und einem OK-Button



Die Meldung meines Virenwächters:





Ich hab schon mit AdAware & a²scanner gescannt die finden nichts...
In meinem Router is die Firewall an ... Selbst wenn ich noch ZoneAlarm an habe, kommt der Trojaner trotzdem
Bin schon am verzweifeln...

Ich benutz hauptsächlich:

- XChat
- ICQ
- MSN
- FireFox

....

Mein System:

- Windows XP Prof (Sp1)
- benutzter Browser: Firefox 1.0 (ich nehme NICHT den IE, darum wundert es mich, dass die Trojaner Fehlermeldung im IE erscheint)
- GData AV-Kit 2005 (Virendef: 26.12.)
- Adaware
- a²-scanner
- hijack this
___________

P4 3,0 GHz (northwood)
MSI Neo2-PFS PE (Intel 865PE Chipset)
Radeon 9800 pro
2x DVD
1,0 GB RAM (400MHz FSB, Dual chan.)
300 Gig HDD

___________

Logfile of HijackThis v1.99.0
Scan saved at 13:40:53, on 27.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\explorer.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\programme\steam\steam.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\a2\a2guard.exe
C:\Programme\a2\a2start.exe
C:\Programme\a2\a2scan.exe
C:\Programme\a2\a2start.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Akurei\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] tufhet.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/pro...tor/WebSWK.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15A97CFC-07F8-4BB6-88BB-F2B878B7098C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{15A97CFC-07F8-4BB6-88BB-F2B878B7098C}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Erst mal die Millionen von temporary internet files wegputzen! Dazu clearprog 1.4.1 final runterladen und auf "alles löschen" clicken; danach auf beenden.
Was mitnicht gefällt sind die Einträge, die folgendes enthalten:
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe, dies kann auf einen backdoor-trojaner hindeuten.
Hör dich mal bei Tante google um, dann brauch ich es nicht zu tun.
Nach clearprog sanne mal erneut und berichte über deine google-erlebnisse.
cacatoa

Hallo,

bitte lass diese Datei C:\WINDOWS\System32\explorer.exe

hier überprüfen http://virusscan.jotti.org/de

Aber wie es aussieht ist da ein aktiver Backdoor am Werk!

Gruss

edit: War jemand schneller;sieht nach dem hier aus

http://www.sophos.de/virusinfo/analyses/w32igloo15.html

Die Temp files hab ich schon gelöscht ... mehrmals... die kommen immer wieder ... teilweise im sekundentakt... Google hat nichts gebracht (darum hab ich letzendlich in dieses Board gepostet) und auch auf den seiten der antivirenfirmen finde ich zwar den namen des trojaners, aber nicht die mthode zur beseitigung...

Akurei

du solltest dazu die Systemwiederherstellung deaktivieren,und alles noch mal im abgesicherten Modus machen,aber wie es aussieht,hast du einen aktiven Backdoor auf dem System,daher hatte ich auch geschrieben die eine Datei mal online überprüfen zu lassen!

@ HerrKautz:
Ich dachte eher an den hier.
Aber warten wir mal den Jotti-scan ab...
cacatoa
@ akurei:
Zum löschen clearprog benutzen!

Benutze ja clearprog....

Also Onlinescan hat tatsächlich was entdeckt:

File: explorer.exe
Status:
INFECTED/MALWARE
Packers detected:
YODA

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.72 seconds taken)
ClamAV
No viruses found (0.35 seconds taken)
Dr.Web
No viruses found (0.65 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.69 seconds taken)
mks_vir
Win32.4 (probable variant) (0.22 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (0.53 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 88573 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\explorer.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsoft Update Machine"="explorer.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft Update Machine"="explorer.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Microsoft Update Machine"="explorer.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Sets value "restrictanonymous"="
" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "xxx.deviltry999.net" on port 5555 (TCP).
* Sends data stream (14 bytes) to remote address "xxx.deviltry999.net", port 5555.
* Connects to IRC Server.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex ID? what the fuck is that?.
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes. (3.08 seconds taken)

Zitat:

Zitat von cacatoa

@ HerrKautz:
Ich dachte eher an den hier.
Aber warten wir mal den Jotti-scan ab...
cacatoa
@ akurei:
Zum löschen clearprog benutzen!

