hartnäckiger Trojaner / keine Virenscanner findet etwas

atlantik99 · 19.04.2007, 09:38

Hallo,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen!

Folgendes Problem:
auf meinem Laptop scheint sich irgendwann irgendwie ein Trojaner eingeschlichen zu haben. Ich wollte vor 3 Tagen auf mein Online-Bankkonto vom Laptop aus zugreifen und einige Überweisungen tätigen. Normalerweise mache ich soetwas immer nur von meinem Rechner @home, daher kann ich nicht wirklich sagen, wann sich dieser Trojaner eingeschlichen hat. Nach Eingabe meiner Konto-Nr. und meinem PIN kam plötzlich die Aufforderung, 4 Tans zur weiteren Identifikation einzugeben. Das habe ich natürlich nicht gemacht und hab mich direkt wieder abgemeldet, leider hatten die Bösen nun aber meine Konto-Nr und meine PIN => also PIN ersteinmal vom anderen Rechner aus geändert.

Auf meine Laptop habe ich die freie Version von Antivir. Antivir erkennt jedoch nichts bösartiges. Dann hab ich mir die 30-Tage Versionen von F-Prot und F-Secure runtergeladen. Leider erkennen auch diese Programme nichts. Auch mit HijackThis und Spybot konnte ich das Problem nicht lösen. Was zum Teufel kann das sein?

Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen. Kann sich die jemand mal bitte ansehen?

Vielen Dank!

atlantik99 · 19.04.2007, 09:39

hier kommen noch die anderen LOG-Dateien...

Franz1968 · 19.04.2007, 09:48

Hallo.

Zitat:

Zitat von atlantik99

Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen.

Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.

Wie hast du die (vermeintliche) Seite deiner Bank aufgerufen? Adresse per Hand eingetippt oder ein Bookmark benutzt? Oder irgendwo einen Link angeklickt?

atlantik99 · 19.04.2007, 10:57

[QUOTE=Franz1968;263616]Hallo.

Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.
QUOTE]

Von Hand eingegeben. Egal auf welches Banking-Portal ich gehe, ich bekomme immer die TAN-Abfrage. Sobald ich in der Anmeldemaske (alle Bankportale) als Konto-Nr. 12345 und Passwort 12345 eingebe, kommt die Meldung mit den TANs. Bei manchen Banken sind es nur 4 TANs, bei andere manchmal auch bis zu 6 TANs.

Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)

Franz1968 · 19.04.2007, 11:09

Zitat:

Zitat von atlantik99

Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)

Wird schon gehen. Eine TAN brauchst du dazu jedenfalls nicht.

Bitte scanne gleich im Anschluss dein System mit Blacklight von F-Secure und poste das Log.

atlantik99 · 19.04.2007, 11:09

Sorry, ich weiß nicht wirklich, was Du mit vorher editieren meintest. Ich hoffe, dass ist in Ordnung so...

Hier die Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:38, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

Franz1968 · 19.04.2007, 11:23

Ja, das passt. Allerdings scheint dein Logfile in Ordnung zu sein, abgesehen von der Internet-Explorer-Version, die nicht aktuell ist.

Nutzt du beim Online-Banking den IE?

Bitte erstelle vorsichtshalber noch ein Logfile, nachdem du Hijackthis.exe in abc.com umbenannt hast. Es gibt Malware, die sich vor der Hijackthis.exe versteckt, nach Umbenennen aber sichtbar wird.

Kannst du die Datei bmnet.dll auf deinem Rechner finden? Wenn ja, lade sie bei Virustotal hoch und poste das komplette Ergebnis, auch wenn nichts gefunden wurde.

atlantik99 · 19.04.2007, 12:26

Ja, ich nutze den IE. Hijackthis hab ich in abc.com umbenannt. Hier die neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:07:08, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MapInfo\Professional\MAPINFOW.EXE
C:\Programme\mg9\prog\mg.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\abc.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

Die bmnet.dll hab ich auch gefunden und bei Virustotal scannen lassen. Ich kannte den Service garnicht. Danke hierfür! Jedoch wurde leider nichts gefunden. Das Ergebnis sieht so aus:

