Hallo Zusammen!

Bin beim Googlen auf Euer Board gestossen und wie mir scheint, sind hier ein paar echt erfahrene Leute. Hab mir vor ein paar Tagen nen Trojaner eingefangen, bzw. mehrere. Unter anderem so ein Antiviren Tool, daß mich ständig mit Pop-up Meldungen nervte. Dürfte recht bekannt sein, leider hab ich den Namen vergessen, glaub es war WinAntiVirus2006

Hab mit Kaspersky und Counterspy im abgesichteten Modus Scans laufen lassen und etliche unschöne Dinge gefunden. Konnten laut den Progs aber alle entfernt werden.

Weis leider nur noch, daß dieser Kerl hier dabei war:

packed.win32.klone.g

Also laut Kaspersky und Co ist das System wieder sauber, allerdings hätt ich da noch gerne, wenn möglich ne Expertenmeinung dazu.

System läuft auf WinXP SP2. Hab Adaware, Counterspy und Kaspersky drauf, nachdem ich von Norton umgestiegen bin.


Logfile of HijackThis v1.99.1
Scan saved at 17:12:48, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Desktop Clock\DesktopClock.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Installationsprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/Home WU :: WU Wien
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\odokjqfg.dll
O2 - BHO: (no name) - {748E6C81-DC7D-4974-BE84-016C7A71A0D2} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0774C1-7766-4D77-B485-A3C91E8ABFBE}: NameServer = 195.34.133.21 195.34.133.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Anscheinend war deine Bereinigung nicht gründlich genug:

Zitat:

O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\odokjqfg.dll

Dieser Eintrag ist immer noch vorhanden, weitere Einträge:

Zitat:

O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)

Obwohl diese anscheinend wirklos sind wegen "file missing" - nur dummerweise irrt sich HijackThis da manchmal und die Dateien sind trotzdem da.
Ich weiß nicht wieviel Zeit du schon in die Bereinigung investiert hast, aber lass dir sagen, dass das zu unsicher und nicht selten zeitaufwendiger als ein Neuaufsetzen ist.

Werte doch mal bitte die Datei

C:\WINDOWS\system32\odokjqfg.dll

bei Virustotal oder Jotti aus.

Also viel Zeit hab ich nicht wirklich investiert. Kenn mich auch nicht wirklich aus. Mein Horizont endet beim einsetzen von Antivirentools im abgesichteren Modus. Mehr hab ich bis dato nicht gemacht.

Neu aufsetzen is kein problem, dauert ja nicht lange, aber ich würds halt gern mal so versuchen. Reizt mich irgendwie ;-)

zu odokjqfg.dll sagt jotti folgendes:

Datei: odokjqfg.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Juan gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


während des scans bei jotti, wollte sich laut kaspersky ne datei namens openports.dll in einen prozess integrieren, klingt auch phööse. habs mal verboten *g*

Hast du beim Jotti-Scan auf die Dateigröße geachtet? Null Bytes deuten darauf hin, dass der Schädling den zugriff darauf verweigern will.
Besorg dir mal bitte Killbox. Kopier die Adresse der Datei also

C:\WINDOWS\system32\odokjqfg.dll

in das Adressfeld von killbox hinein. Aktivier unten die Option "delete on reboot" und klick anschließend auf das rote Schild mit dem weißen X. Folgende Abfrage ruhig bejahen, dann startet Windows neu.

Anschließend müsste o.g. Datei verschoben sein nach

C:\!killbox\odokjqfg.dll

Werte diese Datei im killbox-Ordner aus.

Hab die Datei wie angegeben mit Killbox bearbeitet. Mit auswerten meinst du schätz ich mal, nochmal mit Jotti Scannen!?

Jotti sagt, daß gleich wie zuvor. Die Datei ist 65 Kb groß.

Datei: odokjqfg.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Juan gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Hab das File dann noch bei Virustotal durchlaufen lassen. Der sagt folgendes:

STATUS: FINISHEDComplete scanning result of "odokjqfg.dll", received in VirusTotal at 07.03.2007, 18:37:57 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.03.2007 no virus found
AntiVir 7.4.0.37 07.03.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.03.2007 no virus found
AVG 7.5.0.476 07.03.2007 no virus found
BitDefender 7.2 07.03.2007 no virus found
CAT-QuickHeal 9.00 07.03.2007 no virus found
ClamAV devel-20070416 07.03.2007 no virus found
DrWeb 4.33 07.03.2007 Trojan.Juan
eSafe 7.0.15.0 07.03.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3760 07.03.2007 no virus found
Ewido 4.0 07.03.2007 no virus found
FileAdvisor 1 07.03.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.03.2007 no virus found
Ikarus T3.1.1.8 07.03.2007 Backdoor.Win32.Elfrit.12
Kaspersky 4.0.2.24 07.03.2007 no virus found
McAfee 5066 07.03.2007 no virus found
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2374 07.03.2007 no virus found
Norman 5.80.02 07.03.2007 no virus found
Panda 9.0.0.4 07.03.2007 Suspicious file
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.02.2007 VIPRE.Suspicious
Symantec 10 07.03.2007 no virus found
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.03.2007 no virus found
Webwasher-Gateway 6.0.1 07.03.2007 Virus.Win32.FileInfector.gen (suspicious)


Aditional Information
File size: 66112 bytes
MD5: 4461a35abae90599ba234268a7d8e182
SHA1: 9fa50d38c4ab037e92f6084f41dedc981124b6ed
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Ah, den Fund im ersten Scan hab ich übersehen. So wie es ausschaut scheint es recht unbekannte odergar brandneue Malware zu sein. Die Aussichten auf einen Erfolg einer Bereinigung schätze ich eher gering ein. Außerdem wer weiß was danoch alles vorher drauf war.

ich schätze du bist mit einem Neuaufsetzen besser beraten, danach hast du die Gewissheit, sauber zu sein