Hallo Nutzer des Trojaner-Boards,
wende mich an Euch, um einen Rat oder Hinweis über mein System (Windows XP) zu bekommen.
Ich hatte vor ca. 2 Monaten einen Trojanerbefall mit "Trojan.Win32.Agent". Dieser wurde vom verwendeten "High Secure Professional" (2007 von F-Secure) umbenannt und von mir danach gelöscht (im abgesicherten Modus).
Danach lief das System problemlos weiter, Prüfungen mit o.a. Schutzprogramm, wie auch das eingesetzte "Spybot" brachten keine gravierenden Meldungen. Lediglich wurde einige Cookies gefunden.
Seit rund 10 Tagen jedoch treten jedoch folgende Probleme auf:
1. Bei Nutzung des Internets (über Internet Explorer 6) werden Seiten angezeigt und kurz danach erfolgt keine Reaktion. Der Windows Task Manager bringt: "Keine Rückmeldung". Dies häuft sich zunehmend.
2. Beim Hochfahren des Systems erscheinen vertikal bläuliche Streifen vor schwarzem Hintergrund.
3. Wenn das System in Betrieb ist, sind die Anwendungsprogramme (Internet, Tabellenkalkulation, High Secure Professional) von weißen horizontalen Streifen durchzogen, sodass der Text teilweise nicht mehr lesbar ist. Der Desktop ist hiervon nicht betroffen.
Lässt sich aus alledem auf ein "größeres" Problem mit Trojaner o.ä. schließen ?

Hi Gabriel7 und Herzlich Willkommen

Bitte poste als erstes ein HijackThis Logfile (Link ist in meiner Signatur)

Vielen Dank für die schnelle Rückmeldung, Anwendung von Comofix gescheitert, mit Fehlermeldung:
"You can not rename Combofix as Combifix(1).Please use another name, preferbaly made aup of alpahnumeric characters"
Probiere jetzt weiter...

Zitat:

Zitat von Gabriel7

Vielen Dank für die schnelle Rückmeldung, Anwendung von Comofix gescheitert, mit Fehlermeldung:
"You can not rename Combofix as Combifix(1).Please use another name, preferbaly made aup of alpahnumeric characters"
Probiere jetzt weiter...

ComboFix Du solltest HijackThis downloaden und ein Logfile erstellen
ComboFix machen wir später. Bitte deinstalliere vorerst mal ALLE gedownloadeten ComboFix Versionen

Gut hier das Logfile von HijackThis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:13, on 20.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe
C:\Programme\Kabel Deutschland\Common\FSMA32.EXE
C:\Programme\Kabel Deutschland\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Kabel Deutschland\Common\FSMB32.EXE
C:\Programme\Kabel Deutschland\Common\FCH32.EXE
C:\Programme\Kabel Deutschland\Common\FAMEH32.EXE
C:\Programme\Kabel Deutschland\Anti-Virus\fsqh.exe
C:\Programme\Kabel Deutschland\FSPC\fspc.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Kabel Deutschland\Common\FSM32.EXE
C:\WINDOWS\system32\flcss.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Palm\Hotsync.exe
C:\Programme\Kabel Deutschland\FSGUI\fsguidll.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Kabel Deutschland\Anti-Virus\fssm32.exe
C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe
C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kabel Deutschland\FSAUA\program\fsus.exe
C:\Programme\Kabel Deutschland\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kabel Deutschland\FSGUI\fsavgui.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Wolfgang Berger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXAZCPQF\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo!
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Kabel Deutschland\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Kabel Deutschland\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Programme\Palm\Hotsync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B070B35-03BE-4E63-AE7A-F069F8878A8C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B957CDFD-2AE7-41D5-AD89-3A4A9AAEC4A7}: NameServer = 192.168.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

--
End of file - 10303 bytes

Bitte folgende Datein hier online scannen lassen und den Report posten bitte:
C:\WINDOWS\system32\shellexp.exe en

Bitte folgende Einträge fixen:

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

Wie ich gesehen habe hast du Malwarebyte scho Lass es mal bitte laufen, lösche alles gefundene und poste den Report.

Danke für die Hinweise. Eine Suche nach der Datei mit "....shellexp.exe en" im System endete mit dem Hinweis: "Die Datei konnte nicht gefunden werden".
Probiere daher das Weitere aus...

Sry fürs Einmischen aber die shellexp.exe ist nach ersten Googlesuchen ziemlich eklig. Bei der Datei handelt es sich anscheined um den Sheldor-Schädling, der Backdoor-Funktionen hat.

Gabriel, ich wäre mal dafür Du folgst meinen Links zu silentrunners - blacklight und combofix. Führe diese Anwendungen nach Anleitung aus und poste die Logs.

Hier das Ergebnis von :
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 660

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 122883
Scan Dauer: 34 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\explorer (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Okay soweit. Laß mal die anderen Tools nun durchlaufen und poste dann die Logs.

Zitat:

Zitat von root24

Sry fürs Einmischen aber die shellexp.exe ist nach ersten Googlesuchen ziemlich eklig. Bei der Datei handelt es sich anscheined um den Sheldor-Schädling, der Backdoor-Funktionen hat.

Gabriel, ich wäre mal dafür Du folgst meinen Links zu silentrunners - blacklight und combofix. Führe diese Anwendungen nach Anleitung aus und poste die Logs.

Ich weiss darum wollte ich die Datei mal online scannen lassen um sicher zu gehen

Zitat:

Zitat von virus

Ich weiss darum wollte ich die Datei mal online scannen lassen um sicher zu gehen

So wäre ich auch vorgegangen aber anscheinend ist die Datei nicht mehr auffindbar, ob nun gelöscht oder durchs Rootkit eben versteckt könnte beides sein.

Scan mit Blacklight ohne Ergebnis....

Scan mit Blacklight ohne Befund.

Zitat:

Zitat von Gabriel7

Scan mit Blacklight ohne Befund.

2x Blacklight?
Was ist denn mit den anderen Tools? Bitte die Logfiles alle samt posten!