Antivirus Version Update Result
AhnLab-V3 2007.4.19.1 04.19.2007 no virus found
AntiVir 7.3.1.53 04.19.2007 no virus found
Authentium 4.93.8 04.18.2007 no virus found
Avast 4.7.981.0 04.19.2007 no virus found
AVG 7.5.0.447 04.18.2007 no virus found
BitDefender 7.2 04.19.2007 no virus found
CAT-QuickHeal 9.00 04.18.2007 no virus found
ClamAV devel-20070416 04.19.2007 no virus found
DrWeb 4.33 04.19.2007 no virus found
eSafe 7.0.15.0 04.18.2007 no virus found
eTrust-Vet 30.7.3579 04.19.2007 no virus found
Ewido 4.0 04.19.2007 no virus found
FileAdvisor 1 04.19.2007 no virus found
Fortinet 2.85.0.0 04.19.2007 no virus found
F-Prot 4.3.2.48 04.18.2007 no virus found
F-Secure 6.70.13030.0 04.19.2007 no virus found
Ikarus T3.1.1.5 04.19.2007 no virus found
Kaspersky 4.0.2.24 04.19.2007 no virus found
McAfee 5012 04.18.2007 no virus found
Microsoft 1.2405 04.19.2007 no virus found
NOD32v2 2203 04.19.2007 no virus found
Norman 5.80.02 04.19.2007 no virus found
Panda 9.0.0.4 04.19.2007 no virus found
Prevx1 V2 04.19.2007 no virus found
Sophos 4.16.0 04.17.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.19.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.18.2007 no virus found
VirusBuster 4.3.7:9 04.18.2007 no virus found
Webwasher-Gateway 6.0.1 04.19.2007 no virus found

Franz1968 · 19.04.2007, 16:20

Ich wundere mich immer noch über deine Windows- und IE-Version:

Zitat:

Zitat von atlantik99

Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Das "v.2096" gibt HJT üblicherweise nicht aus. Hast du längere Zeit kein Windows-Update gemacht?

Kannst du die folgenden Prozesse zuordnen?

Zitat:

C:\Programme\MapInfo\Professional\MAPINFOW.EXE
C:\Programme\mg9\prog\mg.exe

An den folgenden Eintrag muss jemand ran, der sich mit der O10-Sektion wirklich auskennt. Grundsätzlich kann ein solcher Eintrag ein Zeichen für eine DNS-Manipulation sein, soweit ich weiß.

Zitat:

O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing

Der Blacklight-Scan steht noch aus. Bitte besorge dir auch Silentrunners und poste ein Log.

edit: Und noch ein Auftrag: Eigentlich sollte HijackThis das schon erledigt haben, aber ich würde auch gern einen Blick in die Datei "hosts" werfen, zu finden unter windows\system32\drivers\etc. Öffne sie mit dem Editor und poste ihren Inhalt. Sollte dort tatsächlich der Name (bzw. die Web-Adresse) deiner Bank erscheinen, ersetze ihn durch deine-bank.de o.ä.

atlantik99 · 19.04.2007, 20:50

Ja, die Prozesse kann ich zuordnen. Das sind 2 Routingprogramme die ich nutze, nichts schlimmes...

Hier die Log des "Blacklight-Scans", was immer das auch bedeuten mag... ;-)

