Hallo !

Seit gesternmeldet mit KAV einen Trojaner Der wie folgt heißt

Trojan-Proxy.Win32.Horst.ks
&
Trojan-Proxy.Win32.Horst.kq



und KAV meldet mir den Horst.ks ihn folgender Dateil

C:\DOKUME~1\****\LOKALE~1\Temp\tmp1.tmp

und bei Horst.kq

h**p://up.medbod.com/up/hdd.d.exe?jeel-1_6326_1872/UPX

=======================================================


Ich habe WIN-XP mit SP2 drauf und soweit auch alle Updates.

Vielleicht gibt es ja eine Möglichkeit eine Neuaufsetzung zu umgehen.

Hier mal meine Logs

VielenDank
Gruß
Copykill

==========================================================


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.wallstreet-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://***1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\PROGRA~1\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152088775296
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Advanced System Products, Inc. - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Hi !

Habe ich beim Eintregen der Logs was falsch gemacht ?
Oder weiß einfach keiner was über den Trojaner ???


Gruß
Copykill

Zitat:

Zitat von Copykill

Habe ich beim Eintregen der Logs was falsch gemacht ?

Hallo,

bei deinem Log von HijackThis fehhlen der gesamte Autostart sowie die Angaben zum Betriebssystem!

Bei dem Rest konnte ich nur einen schädlichen Eintrag finden:

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Hierbei handelt es sich höchstwahrscheinlich um einen BackdoorTrojaner.
Lass daher die o.g. Datei bei Virustotal auswerten.
Einfach den Pfad reinkopieren, nach der Auswertung das Ergebnis posten.
(markieren, kopieren und hiier einfügen in einen Beitrag.

Gruß
Sunny

Hallo !

Hier mal der noch fehlende Teil meiner Logs


Gruß
Copykill :-)


Logfile of HijackThis v1.99.1
Scan saved at 12:24:26, on 18.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\****\Desktop\DL-Programme\hijackthis\HijackThis.exe

Und hier das Ergebniss von Virus Total.
Sieht beängstigend aus

Gruß
Copykill

Antivirus Version Update Result
AntiVir 7.2.0.30 10.18.2006 HEUR/Malware
Authentium 4.93.8 10.18.2006 Possibly a new variant of W32/IRCBot-based!Maximus
Avast 4.7.892.0 10.18.2006 no virus found
AVG 386 10.18.2006 BackDoor.Generic3.RKB
BitDefender 7.2 10.18.2006 no virus found
CAT-QuickHeal 8.00 10.18.2006 Trojan.Horst.gen
ClamAV devel-20060426 10.18.2006 no virus found
DrWeb 4.33 10.18.2006 Trojan.Spambot
eTrust-InoculateIT 23.73.25 10.18.2006 no virus found
eTrust-Vet 30.3.3141 10.18.2006 Win32/Boxed!generic
Ewido 4.0 10.18.2006 no virus found
Fortinet 2.82.0.0 10.18.2006 Horst!tr
F-Prot 3.16f 10.18.2006 Possibly a new variant of W32/IRCBot-based!Maximus
F-Prot4 4.2.1.29 10.17.2006 W32/IRCBot-based!Maximus
Ikarus 0.2.65.0 10.18.2006 no virus found
Kaspersky 4.0.2.24 10.18.2006 no virus found
McAfee 4875 10.17.2006 no virus found
Microsoft 1.1603 10.18.2006 no virus found
NOD32v2 1.1809 10.18.2006 a variant of Win32/Medbot.BS
Norman 5.80.02 10.18.2006 no virus found
Panda 9.0.0.4 10.18.2006 Suspicious file
Sophos 4.10.0 10.15.2006 Troj/Horst-Gen
TheHacker 6.0.1.100 10.18.2006 Trojan/Horst.b2
UNA 1.83 10.17.2006 no virus found
VBA32 3.11.1 10.18.2006 Trojan.Spambot
VirusBuster 4.3.7:9 10.18.2006 Trojan.Medbot.Gen!Pac8

Es gibt soviele Varianten der smss.exe, du hast eine extrem schlechte erwischt:

Troj/IRCBot-OA

Dabei hilft nur noch eine Neuinstallation, sichere deine Daten, achte darauf das keine ausführbaren Programme dabei sind...

Sorry, ein anderer Weg ist ausgeschlossen.
(zumal ja noch eine andere Datei infiziert ist!)

Gruß
Sunny

Hi !

Na dann fange ich mal an meine Dateien zu sichern und setze das System neu auf.

VielenDank
Gruß
Copykill