Guten Abend, ich brauche eure Hilfe!

Nach langer Netzrecherche habe ich bereits herausfinden können, dass die Datei O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe auf böse Machenschaften eines Trojaners zurückzuführen ist.

Doch welcher Trojaner steckt dahinter? Und wie kriege ich meinen Rechner wieder clean?

Danke - schon alleine dafür, dass ihr euch hier auf h**t://www.trojaner-board.de mit den Problemen anderer befasst!


Meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:47:44, on 14.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\MSI\PC Alert 4\CoolerXP.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\Tools\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://news.google.de/nwshp?ie=UTF-8&oe=UTF-8&hl=de&tab=wn&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - Startup: Verknüpfung mit CoolerXP.lnk = C:\Programme\MSI\PC Alert 4\CoolerXP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178762074581
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

Moin

Zitat:

Nach langer Netzrecherche...

Doch welcher Trojaner steckt dahinter?

erster Treffer bei der Googlesuche führt mich auf diese Seite --> TR/PSW.Small.B.1 - Vollständig
aber um sicher zu gehen mach bitte alle versteckten Dateien und Ordner sichtbar und lass dann diese Datei :
C:\WINDOWS\9129837.exe
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Guten Morgen, und ersteinmal vielen Dank für die Antwort.

Zitat:

Zitat von nochdigger

erster Treffer bei der Googlesuche führt mich auf diese Seite

... richtig, diese Seite hatte ich auch gefunden konnte aber mit den Informationen nichts anfangen.

Zu deinen Anweisungen: Kann die Datei "C:\WINDOWS\9129837.exe" nicht scannen lassen, weil ich sie auch mit der Suchfunktion nicht finden kann.
(Versteckte- und Systemdateien sind sichtbar)

Eine andere Möglichkeit?

Moin

versuche den Pfad

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

auf der Seite Virustotal oben in das weiße Feld neben dem Button - Durchsuchen... - direkt rein zu kopieren und klicke auf - Send - dann heißt es warten kann einige Minuten dauern.
Reiche bitte die Auswertung von Blacklight nach.

MFG

Muss nun noch etwas hinzufügen:

Um überhaupt die Möglichkeit zu haben hier ins Forum zu gelangen hatte ich heute Nacht mit "hijackthis" die file C:\WINDOWS\9129837.exe gefixed.

Auf deine Anwort hin, nochdigger, habe ich mithilfe der backupfunktion von HijackThis diese Datei wiedergestellt um der Sache auf den Grund zu gehen!

... scheine mich damit aber für den Holzweg entschieden zu haben: Ich kann diese file definitiv nicht mehr finden. Auch nicht direkt über Virustotal wie oben beschrieben.

Habe ich mir damit endgültig verbaut den Trojaner aufzuspüren?

Nachträglich noch mein Blacklight-log:

06/14/07 13:06:12 [Info]: BlackLight Engine 1.0.61 initialized
06/14/07 13:06:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/14/07 13:06:13 [Note]: 7019 4
06/14/07 13:06:13 [Note]: 7005 0
06/14/07 13:06:23 [Note]: 7006 0
06/14/07 13:06:23 [Note]: 7011 868
06/14/07 13:06:23 [Note]: 7026 0
06/14/07 13:06:23 [Note]: 7026 0
06/14/07 13:06:25 [Note]: FSRAW library version 1.7.1021

Meldung von Blacklight:"Scan complete. No hidden items found."

Bin ich den ganzen Ärgern durch das fixen von "C:\WINDOWS\9129837.exe" schon losgeworden?

Moin

Zitat:

Bin ich den ganzen Ärgern durch das fixen von "C:\WINDOWS\9129837.exe" schon losgeworden?

ich fürchte nicht, da der Schädling (ich denke jedenfalls er ist es) sich mit Rootkittechniken zu verstecken weiß (lies dir die verlinkte Seite bitte mal durch).
Ich rate dir folge dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
ändere auch nach der Neuinstallation alle deine Pass/Kennwörter.

MFG

Neuaufsetzen des Systems - gibt es denn wirklich keine andere Möglichkeit?
Habe mein System erst letzten Monat in vielen Stunden Arbeit komplett erneuert. Und woher weiss ich, dass der Trojaner wirklich so gefährlich ist, dass er all die Mühen nötig macht?
Wie sicher ist es sich darauf zu verlassen, dass AntiVir vemeindlich infizierte Dateien restlos löscht?
...ich mag nicht!
Danke

Hallo

Zitat:

Neuaufsetzen des Systems - gibt es denn wirklich keine andere Möglichkeit?

es gibt natürlich andere Möglichkeiten.

Zitat:

Und woher weiss ich, dass der Trojaner wirklich so gefährlich ist, dass er all die Mühen nötig macht?

Du weißt es nicht und ich kann es auch nur vermuten.
Ich rate dir das Neuinstallieren nicht zum Spaß an sondern, weil ich der Überzeugung bin, dass das wirklich ein schlimmer Finger war/ist

Zitat:

Auswirkungen:
• Erstellt eine potentiell gefährliche Datei
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Zitat:

Wie sicher ist es sich darauf zu verlassen, dass AntiVir vemeindlich infizierte Dateien restlos löscht?

die Wirtsdatei kann evtl. gelöscht werden veränderte Systemdateien und eingerichtete Hintertüren wird AntiVir kaum aufspüren.

MFG