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Hcontrol" = "C:\WINDOWS\ATK0100\Hcontrol.exe" [empty string]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Mouse Suite 98 Daemon" = "ICO.EXE" [file not found]
"HKSERV.EXE" = "C:\Programme\Sony\HotKey Utility\HKserv.exe" ["Sony Corporation"]
"SonyPowerCfg" = "C:\Programme\sony\vaio power management\SPMgr.exe" ["Sony Corporation"]
"VAIO Update 2" = ""C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary" ["Sony Corporation"]
"Switcher.exe" = "C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" ["Sony Corporation"]
"(Default)" = "(empty string)" [file not found]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{ED58A35B-B554-42AF-A26C-6F3D424200D3}" = "Sony Power Management Extensiond"
-> {HKLM...CLSID} = "SPMPanel"
\InProcServer32\(Default) = "C:\Programme\sony\vaio power management\SPMPanel.dll" ["Sony Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "KbLogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "LogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Roll Back Shell Extention\(Default) = "{A51DA762-BDD7-11D5-973D-C0539E56E216}"
-> {HKLM...CLSID} = "conmenu Class"
\InProcServer32\(Default) = "C:\Programme\Avira\Unerase\ciasvrue.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Startup items in "Cüneyt" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Cüneyt\Startmenü\Programme\Autostart
"BHODemon 2.0" -> shortcut to: "C:\Programme\BHODemon 2\BHODemon.exe" ["Definitive Solutions, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
bmnet.dll ["Bytemobile, Inc."], 01 - 03
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apache, Apache, ""C:\Programme\Apache Group\Apache\Apache.exe" --ntservice" [null data]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bytemobile Web Configurator, bmwebcfg, ""C:\WINDOWS\system32\bmwebcfg.exe"" ["Bytemobile, Inc."]
gb, gb, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll" [null data]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MySQL5, MySQL5, ""C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="C:\Programme\MySQL\MySQL Server 5.0\my.ini" MySQL5" [null data]
SQL Server (SQLEXPRESS), MSSQL$SQLEXPRESS, ""c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS" [MS]
SQL Server-Browser, SQLBrowser, ""c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe"" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]

----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 53 seconds.
---------- (total run time: 95 seconds)

Und hier noch der Inhalt des hosts:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Also, ich verstehe erhrlich gesagt nur noch Bahnhof. Ich mache nur noch genau das, was Du mir sagst...

Vielen Dank für die Mühe!!!

Franz1968 · 20.04.2007, 15:51

Hallo.
Ich bin erst jetzt dazu gekommen, einen Blick in dein Logfile zu werfen - und werde nicht wirklich schlau aus ihm.
Lade bitte die beiden folgenden Dateien auf Virustotal hoch, lasse sie scannen und poste das gesamte Ergebnis, auch wenn nichts gefunden wurde:

Zitat:

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
redmonnt.dll

(Die zweite der beiden suche zunächst mit der Windows-Suche, nachdem du ggf. versteckte Dateien sichtbar gemacht hast.)

Einen weiteren Eintrag kann ich nicht einordnen:

Zitat:

"(Default)" = "(empty string)" [file not found]

Und dein Blacklight-Log steht noch aus (das hier war Silentrunners).

edit: Einem Posting von MightyMarc verdanke ich die Erkenntnis, dass ich gestern zum Thema hosts-Datei Unsinn geschrieben habe.

Möglich, dass es auf deinem System eine weitere hosts-Datei gibt und dass die auch tatsächlich verwendet wird.
Öffne die Registry (Start -> Ausführen -> regedit) und navigiere zu dem Schlüssel HKLM\System\CurrentControlSet\Services\Tcpip\Parameters. Sieh nach, was unter DataBasePath eingetragen ist (und achte darauf, dass du nichts versehentlich veränderst).
"HKLM" = HKey_Local_Machine

atlantik99 · 20.04.2007, 18:47

Hallo Franz,

sorry, dass ich erst jetzt antworten kann. Ich glaube, ich bin das Ding los geworden. Ich habe gestern Abend meinen Rechner im abgesicherten Modus hochgefahren und Antivir und Spybot nochmals laufen lassen. Antivir hat etwas in ibm00001.dll und ibm00002.dll gefunden und in Quarantäne geschoben. Spybot hat dann im Anschluß den Trojaner "Torpig" gefunden und entfernt. Jetzt kommt auf jeden Fall diese Sch... TAN-Abfrage nicht mehr. Meinst Du ich bin das Ding jetzt wirlich los? Auf jeden Fall meldet nun Antivir und Spybot, dass das System sauber wäre. Wann meinst Du? Sollte ich noch irgendetwas überprüfen?

Auf jeden Fall mal vieeeeeeeeelen Dank für die Unterstützung!!!

Franz1968 · 20.04.2007, 19:04

Zitat:

"C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll" [null data]}

Langsam fange ich an, Silentrunners wirklich zu schätzen.

