Hallo liebe Forumleser und hoffentlich Fragenbeantworter!

Ich habe seit kurzem wohl einen oder mehrere Trojaner auf meinem Windows XP Home.

Der erste kommt nahezu immer, wenn ich irgendwo drauf klicke und beim Windowsstart gleich 10 mal hintereinander bei Antivir als Meldung.
Diese Meldung sagt mir, dass sich in der Datei
C:\Windows\system32\clbdll.dll
das Trojanische Pferd
TR/Dldr.Agent.gpr
eingenistet hat.
Egal ob ich nun anklicke, dass ich es löschen, in Quaratäne verschieben oder den Zugriff verweigern soll, die Meldung erscheind andauernd wieder.

Dieser Trojaner ist der erste, welcher auftauchte, doch kurz danach kamen auch noch:
TR/Crypt.XPACK.Gen
und
TR/lowzones.SG
dazu.
Soweit ich mich erinnern kann, kamen zwischendurch noch ein paar andere Namen, doch diese habe ich heute noch nicht gesehen und abschreiben können ...

Diese Trojaner haben mein Administratorkonto infiltriert. Sie haben meinen Taskmanager deaktiviert. Sobald ich versuche mich als Administrator anzumelden (Habe vorher auf den Willkommensbildschirm umgestellt und mit Ausführen - cmd - net user Administrator *** ein Kennwort eingegeben) bekomme ich diese Meldung:

Wegen einer Kontobeschränkung dürfen Sie sich nicht anmelden.

Hilft nun noch irgendetwas außer Formatieren und Windows neu draufziehen?
Ich habe keine Lust das ganz nochmal zu machen, habe ich gerade letztes WE gemacht. Das blöde wäre ja noch, dass mir meine Linuxpartition abhanden kommen würde, wenn ich Windows neu drauf ziehen würde ...

Hättet ihr eine Idee, wie ich meinen PC endlich wieder normal laufen lassen kann?

Liebe Grüße und in der Hoffnung auf Antwort,
Sylin

Poste mal ein HijackThis Logfile


gruß

schrauber

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:19, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ares\Ares.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Alica\Spiele\VD1\RPG_RT.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Alica\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Alica\LOKALE~1\Temp\winlogan.exe
O4 - HKLM\..\Run: [a4637172] rundll32.exe "C:\WINDOWS\system32\fwulrjhe.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Alica\LOKALE~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [WintelUpdate] c:\d.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Alica\LOKALE~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://h**p://games.icq.com/online/o...ploader_v6.cab
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe




So ... Das ist dann mal der HJT Logfile

Zitat:

Hilft nun noch irgendetwas außer Formatieren und Windows neu draufziehen?
Ich habe keine Lust das ganz nochmal zu machen, habe ich gerade letztes WE gemacht.

dann hast du es aber nicht sauber gemacht,oder wie hast du diesen seuchenzoo in einer woche auf den rechner bekommen??

bereinigen wär zwar eventuell möglich,aber ich würd bei dem befall die finger davon lassen. mein rat:

schnapp dir deine windows-cd und das ganze nochmal von vorne,diemal richtig. anleitung in meiner signatur.

kann sein dass vllt jemand anderes hier die reinigung durchzieht,aber glaub mir. formatieren is schneller.

gruß

schrauber

Naja...

Ich weiß auch nicht wie ich das hinbekommen haben soll ...
Vorher hatte ich gar kein Problem mit Trojanern oder ähnlichem Getier.

Ich hab die olle Windows CD bei meinen Eltern gelassen, was bedeutet, dass ich da frühestens nächstes Wochenende drankomme.

Gibt es gegen dieses Problem nicht ein Programm das diesen Trojaner vertilgt und ich in Ruhe einen PC ohne Viren etc. bediehnen darf?

hi,

sorry für die verspätete antwort. sicher gibt es tools,die diese malware vom system holen. es ist nur fraglich,in wie weit dein system kompromittiert ist. sprich es ist nicht auszuschließen,dass nicht alles gefunden und bereinigt wird, und ein dritter immernoch zugriff auf deinen rechner hat.

und davon muss man immer ausgehen,wenn ein trojaner mit backdoor-charakter auf dem rechner ist.

lies mal hier:

Technische Kompromittierung ? Wikipedia


man könnte sowas versuchen zu bereinigen,aber wie schon gesagt. du hast den rechner erst neu aufgesetzt,also weißt du dass es nicht viel arbeit ist. und um ein wirklich sauberes und sicheres system zu haben solltest du es nochmal machen,gerade aus dem grund weil du es erst gemacht hast.

du hast mit sicherheit nicht formatiert um direkt im anschluss wieder so zeug auf dem rechner zu haben

gruß

schrauber

Sry, aber ich weiß wie man Windows neu drauf zieht, bin Elektronikerin und hatte das spätestens in der Ausbildung ziemlich ausführlich. Aber was ihr hier im Forum an Infos rumfliegen habt ist ziemlich gut. Würde mir sehr helfen wenn ich mal Probleme in diese Richtungen hätte. Aber zum Thema: Ich fang an zu heulen wenn ich sehe was mein Windows mir da wieder eingebrockt hat...
Ich versuche es momentan mit
http://de.trendmicro-europe.com/hous...jetzt+pr%FCfen
Das würde mir empfohlen, ob es etwas bringt weiß ich noch nicht. Das wird wohl ein wenig dauern.


