Also im Radio auf EinsLive wird schon über den Trojaner gesprochen! Hab ich mir sagen lassen! Genaueres weiss ich aber leider auch noch nicht!

so inzw. bin ich auch soweit das ich mir das teil gefangen habe!

hier mal der hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:52, on 24.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\taskdir.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Alex\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\2.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O8 - Extra context menu item: &Search - h**p://bar.mytotalsearch.com/menusearch.html?p=CPXXXXXX59
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E720A82-BF84-4AF1-BBFA-B6DB7FDB6F5F}: NameServer = 212.247.156.66 212.247.156.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E720A82-BF84-4AF1-BBFA-B6DB7FDB6F5F}: NameServer = 212.247.156.66 212.247.156.70
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe


wie jetz weiter?
sollt ich sonst noch was machen?

nur av erkennt den trojaner

greetz und danke inzw!

edit: mal abgesehn vom neu aufsetzen, is noch was zu retten?

Danke für die Antwort(en).

Ich bin auf diesem Gebiet echt ein kleines Würstchen und ich will auch bestimmt kein Klugscheißer sein. Hab jetzt mit einem Removal Tool von Symantec besagten Schädling entfernt , was sicher nicht schaden kann. Da ja bekannt ist, dass dieser Trojaner zu einer bestimmten IP eine Verbindung aufbaut, habe ich aus reiner Neugierde ein netstat ausgeführt. Bis jetzt wurden noch keine verdächtigen Verbindungen angezeigt. Nun bin ich mir sicher, dass auch schon andere auf diese Idee gekommen sind. Aber folgende Frage kann ich mir trotzdem interessehalber nicht sparen. -Wenn keine Verbindung mehr zu dieser Adresse aufgebaut wird, weil der Trojaner ja futsch ist, dann macht der ja gar nix mehr, oder? Oder ist es nur eine Frage der Zeit bis sich der Angreifer von sich aus auf meinen PC verbindet. Allerdings bekomme ich ja vom Provider dynamisch eine IP zugewiesen. Also kann der mich ja unter Umständen gar nicht finden!?!

Übrigens haben sich auch noch andere Trojaner bzw. Backdoors bei mir eingeschlichen. Namentlich: TR/Dldr.Small.ciw.5 und BDS/SubSeven.215.A Als ich mitbekommen habe, dass auf meinem System Backdoors existieren, war für mich eigentlich klar, dass ich die Kiste neu aufsetzen muss. Oben genannte Situation bringt mich natürlich wieder ins Grübeln.

LG,
Robsta

wo gibts ein Entfernungstool? Link`? Ich fand bei Symantec nichts...rein gar nichts!

Guten Morgen!

Removal Tool:

http://www.symantec.com/avcenter/ven...oval.tool.html

Wenn man die Diskussion verfolgt, ist es unter Umständen vernünftiger den Rechnner neu aufzusetzen. Ich bin mir aber nicht ganz sicher und warte noch auf eine Antwort auf meinen Post letzte Nacht. Ich stelle da keineswegs die Meinung der experten in diesem Forum in Frage, ich interessiere mich jetzt nur genauer dafür und würde mich freuen wenn man mich quasi "aufklärt".

Wenn zum Angreifer keine Verbindung mehr aufgebaut wird, was kann der Angreier mir noch tun?

Grüße,
Robsta

der ist auch fuer den Proxy-Virus?

ich denk, ich werd heut nachmittag die Kiste neu aufsetzen.