Könnte auch sein,was eigentlich ne Nummer schlimmer wäre,aber warten wir mal ab,ist jedenfalls nix gutes,und backdoorartig

Tja, da haben HerrKautz und ich wohl beide nur in Teilen recht; nämlich, daß es sich um einen aktiven Backdoortrojaner handelt, der ziemlich neu ist.
Deshalb gibt es nur eine einzige Möglichkeit für Dich:
System neu aufsetzen. Halte dich an alle Anweisungen im Link. Auch wenn es Zeit kostet und dich ärgert - wenn Du nicht Dein System und andere weiter gefährdern willst, hilft nur diese Lösung.
Beachte für die Zukunft dies.
Tut mir Leid, geht aber nicht anders.
cacatoa

Nunja... Danke!!! Erstmal .... mhh ich hab mein system zwar erst vor nen paar tagen neu aufgesetzt .... aber nunja was sein muss muss sein...

Kann ich eigentlich meine Dateien "retten", die ich noch auf meinem rechner habe (mp3's , Videos, etc..) und evtl. meinen XChat ordner???

Achja und muss ich Angst haben, dass irgendwelche Passwörter ausspioniert wurden??

Grüße vom Aku!

Prinzipiell sind natürlich deine Passwörter gefährdet - also ändern.
Beachte genauestens den unten geposteten Link zum Neuaufsetzen, was Du wahrscheinlich beim letzten Mal nicht getan hast.
Zu Datensicherung gibt es von Lutz gute Tipps.
Bis dann
cacatoa

Zitat:

Zitat von cacatoa

Tja, da haben HerrKautz und ich wohl beide nur in Teilen recht; nämlich, daß es sich um einen aktiven Backdoortrojaner handelt, der ziemlich neu ist.
Deshalb gibt es nur eine einzige Möglichkeit für Dich:
System neu aufsetzen. Halte dich an alle Anweisungen im Link. Auch wenn es Zeit kostet und dich ärgert - wenn Du nicht Dein System und andere weiter gefährdern willst, hilft nur diese Lösung.
Beachte für die Zukunft dies.
Tut mir Leid, geht aber nicht anders.
cacatoa

Es wäre jetzt nur interessant zu wissen,welcher das ist,bzw zu welcher Familie er sich gesellt!

Meint ihr ich kann nicht noch warten , bis irgendwelche Virensignaturen über mein AV Programm hochgeladen werden??

Angezeigt wird er ja als: Trojan-Downloader.Win32.Agent.ex

Gruß Akurei

Zitat:

Zitat von Akurei

Meint ihr ich kann nicht noch warten , bis irgendwelche Virensignaturen über mein AV Programm hochgeladen werden??

Angezeigt wird er ja als: Trojan-Downloader.Win32.Agent.ex

Gruß Akurei

Ich würde das nicht machen!

Allerdings könntest du diese Datei mal sichern mit winrar packen und mit PW versehen an partytime-germany.ice@web.de und an virus@hijackthis.de senden mit dem Verweis auf den Thread hier!

PW von dem Archiv natürlich in die email schreiben

Den Trojan-Downloader.Win32.Agent.ex hattest Du wahrscheinlich in irgendwelchen temp-files sitzen.
Wenn Du dir den Bericht von Jotti genau anschaust, siehst du, daß er noch keinen richtigen Namen hat.
Die neuen Virensignaturen helfen dir, um dich davor zu schützen; wenn er aber schon aktiv drauf ist, dann hast Du ein Problem...
Und das ist bei Dir der Fall.