Hi und Hallo!

Ich hoffe, ihr könnt mir helfen. Bis vor wenigen Tagen hatte ich Norton installiert. Nun war aber die Lizenz abgelaufen und ich bin daher auf AntiVir umgestiegen.

Nach nur zwei Tagen gab es die erste Trojaner Meldung. Heute habe ich dann mal das System geprüft und 23 Trojaner gefunden!!! Ich habe keine Ahnung voher die nun gekommen sind! Für Hilfe zwecks Entfernung wäre ich dankbar. Anbei findet ihr das Protokoll von AntiVir und HJT.

Vielen Dank im voraus. Euer Parter
___________

ProtokollAntivir:

C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP11\A0005112.exe
[FUND] Ist das Trojanische Pferd TR/Click.Age.dj.5.A
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP11\A0005120.exe
[FUND] Ist das Trojanische Pferd TR/Puper.L.1
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP11\A0005121.exe
[FUND] Ist das Trojanische Pferd TR/Click.Age.dj.5.A
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP11\A0005122.dll
[FUND] Ist das Trojanische Pferd TR/Puper.M
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP9\A0005097.exe
[FUND] Ist das Trojanische Pferd TR/Puper.L.1
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP9\A0005098.exe
[FUND] Ist das Trojanische Pferd TR/Click.Age.dj.5.A
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP9\A0005099.dll
[FUND] Ist das Trojanische Pferd TR/Puper.M
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001266.exe
[FUND] Enthält Signatur des Droppers DR/Click.Linker.J.2
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001270.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001271.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001272.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001273.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001274.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001275.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001276.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001277.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001278.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001279.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001280.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001281.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP5\A0001282.dll
[FUND] Ist das Trojanische Pferd TR/Puper.af.2.B
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP7\A0003278.sys
[FUND] Ist das Trojanische Pferd TR/FURootkit.C
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{729EB5B6-A898-4844-B31C-B2D616A81281}\RP7\A0003285.sys
[FUND] Ist das Trojanische Pferd TR/FURootkit.C
[INFO] Die Datei wurde gelöscht.
________

HJT

Logfile of HijackThis v1.99.1
Scan saved at 16:42:04, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Viren&Co\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA13E96-24B9-4B53-90A6-A6AD950FFB38}: NameServer = 129.70.182.8,129.70.4.243
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA32A7D-C0FD-4DBC-80D1-64FDFD153ECC}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{59A6C1E4-569B-4953-B8A0-CB9ABCA914B3}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Hallo Pater oder Parter?

Studierst du an der Uni Bielefeld oder arbeitest da?

Dein log sieht sauber aus. Du hast es nach dem AntiVir durchlauf gemacht oder?
Da ein Rootkit gefunden wurde mach bitte einen scan mit diesem Prog.:
F-Secure Blacklight > Rootkit Elimination Technology und poste das komplette logfile.

Hast du AntiVir auf hoechster Sicherheitsstufe laufen lassen? Um das Programm noch besser einstellen zu koennen musst du dir die erweiterten Optionen anzeigen lassen.

Gruss Undoreal

Kann nicht mehr editieren.

Wenn du nicht an der Uni bist dann fixe bitte folgenden Eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA13E96-24B9-4B53-90A6-A6AD950FFB38}: NameServer = 129.70.182.8,129.70.4.243

Bis morgen

Das gilt umso mehr für die folgenden Einträge:

Zitat:

Zitat von Pater

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA32A7D-C0FD-4DBC-80D1-64FDFD153ECC}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{59A6C1E4-569B-4953-B8A0-CB9ABCA914B3}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

Wenn du nicht in der Ukraine bist, fixen.

Gruß, Franz

Auch wenn ich hier momentan im Board nicht aktiv werden wollte, kann ich dem Thread-Opener nur folgendes ans Herz legen:

Alle was bis jetzt gepostet wurde ist absoluter SCHWACHFUG.

Diesen Eintrag:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA13E96-24B9-4B53-90A6-A6AD950FFB38}: NameServer = 129.70.182.8,129.70.4.243

..unter garkeinen Umständen fixen!

ebenso diese:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA32A7D-C0FD-4DBC-80D1-64FDFD153ECC}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{59A6C1E4-569B-4953-B8A0-CB9ABCA914B3}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

Mit hoher Wahrscheinlichkeit würde danach deine Internetverbindung zusammenbrechen!

Arbeite das hier ab:

1. DNS-Einträge entfernen:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA32A7D-C0FD-4DBC-80D1-64FDFD153ECC}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{59A6C1E4-569B-4953-B8A0-CB9ABCA914B3}: NameServer = 85.255.114.104,85.255.112.103
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

2. Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


@all
BITTE nur dann posten wenn ihr euch wirklich SICHER seit was angebracht ist!!!

Sunny

O.k. I'm sorry ! ! !

Oh! Ich auch - für's aus der Hüfte schießen.

Hallo!

Viele Dank für die Hilfe. Habe erst heute die Antworten gelesen und daher nur auf [Gc]Sunny gehört.

Habe alles ausgeführt, wie Du es beschrieben hast. Das AV hat im abgesicherten Modus nix gefunden. Ist das Problem damit erledigt? :aplaus:

Ich werde jetzt erstmal Arbeiten. Falls der Trojaner noch da ist, sollte er sich ja bald wieder melden bzw. das AV.

Herzliche Grüße
Pater