| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: verschiedene hartnäckige Trojaner, PC langsamWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
17.05.2008, 07:46
| #1 |
 |  verschiedene hartnäckige Trojaner, PC langsam Hallo! Da mein PC plötzlich total verseucht war, hab ich die Festplatte formatiert und alles neu installiert. Leider kamen die Probleme gleich wieder. Ich benutze zur Zeit eine Probeversion von Kaspersky Internet Security 7.0. (Vorher Anti-Vir Freeware). Das Programm findet immer wieder Trojaner und meldet häufig Sypware-Angriffe, Phishingversuche usw. Der letzte Trojaner war Win32.monder, der immer wieder kommt. Vorher hatte ich schon Win32.KillAV und Vundo. Auch ein Suchlauf im abgesicherten Modus mit Neustart hat nicht geholfen. Mittlerweile kann ich auf einige Homepages zeitweise nicht mehr richtig zugreifen (z. B. google und yahoo) und phasenweise ist der Rechner so langsam, dass kaum noch was geht. Ich hoffe wirklich, dass mir jemand helfen kann, von Virenproblemen war ich bis vor kurzem verschont geblieben und kenn mich daher überhaupt nicht aus. Hier kommt mein Hijackthis-logfile. An combofix hab ich mich nicht dran getraut wegen all der Warnhinweise. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:42:02, on 17.05.2008 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\phonostar\ps_timer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [480774d1] rundll32.exe "C:\WINDOWS\system32\iinjoxeq.dll",b O4 - HKLM\..\Run: [BM4b34474d] Rundll32.exe "C:\WINDOWS\system32\mkregchu.dll",s O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe -- End of file - 4715 bytes Danke schon mal im Voraus! |
|
17.05.2008, 08:49
| #2 |
| /// the machine /// TB-Ausbilder    | verschiedene hartnäckige Trojaner, PC langsam hi kamark,
__________________1. Vergewissere dich zunächst, dass du auf deinem Rechner alles siehst: (siehe diese Abbildungen, unser Dankeschön an Rene-gad) In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen". 2. Datei Überprüfung Kannst du >>diese<< Datei(en) vorzugsweise mit Virustotal scannen und wenn das Ergebnis vorliegt, den kleinen Button "filter" drücken, dann das Ergebnis (egal wie es aussieht) kopieren und hier posten. Alternativ kannst du diese Datei(en) auch bei virscan oder bei jotti scannen lassen: C:\WINDOWS\system32\mkregchu.dll C:\WINDOWS\system32\iinjoxeq.dll Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit, inklusive Dateigröße und Name, MD5 und SHA1. gruß schrauber |
|
17.05.2008, 09:28
| #3 |
| | verschiedene hartnäckige Trojaner, PC langsam So, die versteckten Dateien hab ich, wie in der Anleitung erklärt, sichtbar gemacht.
__________________Hier schonmal das Ergebnis vom Scan von C:\WINDOWS\system32\mkregchu.dll bei Virustotal (sieht ja gruselig aus!). Hab einfach mal alles kopiert, damit nichts fehlt. Datei mkregchu.dll empfangen 2008.05.17 10:23:55 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 9/32 (28.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBD BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5796 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen176 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 - Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 - McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen176 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 96832 bytes MD5...: cab10f1fd03c901cb4bc374510c2d4c6 SHA1..: c07e1b7442fc4de2b16c7a418acb84fc007fd703 SHA256: 0a4c86d9cb6f5883bbd337661b128ca986d93459305f3a74c2432d02e0168b38 SHA512: 5c9d4c6daea07d80255851e4b88cd43aaf5aaa3e5b681b95cd588c8d4740608e 46e85ab0f9e57f26f65c0b6e572e186502f5fdea0b05db3c077aba8ba25a8e5f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10005a97 timedatestamp.....: 0xdc3e4322L (invalid) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1a000 0x4e00 7.75 d35c085d8f404d925ee1dfa938af86c6 .data 0x1b000 0x12000 0x12000 7.99 910089012c3cb141e6645715b47a6321 .rdata 0x2d000 0x1000 0x400 7.15 cbd28e28ea9931be6efa5aebd5ce6b2a .idata 0x2e000 0x1000 0x400 1.56 4354d933a04348fa7d22536d1398f6ce ( 1 imports ) > kernel32.dll: ExitProcess, GetLastError, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime, TlsFree, lstrcpyA, lstrcpynA ( 0 exports ) Prevx info: 04053268.DLL - Prevx |
|