Ja der funktioniert auch bei "unserem" Trojaner. Zumindest bei meinem ;-)

System neu aufsetzen muss nicht unbedingt sein..Bei mir hats so geklappt:

Anleitung zum Wegmachen:

1. IE starten (muss IE sein) und auf
http://www.trendmicro.com/hc_intro/default.asp das Tool laufen lassen.
2. Alles gefundene löschen.
3. Windows im abgesicherten Modus starten und das zuvor heruntergeladene Tool von Symantec starten.
http://www.sarc.com/avcenter/venc/da...n.abwiz.f.html
Wenn das Tool durch ist, System neu starten->Arschloch Weg! :-)

Ich habe nochmal rücksprache mit dem sicherheitsexperten einer computerfirma gehalten. dieser meinte, dass das Neuaufsetzen nicht notwendig ist. einfach im abgesicherten modus antivir durchlaufen lassen, entsprechende dateien löschen, und dann soll es bereinigt sein. ich persönlich hege meine zweifel, will aber wenn irgendwie möglich einem Neuaufsetzen aus dem weg gehen. bei sind übrigens mittlerweile auch der TR/Proxy.Lager.AQ.4 und TR/Dldr.Small.ciw.5 drauf....

Hallo,
nur noch mal zur Information, ich bin weiterhin der Ansicht das eine Entfernung nicht sinnvoll ist und wenn ich solche Sätze höre:

Zitat:

Ich habe nochmal rücksprache mit dem sicherheitsexperten einer computerfirma gehalten. dieser meinte, dass das Neuaufsetzen nicht notwendig ist. einfach im abgesicherten modus antivir durchlaufen lassen, entsprechende dateien löschen, und dann soll es bereinigt sein.

Wird mit immer klarer warum soviele Firmen Sicherheitsprobleme haben. Wer soetwas als selbsternannter Sicherheitsexpert sagt sollte sich direkt die Papiere bei seinem Chef abholen müssen.

Noch mal ein Ausschnitt aus einem Microsoft Artikel zu dem Thema:

Zitat:

Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:


• Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.

• Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen (Anmerkung das kann der Trojaner von euch auch) . Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.


• Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.

Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.

Quelle


Grüße Wildone

Ich habe jetzt meine Kiste neu aufgesetzt und alles ist wieder bestens!

Nochmal zu denen die es vielleicht nicht für nötig halten. Ich habe davor
natürlich auch rumexperimentiert mit sowas wie Antivir erstmal deaktivieren und dann im Abgesicherten Modus die ganzen Dateien löschen. Hat auch so weit alles gefunzt, aber man sollte dann nur mal in der Eingabeaufforderung netstat -a versuchen und da gehen einem die Augen über!

Meine Kiste war ständig am Senden was dann auch vom DSL Speedmanager bestätigt wurde. Immer alle paar Sekunden ging was raus und es macht alles extrem langsam!

Also auch von mir nochmal der Tipp: Neu Aufsetzen!!! Auf jeden Fall!!!

TR/Proxy.Lager.AQ.1 zerstören!

JUHU Ich habe es geschafft!

Einfach von www.symantec.de im Bereich "Virus Entfernungsprogramm downloaden".

Den Patch Trojan.Abwiz downloaden und ausführen dann warbei mir war der TR/Proxy.Lager.AQ.1 weg.

Gruß

Hallo,

@KaiausKöln: Du hast die vorhergehenden Posts nicht gelesen. Zurück zum Start.
Wähne Dich ruhig in der trügerischen Sicherheit, aber allein!

Gruß

Schrulli

Guten Morgen @ caranthir:
Danke für Deine Rückmeldung - Du hast die einzig sinnvolle Maßnahme ergriffen und mit Deiner Rückmeldung auch gleich deren Sinnhaftigkeit eindrücklich dargelegt

Zitat:

Also auch von mir nochmal der Tipp: Neu Aufsetzen!!! Auf jeden Fall!!!

Da kann ich nur beipflichten - egal was so mancher "Experte" da sagt!

lg, stupormundi

Guten Morgen.

Danke für die nützlichen Hinweise hier im Forum.

Habe meinen PC gestern auch neu aufgesetzt, nachdem bei mir der TR/Lager.AQ1 und TR/small.ciw.5 eingeschlagen sind ...

Ist schon bedenklich, wie viele Nutzer hier sich vor ca. 1 Std. Plattenformatierung zzgl. Systemneuinstallation fürchten und lieber die Folgen in Kauf nehmen.

Nochmal danke und weiterhin viel Glück.

Dark