Hallo!

Vor 2 Tage habe ich mir einen Trojaner eingefangen. Er hat regelmässig Verbindungen von meinem Computer aus gestartet. Bei genauer Suche bin ich auf eine Yaemu.exe gestossen. Ich konnte verhindern das sie im Autostart mit startet, somit wurden keine Verbindungen mehr ins Netz aufgenommen.
Ich habe die Datei gelöscht und auf dem Computer findet sich keine Yaemu.exe
Im Systemkonfigurationsprogramm unter Systemstart steht aber noch Yaemu, und man könnte auch ein Häkchen reinmachen.
Nun meine Frage: "Wie bekomme ich das dort raus?"

Bitdefender fand bei mir troj_DNSCHANG.AA, konnte aber gelöscht werden und nun wird nichts mehr gefunden.
Ist mein System jetzt sicher?
Danke schonmal im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 10:36:21, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29599bc667a047d01f05/netzip/RdxIE601_de.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121414045421
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MaxSyncService (NTService1) - - C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Retrospect Express HD Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe

Das kann mit HJT noch gefixt werden:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93

Das sind viele Grüsse aus der Ukraine.

Ansonsten sieht es ganz ordentlich aus. Mache aber das:

Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.
http://www.ewido.net/de/download/

Vielen Dank schonmal.
Was hat es auf sich mit?

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93

Hier das Ergebnis des Scans mit Ewido


---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:48:40, 01.06.2006
+ Report-Checksumme: B34E406A

+ Scanergebnis:

C:\Dokumente und Einstellungen\Holger\Cookies\holger@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup


::Report Ende

das waren nur kleine Fische, TrackingCookies sind eigentlich recht "harmlos"!

Wenn du nochmals dein System scannen willst nutz den eScan, es dauert zwar ein bisschen länger aber so hast du zumindest Gewissheit das alles gelöscht/entfernt wurde.

Gruß
Daniel

Hallo Rupprich,

scan Dein System mit Blacklight und poste das entspr. Logfile, welches im selben Pfad erstellt wird (fsbl**.txt).
IMHO wird der Rootkit weder von Escan noch noch von Ewido erkannt.

dartus

Huhu. Also Blacklight hatte nichts gefunden.

Sicherheitshalber, da ich onlinebanking betreibe, habe ich formatiert und alles neu installiert. Mir war das Risiko zu hoch, auch wenn ich wahrscheinlich relativ sicher sein konnte das der Trojaner runter war.

Möchte mich bei allen für die schnelle Hilfe bedanken!