Hallo zusammen,

habe mir einen (oder mehrere) Trojaner eingefangen, die meine Internetverbindung auf einen zwielichtigen Server in der Ukraine umleiten bzw . umleiten wollen.

Obwohl die Trojaner TR/Small.fb.2 sowie TR/Dldr.Agent.UJ von Antivir bzw. BitDefender erkannt und (angeblich) gelöscht wurden, taucht bei jeder neu aufgebauten Internetverbindung folgendes bei einem Scan mit HijackThis auf, was dort offenbar nicht hingehört:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Die IP's gehören zu dem besagten ukrainischen Server.

Meine Fragen:
1. Wie groß ist das Risiko, dass trotz ZoneAlarm und DSL sämtliche meiner Passwörter munter in der Ukraine gelesen werden?
2. Bringt es was, wenn ich die besagte Datei in der Registry einfach lösche? (oder wo steckt der eigentliche Übeltäter?)

Vielen Dank für jeden Tipp!
Ändru

Hallo,
poste mal bitte das gesammte HijackThis Logfile(1.99.1), dann kann man ev. mehr sagen.

Grüße Wildone

Hi, danke für die schnelle Antwort.

So sieht das komplette LogFile aus:

Scan saved at 18:27:28, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Gruß
Ändru

Hallo,
scheint bis jetzt alles sauber (bis auf den O17er), aber du scheinst den unteren Teil vergessen zu haben (O23 Einträge...), reiche den mal noch nach.


Grüße Jasager

Hi, das irritiert mich ja etwas. Unter 017 kommt nämlich tatsächlich nix mehr.

Gruß
Ändru

Dann setzt du eine uralte HJT Version ein - aktuell ist 1.99.1.

Ertappt! So sieht das Ganze mit der aktuellen Version aus:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)

O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)

O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Das Log-File ist weiterhin unvollständig und somit ist keine sinnvolle Auswertung möglich.

btw:

Zitat:

Zitat von myself

[3] Navigiere zum Ordner C:\Programme\HiJackThis -> Doppelklick auf hijackthis1.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (in deinen erstellten Thread einfügen).
Quelle: http://www.trojaner-board.de/showthread.php?t=17493

Ok, nächster Versuch:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:17, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo,
sieht in Ordnung aus, auch wenn ich mir bei den Netmeeting/Remote-Registrierung/Telnet Einträgen nicht 100% sicher bin, hattest du das mal installiert?
Habe ich das eigentlich bei deinem ersten Posting richtig verstanden, dass der Eintrag nach den fixen mit HijackThis wieder auftaucht?
Wenn ja, solltest du mal mit Escan(Anleitung genau beachten!) dein System scannen.


Grüße Wildone

Hi, Netmeeting und Remote sagt mir ehrlich gesagt nichts. Aber ich versuche es mal mit escan.

Danke erstmal!
Ändru

Hi, das kommt mit escan raus:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 20:36:41 2005 => System found infected with zipitpro Spyware/Adware (unace.dll)! Action taken: No Action Taken.
Tue Oct 04 20:36:42 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Oct 04 20:36:43 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Tue Oct 04 20:37:04 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Oct 04 21:02:15 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Oct 04 21:13:35 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Tue Oct 04 21:51:40 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 20:36:41 2005 => Offending file found: C:\WINDOWS\system32\unace.dll
Tue Oct 04 20:36:42 2005 => Offending file found: C:\DOKUME~1\Andreas\LOKALE~1\Temp\insthelp.dll
Tue Oct 04 20:36:43 2005 => Offending file found: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk
Tue Oct 04 20:37:02 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
Tue Oct 04 20:37:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\temp\insthelp.dll
Tue Oct 04 20:37:07 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 21:51:40 2005 => Total Virus(es) Found: 6
Tue Oct 04 21:51:40 2005 => Total Errors: 85
Tue Oct 04 21:51:40 2005 => Time Elapsed: 01:15:57
Tue Oct 04 21:51:40 2005 => Total Objects Scanned: 72852
Tue Oct 04 20:18:05 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 20:19:20 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 20:34:42 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 21:51:40 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 21:54:41 2005 => Virus Database Date: 2005/10/04


PS: Der verdächtige Eintrag im Hijackthis-Log taucht immer erst wieder auf, wenn ich eine Internetverbindung aufbaue.

Ratlose Grüße
Ändru

Hallo,
dann schauen wir doch mal wie es nach dem löschen der beanstandeten Dateien aussieht. Also folgendes im abgesicherten Modus (F8 beim booten) löschen (Dateien suchen) :
C:\WINDOWS\system32\unace.dll
C:\DOKUME~1\Andreas\LOKALE~1\Temp\insthelp.dll
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\microsoft\of fice\zuletzt verwendet\internet.lnk
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\temp\insthelp.dll
dann den O17 Eintrag mit HijackThis fixen (Haken davor und auf "fix checked").



Grüße Wildone

Hi wildone,

die laut escan befallenen Dateien konnte ich zwar löschen, der 017-Eintrag im hjt-Log taucht aber nach wie vor auf. Folgende Einträge lassen sich gar nicht fixen (bzw. sind sofort wieder da):



O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)



Steckt das das Übel??



Danke für die Hilfe!

Ändru

Hallo,
das sich die O23 Einträge nicht löschen lassen ist soweit normal, dafür musst du bei HijackThis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen drei O23 Einträgen!
Befürchte aber fast das es daran auch nicht liegt das der O17 Eintrag wieder kommt, bin da gerade etwas ratlos.



P.S. Hast du den O17 Eintrag im abgesicherten Modus gefixt (wenn nein, dann versuche das mal)
Grüße Wildone