17.05.2008, 09:31
| #4 |
| | verschiedene hartnäckige Trojaner, PC langsam so, hier noch die Ergebnisse für die Datei C:\WINDOWS\system32\iinjoxeq.dll Vielen Dank für die schnelle Antwort! Datei iinjoxeq.dll empfangen 2008.05.17 10:30:16 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBF BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5798 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen177 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 Trojan.Win32.Monder.fb Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 Trojan.Win32.Monder.fb McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen177 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 90688 bytes MD5...: edb572081b0f5c014005d08979a52538 SHA1..: db74e9d5d5f6ba5114a7787014a4e873c0f029c2 SHA256: bc5dda26549f411dad250007ec621dbe41c3d887c84d6396c188f940773d6bfc SHA512: 4841f3c2b53f53ae03a90470976f4c8039d5fe65791259f841f9aa042d4a7374<br>b6c4828aaee5d21a6ba0588bb0cff9919d0422015eb9afabc4d6086c65d30603 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100063b3<br>timedatestamp.....: 0xdc3854f2L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x18000 0x5600 7.79 f14f4879981053c7b124c4070000051a<br>.data 0x19000 0x10000 0x10000 7.99 eff984969b451a064e0924072cda4523<br>.rdata 0x29000 0x1000 0x400 6.40 b0759c245fe687a61d738abef5b20d28<br>.idata 0x2a000 0x1000 0x400 1.16 96e3213084f40a2797fa63067a104f50<br><br>( 1 imports ) <br>> kernel32.dll: GetLastError, GetLocalTime, LocalAlloc, SetLastError, lstrcpynA, ExitProcess<br><br>( 0 exports ) <br> Prevx info: 03332976.DLL - Prevx |
|
17.05.2008, 09:34
| #5 |
| | verschiedene hartnäckige Trojaner, PC langsam Sehe gerade, dass ich beim ersten Mal wohl was falsches gepastet habe, sorry! Hier nochmal die Ergebnisse vom Filter für C:\WINDOWS\system32\mkregchu.dll: Datei mkregchu.dll empfangen 2008.05.17 10:23:55 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBD BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5796 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen176 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 - Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 - McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen176 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 96832 bytes MD5...: cab10f1fd03c901cb4bc374510c2d4c6 SHA1..: c07e1b7442fc4de2b16c7a418acb84fc007fd703 SHA256: 0a4c86d9cb6f5883bbd337661b128ca986d93459305f3a74c2432d02e0168b38 SHA512: 5c9d4c6daea07d80255851e4b88cd43aaf5aaa3e5b681b95cd588c8d4740608e<br>46e85ab0f9e57f26f65c0b6e572e186502f5fdea0b05db3c077aba8ba25a8e5f PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10005a97<br>timedatestamp.....: 0xdc3e4322L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1a000 0x4e00 7.75 d35c085d8f404d925ee1dfa938af86c6<br>.data 0x1b000 0x12000 0x12000 7.99 910089012c3cb141e6645715b47a6321<br>.rdata 0x2d000 0x1000 0x400 7.15 cbd28e28ea9931be6efa5aebd5ce6b2a<br>.idata 0x2e000 0x1000 0x400 1.56 4354d933a04348fa7d22536d1398f6ce<br><br>( 1 imports ) <br>> kernel32.dll: ExitProcess, GetLastError, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime, TlsFree, lstrcpyA, lstrcpynA<br><br>( 0 exports ) <br> Prevx info: 04053268.DLL - Prevx |
|
17.05.2008, 09:47
| #6 |
| /// the machine /// TB-Ausbilder | verschiedene hartnäckige Trojaner, PC langsam hi, Hier die Anweisung für das VundoFix :
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen. gruß schrauber
__________________ --> verschiedene hartnäckige Trojaner, PC langsam |
|
| Themen zu verschiedene hartnäckige Trojaner, PC langsam |
| abgesicherten modus, ad-aware, appinit_dlls, combofix, desktop, dll, einstellungen, explorer, f-secure, festplatte, firefox, google, helfen, hijack, hkus\s-1-5-18, immer wieder, internet, internet explorer, internet security, kaspersky, langsam, mozilla, mozilla firefox, neustart, object, programm, rundll, security, software, suchlauf, system, toolbars, trojaner, windows, windows xp |
Hybrid-Darstellung
