Hallo,

seit einem Tag kämpfe ich mit einem recht hartnäckigen Schädling. Ich benütze Windows XP Home mit allen aktuellen Updates und SP2, dazu sitze ich hinter einer Routerfirewall, habe Norton Internet Security + Antivirus und Sophos auf meinem PC, beide Aktuell.
Gestern bekam ich per ICQ von einer Freundin eine Datei gesandt und öffnete sie, da ich die Person kannte. Die Datei enthielt einen Trojaner, der sich auf meinem Computer installierte und dem Versender vollen Remotezugriff gab. Er änderte als erstes mein ICQ-Passwort und versandte unter meinem Namen die Datei weiter, gab sogar bei Nachfragen meiner Freunde konkret Auskunft warum und weshalb er so eine große Bilddatei versenden würde, dh. es kann kein (reiner) Bot gewesen sein.
Danach versuchte er meinen PC neuzustarten, dem konnte ich jedoch mit shutdown -a entgegenwirken. Ich trennte schleunigst meine Internetverbindung und kontaktierte per Telefon und SMS die Leute auf meiner Kontaktliste, die mir auf die Schnelle einfielen.
Danach habe ich zusammen mit meinem Freund mein System durchsucht und wir sind am Schluss auf eine Datei gestoßen die genau zu dem Zeitpunkt, zu dem ich den versandten Trojaner ausgeführt habe auf meinen PC gekommen ist.
Name oreans.sys findet sich in C:/WINDOWS/system32/drivers/oreans.sys. Google sagte mir, dass es zu einem Protection-System gehört oder als Kopierschutz zu verschiedenen Spielen (ich habe weder das System noch die Spiele auf meinem Rechner) sich aber seit neuestem auch Trojaner dahinter verbergen, die von Virenscannern nicht entdeckt werden.
Sophos schreibt, ein Update gebe es evtl. Oktober 2006.
Die Treiberdatei hängt zusätzlich mit winstall.exe zusammen, dass sie jedesmal aufs neue installiert, wenn der PC neugestartet wird, gesetzt den Fall der Treiber wurde vorher entfernt.
Per Shell ließen sich dann beide entfernen, so dass oreans.sys auch bei einem Neustart nicht mehr auftritt, aber es ist natürlich fraglch, ob nicht noch mehr fehlerhafte Dateien im System herumlungern.

Der Trojaner verbreitet sich momentan rasend schnell und kein von mir getesteter Virenscanner schlägt an: Norton, Sophos, Kaspersky, Kaspersky onlinescanner und G-Data Antivirenkit.
Die Leute, die mir bekannt waren habe ich angerufen, dass ihr Pc nicht clean ist, auch wenn es das Programm sagt, aber es gibt, wie ich nun in einem anderen Forum bemerkt habe wohl einige mehr, die einfach weitersurfen und den Trojaner im Hintergrund evtl. daten ausspionieren lassen.

Ich weiß, das war jetzt ein langer Text und bedanke mich schon mal bei denen, die sich bis zum Schluss durchgekämpft haben. Hier kommt nun das HijackThis-Log. Ich hoffe, es gibt euch ein wenig Aufschluss über die ganze Sache.

Vielen Dank für eure Hilfe!



Logfile of HijackThis v1.99.1
Scan saved at 15:41:56, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138667376691
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AB0670D-DCF9-4F51-B5B1-76A395321C90}: NameServer = 192.168.0.7
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

Zitat:

Zitat von Ophelia

Gestern bekam ich per ICQ von einer Freundin eine Datei gesandt und öffnete sie, da ich die Person kannte. Die Datei enthielt einen Trojaner, der sich auf meinem Computer installierte und dem Versender vollen Remotezugriff gab.

Ein vertrauenswürdiges System erhältst du nur durch Formatieren und Neuinstallation. Beachte dabei die Anleitung unter "Backdoor entfernen" in meiner Signatur.

Gruß
Yopie

Hallo,
danke für die Antwort - formatieren hatte ich sowieso vor sobald ich wieder an meine OS-CD komme die momentan in meiner anderen Wohnung liegt.

Ich habe mich jetzt etwas schlau gemacht über kompromittierte Systeme. Ich habe in den letzten Tagen meinen PC vom Internet getrennt gehalten aber weiter gearbeitet (Bildbearbeitung). Da .JPEG und .PNG Dateien sowie .php Dateien (sind von vor dem Befall aber könnten ja manipuliert worden sein wenn ich die Texte richtig verstanden habe) nicht ausführbar sind, sind sie ja nicht auf höchster Gefahrenstufe einzustufen.

Allerdings habe ich gelesen, dass man auch diese Dateien verifizieren müsste, bevor man sie auf das neue System lädt. Wie mache ich das denn am besten?

Liebe Grüße,
Ophelia

Zitat:

Zitat von Ophelia

Da .JPEG und .PNG Dateien sowie .php Dateien (sind von vor dem Befall aber könnten ja manipuliert worden sein wenn ich die Texte richtig verstanden habe) nicht ausführbar sind, sind sie ja nicht auf höchster Gefahrenstufe einzustufen.

Allerdings habe ich gelesen, dass man auch diese Dateien verifizieren müsste, bevor man sie auf das neue System lädt. Wie mache ich das denn am besten?

Du kannst sie schon auf das neue System lassen, ich würde dann, wenn alles soweit sicher eingerichtet ist, einfach mal zur Gewissensberuhigung einen Scan mit eScan machen. Eine Anleitung ist ebenfalls in der Signatur verlinkt.

Gruß
Yopie