Zitat:

Zitat von atlantik99

Meinst Du ich bin das Ding jetzt wirlich los?

Tja. Ich sag's dir gleich: Wenn es mein Rechner wäre und ich mit ihm Online-Banking betreiben wollte, würde ich ihm ohne Neuinstallation nicht mehr vertrauen.
Wenn ich nach "Torpig" google, finde ich auf Anhieb eine Variante mit Keylogger- und eine mit Backdooreigenschaften.

Beides passt vordergründig nicht zu dem von dir beschriebenen Problem. Zumindest solltest du Folgendes machen:

Zitat:

Antivir hat etwas in ibm00001.dll und ibm00002.dll gefunden und in Quarantäne geschoben.

diese Dateien aus dem Quarantäneordner heraus bei Virustotal prüfen. Vielleicht hilft eine Angabe der Torpig-Variante. Bei der Gelegenheit prüfe bitte auch die redmonnt.dll aus meinem vorherigen Posting.

atlantik99 · 20.04.2007, 19:50

Hmmm...der Rechner ist wohl leider immer noch nicht sauber. Gerade hat mir der Guard von Antivir wieder etwa neues gemeldet:

TR/PSW.VNZ unter folgedem Pfad

C:\System Volume Information\_restore{CF043E17-BAB5-4C32-9569-52F48D77EA7B}\RP111\A0017682.dll

Die A0017682.dll hab ich natürlich auch gleich wieder in Quarantäne geschoben. Die ibm... von gestern hab ich leider direkt gelöscht, kann sie daher bei virustotal nicht mehr scannen. Die A0017682.dll werde ich auch gleich mal bei virustotal scannen.

Hier das Ergebnis wegen der redmonnt.dll:

STATUS: FINISHEDComplete scanning result of "redmonnt.dll", received in VirusTotal at 04.20.2007, 19:58:33 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.21.0 04.20.2007 no virus found
AntiVir 7.3.1.53 04.20.2007 no virus found
Authentium 4.93.8 04.20.2007 no virus found
Avast 4.7.981.0 04.20.2007 no virus found
AVG 7.5.0.464 04.19.2007 no virus found
BitDefender 7.2 04.20.2007 no virus found
CAT-QuickHeal 9.00 04.20.2007 no virus found
ClamAV devel-20070416 04.20.2007 no virus found
DrWeb 4.33 04.20.2007 no virus found
eSafe 7.0.15.0 04.19.2007 no virus found
eTrust-Vet 30.7.3581 04.20.2007 no virus found
Ewido 4.0 04.20.2007 no virus found
FileAdvisor 1 04.20.2007 No threat detected
Fortinet 2.85.0.0 04.20.2007 no virus found
F-Prot 4.3.2.48 04.20.2007 no virus found
F-Secure 6.70.13030.0 04.20.2007 no virus found
Ikarus T3.1.1.5 04.20.2007 no virus found
Kaspersky 4.0.2.24 04.20.2007 no virus found
McAfee 5014 04.20.2007 no virus found
Microsoft 1.2405 04.20.2007 no virus found
NOD32v2 2207 04.20.2007 no virus found
Norman 5.80.02 04.20.2007 no virus found
Panda 9.0.0.4 04.19.2007 no virus found
Prevx1 V2 04.20.2007 no virus found
Sophos 4.16.0 04.20.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 no virus found
Symantec 10 04.20.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.20.2007 no virus found
VirusBuster 4.3.7:9 04.20.2007 no virus found
Webwasher-Gateway 6.0.1 04.20.2007 no virus found

Aditional Information
File size: 116224 bytes
MD5: 1574dd9d409f2dc45cf82c22b99164a4
SHA1: e645051f6cb4b703ae7ab184f36359175fe9d346
Bit9 info: http

**Sunny** · 20.04.2007, 20:47

Mach in diesem Fall folgendes:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Das sollte dein Problem lösen...achja, und leere den Quarantäne-Ordner von Antivir!

Gruß
Sunny

hartnäckiger Trojaner / keine Virenscanner findet etwas

Plagegeister aller Art und deren Bekämpfung: hartnäckiger Trojaner / keine Virenscanner findet etwas