Die Festplatte möchte ich nicht nur wegen der vielen Arbeit jetzt noch nicht formatieren, sondern auch weil es im allgemeinen Interesse ist diesen neuartigen besonders bösartigen Trojaner zu identifizieren, um evtl. Andere zu warnen oder einen Entfernungsweg zu dokumentieren !


Das System war korrekt abgesichert:

LAN mit Netgear DSL-Router/Modem, enthält bereits eine Firewall

Zusätzlich Lokale Firewall Zonelabs
AntiVir-Virenscanner

Zusätzlich wurde der Rechner häufig mit LukeFileWalker und Cyberdefender EarlySpy gescannt und mit McAffee-Stinger, manuell gestartet, damit keine 2 Virenscanner gleichzeitig laufen.

alles regelmäßig upgedated

Auch mit CCleaner wurde häufig gesäubert und die Festplatte defragmentiert. Reine Datenfiles wurden auf einer 2. HDD mit 50GByte gesichert.

Eine Kopie der C:\ mit DriveImage geht z.Zt. leider nicht mehr, da der Trojaner den USB-Anschluss gegen den Betrieb einer externen USB-HDD sperrt. Ich könnte versuchen eine andere Festplatte einzubauen und DriveImage von der BartPE laufen zu lassen.

So wie ich meinen Trojaner kenne, läuft der AntiVir sehr wahrscheinlich einwandfrei. Normalerweise verhält sich das Programm normal und kann upgedated werden, auch die Virusdefinitionsfiles. Ist der Trojaner böse, so stoppt er den AntiVir. Das merkt man daran, dass der Updater läuft aber nichts mehr updated und geht man mit der Maus auf das Symbol, so geht es weg.

Lässt man nach dem Ausschalten den Rechner über 1 Stunde in Ruhe, so läuft alles wieder !

Christian124

Hallo !

Nun die Ergebnisse:

Das Norman-Entfernungstool findet nichts: Hier steckt wahrscheinlich in getarnten Files Malware drin ?

Die Toolbars habe ich deinstalliert. Habe die Deinstallation mit dem RegCleanr überprüft und zugehörige Einträge entfernt.

CCleaner und Festplattendefragmentierung sind vor wenigen Tagen trotz Trojaner gelaufen.

Christian124

hast du mal einen Online-scanner versucht?

weitere Möglichkeiten:

• gmer
• Rootkit Unhooker
• Avira Rootkit Detection

Habe TrendMicro HouseCall 65 laufen lassen. Hat nach kurzer Zeit einige gering gefährliche Cookies gefunden. Beim Versuch diese zu löschen (bei TrendMicro HouseCall geht das während des Scans) wurde der PC abgeschossen.

Ich meine, bei Wörtern wie Avira oder Rootkit wird der Rechner nach der Eingabe in Google abgeschossen, kann das aber noch einmal versuchen.

hier sind die links:

http://forum.sysinternals.com/upload...ku37300509.rar


http://dl.antivir.de/down/windows/antivir_rootkit.zip

ich hoffe der schlaue Trojaner bekommt nicht raus wer dir auf deine Anfragen antwortet... sorry konnt's mir net verkneifen

Nein,

Das kann er z.Zt. nicht, er ist z.Zt. aus, weil er nach den letzten Attacken mit Sicherheit wieder böse ist, werde gleich die SW aus den Links ausprobieren, ist schon auf dem USB-Memory-Stick.

Werde den kranken Rechner im Abgesicherten Modus starten und die SW in entsprechende Directories kopieren und von dort ausprobieren.

Übrigens, kann ein Rootkit bewirken, dass Spybot Search & Destroy und McAffee-Stinger auch von BartPE CD abstürzen ?

Christian124

Hallo !

Hier die Ergebnisse:

Der GMER läuft durch und liefert folgendes Ergebnis:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-08 22:46:31
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.14 ----


Die anderen beiden Programme RKU und Avira Rootkit Detection laufen nicht (habe nur im abgesicherten Moduus probiert, kein Systemabsturz).

Avira Rootkit Detection lässt sich installieren, läuft aber nicht.

Gruß,

Christian124

dann versuchs im normalen modus.

bei GMER hast du aber nur den automatischen schnellscan ausgeführt oder?

den Button scan hast du nicht betätigt!?

Doch, beim GMER habe ich den Button Scan benutzt, alle Häckchen rechts oben waren gesetzt, er hat die ganze C:\ gescannt.

wie sieht denn das HijackThis log aktuell aus?

RKU läuft auch im normalen Mode nicht.

Der Avira Rootkit Detection lässt sich zwar installieren, das Programm läuft auch an, aber nach drücken des Scan Button sagt er sofort "no rootkit detected" oder so etwas ähnliches, ohne gescannt zu haben.

Hier das Highjackthis-File

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:34, on 08.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HJT\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://cwshredder.net/cwshredder/cwsredir.php?target=tmas
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -

h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) -

h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog

Devices\SoundMAX\SMAgent.exe

--
End of file - 6093 bytes

sorry, ich bin mit deinem guten, bösen, manchmal friedlichen und zur zeit nicht aktiven trojaner und keylogger überfordert.

Meine Empfehlung bleibt weiterhin Neuaufsetzen und absichern.

Vielleicht kann sich das noch jemand anders anschauen.

Hallo,

Sieht man denn im neuen Highjackthis-File nichts ?

Hier noch einmal die Dateien im Problembericht, den nach dem Wiederstart das Windows-Fenster an Microsoft schicken will:

BCCode: 10000050
BCP1: 9015FF5F
BCP2: 000.00000
BCP3: BF813AQA
BCP4: 00000000
OSVer: 5_1_2600
SP: 2.0
Product: 768_1


C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\Mini060108-03.dmp
C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\sysdata.xml


Vielleicht hat oder hatte jemand das gleiche Problem und findet diesen Thread ?

Also für mich klingt das doch sehr nach einem Hardware oder Softwareproblem und nicht Malware.

Hast du RAM/CPU/Festplatten geprüft? Hast du dein System irgendwie getweaked? (Also tuneUp genutzt, Dienste deaktiviert, etc) Hast du mal im Eventmanager geguckt, ob die Fehlermeldungen von Microsoft aufschluss bringen? Hast du dir aufgeschrieben welche Meldungen beim BSoD kamen?

Der Absturz beim Antivirenscan klingt nach einem massiven Temperaturproblem. Hast du die Temperaturen mal überprüft?

Das geht zb mit everest

lg myrtille