Guten Morgen @all,

ich habe misst gebaut. Ich habe eine Datei ausgeführt wo wahrscheinlich ein Trojaner drin war.
Der Trojaner hat die EXE von meinen Virenprogramm gelöscht ( NOD32 ) und auch die EXE von SpyBot.

Ist das möglich? Wenn ich das Virenprogramm neu installieren möchte kann er dies nicht. Es erscheint die Meldung Archiv kann nicht entpackt werden oder so.

SpyBot lässt sich installieren aber es ist keine EXE da.
Mein WLAN Netzwerk finde ich auch nicht weil irgendein Dienst (WZD oder so) nicht funktioniert.

Ich glaube es ist der Trojaner: Virtool.WinNT/FURootkit.gen
Weil diese Beschreibung passt ja auf mein Problem:

Zitat:

High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.

Kann mir jemand helfen diesen zu entfernen?
Bittteeeee!!!!

Danke

Picard

Dann wirst du deine Kiste Neu aufsetzen müssen oder kannst du noch ein HJT-Log erstellen? Wenn ja poste es und auch einen eScan.
Du bist doch bestimmt über einen anderen Rechner hier im Forum?

Wenn der Name Programme ist und das wirklich ein Rootkit ist, dann setze lieber dein System neu auf, da du nicht weißt was alles verändert wurde.
Daten sichern und nach dem neu aufsetzen die Passwörter für alles ändern.

Ja, es ist möglich das Malware Dateien von Antivirenprogrammen löscht.

Hmm...ich weiß nicht ob es dieser Trojaner ist.
Habe nur die Vermutung. Gibt es keine Möglichkeit dieses zu entfernen?

Ja bin mit einen anderen Rechner drin.
Zu dem Zeitpunkt als der Trojaner auf meinen Rechner kam habe ich nirgendwo passworter eingegeben oder so....

Was muss ich da alles ändern? Online Banking habe ich zu den Zeitpunkt nicht gemacht. Nutze auch StarMoney und habe die PW für die Konten eh nicht gespeichert.

Hoert sich eher nach Bagle an. Der ist derzeit recht aktiv.
Nutz einmal Combofix, der koennte das ausschliessen/bestaetigen...

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Jo, an Bagle habe ich auch gedacht...so etwas hatte mir glaube der Windows Defender auch angezeigt.

Ich probiere es aus. Bin leider nur gerade auf Arbeit und bin erst 17 Uhr wieder zu hause. Mals sehen nur da habe ich ja in Moment leider kein Netz.

Aber der Bagle hat die gleichen eigenschaften?
Was macht der noch so ausßer die Programme löschen?

Danke schön schonmal!

Beschreibungen zu Bagle findest du u.a. hier:
http://www.viruslist.com/de/find?described_only=on&kl_only=on&search_mode=virus&words=bagle&page=1

Die Varianten sind immer etwas anders, aber im "Kern" machen sie das gleiche.

Ok danke erstmal für die Infos.
Ich habe mir auch auf NOD32.de einige WurmTools geladen zu Bagle die ich nacher zu hause testen will.

Kann aber leider erst 17 Uhr zu hause sein.

Danke nochmal ich melde mich!


MFG

Picard

Wenn du nochmal vor dem Nachhause gehen hier reinschaust, dann lade dir das HJT noch runter, Entpacke es und benenne es in abc.com um. wenn die Malware EXE-Dateien angreift, ist es besser wenn man eine COM-Datei nutzt.

Hi,

das ist die Log Datei von HiJackTHis!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:29:29, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Picard\Desktop\Viren_Tools\Tool\HiJackThis\abc.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TW_BrowserHook - {1E1B2879-88FF-11D2-8D96-FFFFAC95951F} - C:\Program Files\Macro ToolsWorks AS\mtwbho.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MalwareBot] C:\Programme\MalwareBot\MalwareBot.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171892199546
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3ECE5C4B-6229-4B8D-A4B8-8D76E7FAFDB9}: NameServer = 192.168.31.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2959400-330D-426B-90B9-B7E3D0B2BEB5}: NameServer = 192.168.31.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 6388 bytes

Ein HijackThis log ist hier nutzlos. Combofix ist das, was interessanter ist.

Konnte ich mir denken.
Aber leider brauche ich den PC, deshalb habe ich gestern Datensicherung gemacht und bin gerade dabei ihn platt zu machen.

Das kotzt mich ein bissel an weil ich gedacht habe ich bin sicher aber naja.

Was nutzt du für eine Virentool? Ich habe bis jetzt NOD32 genutzt.
War seit 3 Jahren sehr zufrieden damit.

Es gibt kein Programm, welches dir wirklich Schutz bietet.Rein theoretisch kannst du auf Av-Programme verzischten. Schuetzen kannst du dich nur selber durch Wissen! Was man machen koennte,bzw was ich ganz interessant finde sind Programme wie Processguard(ist aber schon zu alt), die bei jedem Programm, was man starten moechte, bzw gestartet wird, eine Meldung ausgibt, ob es gestartet werden soll oder nicht. Dise Art von HIPS/IDS finde ich in diesen Zeiten effektiver als reine AV-Programme, da diese immer hinterher haengen. Neue Malware ist so optimiert, das sie von 95% der auf dem neusten Stand gehaltenen AV Software nicht gefunden wird.

Die Nutzung von HIPS/IDS hat aber den Nachteil, das man wissen muss, was einem die Softare meldet. Man muss selber einschaetzen, ob das gewollt oder nicht gewollt ist.

Es gibt im KAV Forum, sehr oft fragen zu dessen Pro activ Schutz, da dies haeufig etwas meldet, was die Useer so verunsichert und sie dazu verleitet irgendwas als aktion zu waehlen, was unter Umstaenden dazu fuehrt, das der Rechner nicht mehr nutzbar ist.

Also hilft dir hier auch wieder nur Wissen und wenn du das Wissen hast, brauchst du auch kein HIPS/IDS/pro activ defense!

Jap du hast recht.
Ich hatte nebenbei im Hintergrund die Comodo Firewall laufen und lasse mir auch alles anzeigen wenn was gestartet werden soll.

Und mein Fehler war das ich wahrscheinlich sogar ausversehen den Wurm oder Trojaner ausführen lassen habe.

Naja man kann immer nur dazu lernen.

Trotzdem vielen Dank für eure schnelle und kompetente Hilfe.
Super Forum, ich setze gerade mein Rechner neu auf.
Die Daten habe ich zum Glück auf eine Externe Platte geholt.

Vielen Dank nochmal, Super Forum!!!


Gruß

Picard