|
Plagegeister aller Art und deren Bekämpfung: Trojaner an Bord - HJT/Adaware/Spybot machtlos?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.09.2007, 13:49 | #1 |
| Trojaner an Bord - HJT/Adaware/Spybot machtlos?! Guten Tag zusammen! Ich habs hier offensichtlich mit nem absolut hartnäckigen Feind zu tun, der einfach nicht zu entfernen zu sein scheint - vielleicht kann mir ja jemand helfen, da ich ein Neuaufsetzen von Windows XP absolut vermeiden möchte... HJT-logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:28:00, on 08.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE D:\PROGRA~1\AVG-GR~1\avgamsvr.exe D:\PROGRA~1\AVG-GR~1\avgcc.exe D:\PROGRA~1\AVG-GR~1\avgupsvc.exe D:\PROGRA~1\AVG-GR~1\avgemc.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe d:\Programme\RealVNC\VNC4\WinVNC4.exe D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE D:\Programme\opera\Opera.exe D:\Programme\AVG-Grisoft\avgwb.dat D:\Programme\AVG-Grisoft\avgvv.exe D:\Download\Safety\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe, O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVG-GR~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero-Ahead\Nero BackItUp\NBJ.exe" O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgemc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Spybot erkennt das hier: Win32.Agent.pz: Settings (Registry value, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Win32.Agent.pz: Program directory (Directory, nothing done) C:\WINDOWS\system32\wsnpoem\ --> Schau ich dann in der Registry (via Spybot) nach - unter: Hkey_Local_Machine\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon sieht dieser Schlüssel "UserInit" so aus: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, Manuelle Änderung in in C:\WINDOWS\system32\userinit.exe, ist dann leider auch nach einem Neustart nicht erfolgreich, die Datei scheint sich einfach nicht entfernen zu lassen... Adaware zeigt mir an: WIN32.BACKDOOR.AGENT »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[2]=RegValue : .DEFAULT\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}" obj[3]=RegValue : S-1-5-18\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}" WIN32.TROJANDOWNLOADER.AGENT »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[4]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}" obj[5]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}" obj[6]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}" obj[7]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}" Und mein AVG7.5 erkennt diverse Trojaner (PSW.Generic5.KFK, DownloaderAgent.RPX) immer wieder - beinahe bei jedem Scan, entweder neue oder die selben...ebenso wie adaware & spybot. Nach diversen Recherchen im Netz hatte ichs davor u.a. mit SmitfraudFix (hat mir schonmal aus der Patsche geholfen) - leider erfolglos: SmitFraudFix v2.215 Scan done at 3:14:02,79, 08.09.2007 Run from D:\Download\Safety\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe D:\PROGRA~1\AVG-GR~1\avgamsvr.exe D:\PROGRA~1\AVG-GR~1\avgupsvc.exe D:\PROGRA~1\AVG-GR~1\avgemc.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe d:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\hanonvt.ini FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport DNS Server Search Order: 192.168.0.1 Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Zwar ist mein Kampfgeist noch nicht erloschen (), aber so langsam gehen mir die tools aus, v.a. da ich nicht so der PC-Spezialist bin - weiß also jemand Rat? Wie gesagt, Neuaufsetzen will ich vermeiden... Vielen Dank schon mal im Voraus für jede Hilfe!!! |
08.09.2007, 17:40 | #2 | |
| Trojaner an Bord - HJT/Adaware/Spybot machtlos?! Hallo
__________________Zitat:
Ich rate dir besorge dir das Servicepack 2 von einem Kumpel auf CD und setze die Kiste nach dieser Anleitung neu auf Neuaufsetzen des Systems und anschliessende Absicherung! Ändere nach der Neuinstallation auch alle deine Pass/Kennwörter. MFG |
09.09.2007, 00:35 | #3 |
| Trojaner an Bord - HJT/Adaware/Spybot machtlos?! Danke für die Antwort.
__________________SP2 hab ich wieder runtergenommen, weil das irgendwie nicht passen wollte, der Rechner nur am Rumzicken war & diverse Sachen einfach nicht liefen... Aber es scheint jetzt zumindest so zu sein, dass ich die Kollegen Trojaner losgeworden bin (3x auf Holz geklopft!!!) - hab heute 2x nen escan gemacht & die aufgespürten Schad-Files per Killbox gelöscht...spybot & Freunde melden mir mittlerweile keine Schädlinge mehr & die Registry scheint auch wieder befreit zu sein...hat zwar Ewigkeiten gedauert, aber bin wohl ums Neuaufsetzen rum gekommen...aber hartnäckig war er, der Win32Agent.pz... Nochmals Danke für die schnelle Antwort. |
09.09.2007, 09:18 | #4 | |
Trojaner an Bord - HJT/Adaware/Spybot machtlos?!Zitat:
Du warst kompromittiert, da hilft es nichts, die Server der Backdoors zu löschen, weil du nicht weisst, welche Backdoors noch geöffnet wurden! Also ran ans Neuaufsetzen! Mfg
__________________ .::Never touch a running system::. .::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::. |
Themen zu Trojaner an Bord - HJT/Adaware/Spybot machtlos?! |
adobe, alert, application, attention, diverse trojaner, e-mail, einstellungen, entfernen, explorer, helfen, hijack, hijackthis, hilfe!!, hilfe!!!, immer wieder, infected, internet, internet explorer, langsam, neustart, opera, pdf, popup, programme, registry, registry value, s-1-5-18, server, software, system, trojaner, userinit.exe, windows, windows xp |