Ja, ich schätze, dass es wirklich am einfachsten wäre, meinen PC nochmal neu mit Windows und Linux zu installieren. Doch werde ich dazu wohl noch ca. 2 Wochen warten müssen. (Windows & Linux CD's bei Eltern, diese im Urlaub und ich zu arm zum Fahren)

Mit dem Linux-Teil meines Rechners komme ich aber auch leider nicht an die alle Windowssachen ...

lg Sylin

wir versuchen mal was:

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
Fotospyware
GeeksToGo

Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.


2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

gruß

schrauber

Sry, ich dachte das sei schon abgeschlossen ...
Habe eben erst bemerkt, dass du mir doch noch etwas geschrieben hast, Danke deswegen.
Leider funktioniert dieses ComboFix nicht, oder ich mache etwas falsch. Denn ich habe alles ausgeschaltet was im entferntesten damit zu tun haben könnte und alle Anwendungen beendet. Trotzdem reagierte es nicht im geringsten auf Doppelklicks.
Was habe ich falsch machen können?


lg Sylin

naja ich hab dir nochmal geantwortet weil du unbedingt ne reinigung versuchen wolltest. ich halte Neuaufsetzen immernoch für besser,und weiß auch nicht ob diese maßnahmen überhaupt richtig wirkung zeigen.

wenn du es trotzdem probieren willst lösch die combofix.exe und lad sie neu herunter,probier es wieder nach anleitung,es kann je nach befall und rechnerleistung schon lange dauern,bis das prog startet,genauso wie der eigentliche ablauf.


gruß

schrauber

Hallo,

der Schädling macht eigentlich keinen großen Schaden und kann gut entfernt werden. Das Problem ist, daß er komplett beseitigt sein muß, weil er sich sonst mit jedem Browserstart und auch auf anderen Wegen wieder aktiviert bzw. vermehrt. Er tritt meist in Gruppen auf, sodaß es nicht verwunderlich ist, dass du plötzlich "jede Menge" Feinde im System hast.

Der Agent und seine "Familie" treten in den letzten wochen verstärkt auf, er wird wohl meist in verpackten (zip, rar etc) Dateien beigefügt und mit einem Installer dann parallel installiert. - Also immer dran denken: erst die verpackte Datei mit Virenschutz scannen und nach dem Entpacken nochmals!

Die Freeware von "malwarebytes" (googeln) aufspielen und einen vollständigen Suchlauf starten. Der PC sollte keine Internetverbindung haben.
Es werden wohl ca. 12 Schädlinge erkannt und "beseitigt". - Die zum Löschen ausgesuchten Anwendungen werden gleichzeitig gesichert und können später bei Bedarf wiederhergestellt werden. Firewall und andere Virensoftware abstellen nach dem Download, wenn der PC vom Netz ist.

Während dem SCAN gehen jede Menge Fenster auf, vermeintlich von MS etc.! Möglichst nicht beachten und auf einem Stapel sammeln. Auf jeden Fall nicht auf "ok" oder sonstwo auf das Feld klicksen! Wenn unbedingt nötig, dann in der Taskbar mit rechter Maustaste schliessen!

Danach nicht gleich neustarten, sondern die Internet-Explorer-Einstellungen zurücksetzen (Eigenschaften von Internet - Erweitert - zurücksetzen).

Jetzt neu starten und die Spuren (vor allem "temp") werden von "malwarebytes" vollends beseitigt.

Hinweis: Bei diesem Neustart sollte der PC auch noch nicht am Netz sein!
Die Software läßt sich auch bei infiziertem PC installieren. Jedoch geht die Geschwindigkeit "in die Knie". Also zeit einplanen!

Wenn alles erledigt ist, Firewall & Virenschutz einschalten und auf hohe Sicherheitsstufe stellen. IE_7 Startseite kontrollieren bzw. neu festlegen. Netzverbindung herstellen (IE 7 muß beim Öffnen noch kurz konfiguriert werden), dann weiter zur Startseite. Die Meldungen der Firewall einzeln quittieren und erst später Automatismen zulassen, wenn keine Fehler mehr aufkommen.

Viel Glück / Hardy

Muss ich irgendetwas machen, wenn ich eh nur Mozilla Firefox benutze? Ich mein, ich mache den Internet Explorer nie auf und werde es wohl auch in zukunft nie brauchen (man brauch IE nur ein mal: um Mozilla herunterzuladen )
Vielen Dnak für diese Antwort, werde das gleich mal alles durchgehen ...

Wird als Virenschutz Antivir reichen, oder soll ich mir da etwas anderes kostenloses herunterladen? Gibt es eine empfehlenswerte Firewall (oder ist die von Windows gut?)

Und was meinst du mit "Die Meldungen der Firewall einzeln quittieren und erst später Automatismen zulassen, wenn keine Fehler mehr aufkommen"? Ich weiß im Moment nicht was die mir für Meldungen bisher so geschrieben hat, aber ich erinnere mich da gerade an keine ...

lg und vielen Dank,
Sylin