Hallo an alle!

Ich habe ein riesen Problem, seit gestern Abend hab ich mir irgendwie, keine ahnung wie, 3 Trojaner eingefangen diese heissen folgendermassen:

Agent.RI
Puper.BX
Dldr.DNSChan.R.5

Ich benutzer als Virenschutz Antivir Personal (die neuste Version natürlich) und als FW Sygate. Antivir findet die 3 Trojaner zwar und ich lösch sie dann auch, aber es nützt nichts, kurze Zeit später findet er die gleichen 3 wieder und wieder und wieder!!!! Ausserdem findet sie nur der Live Guard, wenn ich aber stattdessen, einen vollständigen Systemscan manuell laufen lassen, findet er komischer weise gar nichts!

Ich habe es auch schon mit Adaware, HJT(oke bin mir nicht sicher ob ichs richtig gemacht habe) und mit Search udn Destroy (bin ich gerade noch am testen) versucht. Und meine Hoffnunen diese 3 Trojaner noch weg zu bringne sinken immer mehr...

Also falls wer eine Idee hat, wie ich das dohc noch vollbringen könnte, bitte bitte hier posten und mir helfen.

Danke und Gruss

Der Hilflose :P

Hallo,
Anleitung abarbeiten.


Grüße Wildone

irgendwie hat alles nix genütz, hab das was in der anleitung stand gemacht, also das mit Smitfraudfix und Smitrem und ein HijackThis auch, der online scan von kapersy funktionoiert bei mir nicht, weil active x irgendwie instlaliert werden soll, ihc lass es dann auch zu dann komm ich aber nur auf eine andere seite wo der scan dann nciht mehr weiter geht.

Naja hier mal noch die 3 log files:

Zitat:

SmitFraudFix v2.68b

Scan done at 14:51:18.78, 07.07.2006
Run from C:\Dokumente und Einstellungen\*\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

smitRem © log file
version 3.0

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\*\Desktop\sdADSA\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 952 'explorer.exe'
Killing PID 952 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:53, on 07.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\*\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [jzdkn.exe] C:\WINDOWS\system32\jzdkn.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ED4092A-CE98-4335-9FCD-649531ABBCA9}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB4C30F8-5EB5-4A62-8CA3-3688F8805A8F}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{E00C6640-177C-44A8-8734-FE0327AA7C6D}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Hallo,
da hatte ich die falsche Vermutung, lass mal F-Secure Blacklight dein System scannen und poste das Log (wird automatisch im selben Pfad erzeugt, fsbl**.txt)



Grüße Wildone

So hab ich auch gemacht!

Zitat:

07/07/06 17:15:16 [Info]: BlackLight Engine 1.0.42 initialized
07/07/06 17:15:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/07/06 17:15:19 [Note]: 7019 4
07/07/06 17:15:19 [Note]: 7005 0
07/07/06 17:15:22 [Note]: 7006 0
07/07/06 17:15:22 [Note]: 7011 1224
07/07/06 17:15:23 [Note]: 7026 0
07/07/06 17:15:23 [Note]: 7026 0
07/07/06 17:15:48 [Note]: FSRAW library version 1.7.1019
07/07/06 17:16:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DMRAO.EXE
07/07/06 17:16:12 [Note]: 7002 32
07/07/06 17:16:12 [Note]: 7003 1
07/07/06 17:16:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\CSSRP.EXE
07/07/06 17:16:12 [Note]: 7002 32
07/07/06 17:16:12 [Note]: 7003 1
07/07/06 17:24:05 [Note]: 7007 0

Nur beim cleanen bin ich dann nicht ganz schalu geworden was ich machen musste, konnte nur "rename" also umbennen auswählen...hab ich dann aber nicht gemacht...

und danke shconma für deine bemühungen

Hallo,
die beiden Dateien:
07/07/06 17:16:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DMRAO.EXE
07/07/06 17:16:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\CSSRP.EXE

benennst du um.
Nach dem Neustart tauchen die dann folgendermaßen auf:
c:\WINDOWS\SYSTEM32\DMRAO.EXE.REN
c:\WINDOWS\SYSTEM32\CSSRP.EXE.REN


diese Dateien löschst du dann.
Danach fixt(Haken davor und auf "fix checked") du folgende Einträge mit Hijackthis:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ED4092A-CE98-4335-9FCD-649531ABBCA9}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB4C30F8-5EB5-4A62-8CA3-3688F8805A8F}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{E00C6640-177C-44A8-8734-FE0327AA7C6D}: NameServer = 85.255.115.99,85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.90
O4 - HKLM\..\Run: [jzdkn.exe] C:\WINDOWS\system32\jzdkn.exe

Falls die Datei C:\WINDOWS\system32\jzdkn.exe noch vorhanden ist kannst du sie auch löschen.

Dann postest du mal ein neues HijackThis Log und berichtest ob es noch irgendwelche Symptome gibt.



Grüße Wildone

So hab das alles gemacht! Bisher hab ich noch nichts festgestellt, aber ich traue dem braten tortzdem noch nicht ganz naja mal abwarten, danke auf jedenfall schonmal!!!!!

Achja hier nohc das log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:14:17, on 07.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

btw: irgend ne ahnung woher die normaler weise kommen ? (die trojaner mein ich)

Hallo,
sieht sauber aus.

Zitat:

btw: irgend ne ahnung woher die normaler weise kommen ? (die trojaner mein ich)

Normalerweise infizierte Dateien die man selbst herunterlädt, z.B. Cracks, o.ä. klingelt da was?

WinVNC hast du mal installiert?


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
sieht sauber aus.

Normalerweise infizierte Dateien die man selbst herunterlädt, z.B. Cracks, o.ä. klingelt da was?

WinVNC hast du mal installiert?


Grüße Wildone

nein da klingelt nichts, weil das nicht mein laptop ist sondern einem freund mienen eltern gehört, der hat keine ahnung von pcs und spi9elt somit keine games bzw. lädt anwendungne hinunter^^

und jo vnc hab ich draufgetna damit ich bei probleemen remoten kann und shcnell helfen^^

Hallo,

Zitat:

und jo vnc hab ich draufgetna damit ich bei probleemen remoten kann und shcnell helfen^^

Dann ist gut, so eine Fernwartung nehmen Trojaner nämlich auch ganz gerne mal vor.

Zitat:

der hat keine ahnung von pcs und spi9elt somit keine games bzw. lädt anwendungne hinunter^^

Kann man sich trotzdem etwas einfangen, gibt dann immmer so Leute die raten dann einem einen Keygen für Nero zu besorgen usw.
Theoretisch ist es aber auch möglich das sich das ganze über eine Browserlücke infiziert hat.


Grüße Wildone

Jo er benutzt immer IE obwohl ich FF drauf getan habe und ichs schon x mal gesagt habe... naja wayne!

Danke für deine super Hilfe und vor allem auch Schnelle!

Super Board hier

nur noch etwas, das evtl. nich direkt etwas mit dem zu tun hat, bei Sygate hab ich die sachen folgendermassen erlaubt (fragenzeichen bedeuetet, das jedesmal nachgefragt wird wenn die anwendung auf internet zugerifft):



soll ich das so lassen? war mir am anfang nicht sicher, ob der trojaner nicht
selbst neue trojaner aus inet runterlädt, deshalb hab ich die 2 geblockt...

Hallo,
sorry mit Desktopfirewalls kenne ich mich überhaupt nicht aus, sowas benutze ich aus Prinzip nicht. Lektüre.


Grüße Wildone