Trojan eingefangen

Groundrocker · 31.07.2008, 21:06

Sorry hab das wohl dann eben ins falsche Forum gepostet.

also heir mein HJT-Log.
Ich hab überall Virus Alert! stehen und gelegentlich popen Fenster auf... bzw auch Tabs im Browser.
Meine Rechte am PC sind zudem auch weg.

Vielleicht kann mir wer helfen.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53: VIRUS ALERT!, on 2008-07-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\lphclqkj0e10p.exe
C:\Programme\rhcgqkj0e10p\rhcgqkj0e10p.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\pphclqkj0e10p.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\Basti\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: fdkowvbp - {54EF0797-AF80-4CF5-AB0C-7E87CCEC3E0B} - C:\WINDOWS\fdkowvbp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF19851.exe /c C:\ComboFix\Combobatch.bat
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [lphclqkj0e10p] C:\WINDOWS\system32\lphclqkj0e10p.exe
O4 - HKLM\..\Run: [SMrhcgqkj0e10p] C:\Programme\rhcgqkj0e10p\rhcgqkj0e10p.exe
O4 - HKLM\..\Run: [f090a734] rundll32.exe "C:\WINDOWS\system32\ykqhmfxw.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Shortcut to WINDOWXP.exe.LNK = C:\WINDOWS\WINDOWXP.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182878080031
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7E0FA2C-E19C-494A-B4CD-77D7BC476CEE}: NameServer = 212.18.0.5 212.18.3.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: eqvwamkl - {77CF4BFE-262C-4E55-80AF-C76A2C2BF397} - C:\WINDOWS\eqvwamkl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 7304 bytes

cosinus · 01.08.2008, 09:21

Hallo

Deine letzte Kur ist gerade mal drei Wochen her. Schonmal über Dein Surfverhalten nachgedacht?

Oder willst Du Daueropfer bleiben?

Code:

ATTFilter

C:\Programme\rhcgqkj0e10p\rhcgqkj0e10p.exe
C:\WINDOWS\fdkowvbp.dll
C:\WINDOWS\WINDOWXP.exe
C:\WINDOWS\eqvwamkl.dll
C:\WINDOWS\system32\ykqhmfxw.dll
C:\WINDOWS\system32\pphclqkj0e10p.exe
C:\WINDOWS\system32\lphclqkj0e10p.exe

Bitte bei Virustotal auswerten lassen und alle Ergebnisse posten!

Mach danach einen Durchlauf mit ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Groundrocker · 01.08.2008, 11:00

Ja, naja hat man eben, wenn man nich richtig guckt, bzw wenn Anti-Vir zwar sagt es ist ein Trojan, aber der bnereits sich durch die MS-Dos-Eingabe schon verbreitet hat wärend Anti-Vir die Meldung bringt...

So. Erstaml auch Danke für die Antwort.
Ich hab Anti-Maleware und Vundo-Fix bereits mal drüber laufen lassen.
Zumindest sind meine Rechte wieder da und die "Virus Alert" Dinger sind auch weg. Meinen Desktophintergrund kann ich im Moment nur nicht mehr anpassen...

Hier die verschiedenen Befunde durch Virus-Total:

Code:

ATTFilter

C:\Programme\rhcgqkj0e10p\rhcgqkj0e10p.exe
Meldung:0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\fdkowvbp.dll
Meldung:0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\WINDOWXP.exe
Meldung:
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.7.29.1	2008.08.01	-
AntiVir	7.8.1.15	2008.08.01	-
Authentium	5.1.0.4	2008.07.31	-
Avast	4.8.1195.0	2008.07.31	-
AVG	8.0.0.156	2008.08.01	-
BitDefender	7.2	2008.08.01	-
CAT-QuickHeal	9.50	2008.07.31	-
ClamAV	0.93.1	2008.08.01	-
DrWeb	4.44.0.09170	2008.08.01	-
eSafe	7.0.17.0	2008.07.29	-
eTrust-Vet	31.6.5999	2008.07.31	-
Ewido	4.0	2008.07.31	-
F-Prot	4.4.4.56	2008.07.31	-
F-Secure	7.60.13501.0	2008.08.01	-
Fortinet	3.14.0.0	2008.08.01	-
GData	2.0.7306.1023	2008.08.01	-
Ikarus	T3.1.1.34.0	2008.08.01	-
K7AntiVirus	7.10.399	2008.07.31	-
Kaspersky	7.0.0.125	2008.08.01	-
McAfee	5351	2008.07.31	-
Microsoft	1.3704	2008.07.28	-
NOD32v2	3317	2008.08.01	-
Norman	5.80.02	2008.07.31	-
Panda	9.0.0.4	2008.08.01	Suspicious file
PCTools	4.4.2.0	2008.08.01	-
Prevx1	V2	2008.08.01	Malicious Software
Rising	20.55.42.00	2008.08.01	-
Sophos	4.31.0	2008.08.01	-
Sunbelt	3.1.1537.1	2008.08.01	-
Symantec	10	2008.08.01	Hacktool.DoS
TheHacker	6.2.96.391	2008.07.31	-
TrendMicro	8.700.0.1004	2008.08.01	-
VBA32	3.12.8.2	2008.08.01	-
ViRobot	2008.7.31.1319	2008.07.31	-
VirusBuster	4.5.11.0	2008.07.31	-
Webwasher-Gateway	6.6.2	2008.08.01	-

C:\WINDOWS\eqvwamkl.dll
Meldung:0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\ykqhmfxw.dll
Meldung:0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\pphclqkj0e10p.exe
Meldung:0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\lphclqkj0e10p.exe
Meldung:0 bytes size received / Se ha recibido un archivo vacio

Combifix-Bericht folgt...

cosinus · 01.08.2008, 11:03

Zitat:

Zitat von Groundrocker

Ja, naja hat man eben, wenn man nich richtig guckt, bzw wenn Anti-Vir zwar sagt es ist ein Trojan, aber der bnereits sich durch die MS-Dos-Eingabe schon verbreitet hat wärend Anti-Vir die Meldung bringt...

WTF??

Bitte einmal ins Deutsche übersetzen, danke!

Groundrocker · 01.08.2008, 11:10

Also ich hatte ein Program, wollte dieses Installieren. Beim öffnen des Zip-Files brachte Anti-Vir auch gleich die Meldung für Virenbefund. Nur dümmlicher Weise ist vorher schon bzw fast zeitgleich mit der Meldung von Anti-Vir die MS-Dos-Eingabeaufforderung aufgegangen und eine Datei (ich gehe mal vom Trojan-Downloader aus) hat es geschaft sich zu installieren. Natürlich hab ich die weitere Instalation abgebrochen aber das war schon zu spät.

Groundrocker · 01.08.2008, 11:32

Da der Combofix-Log so groß ist, hab ich den mal auf meinen Server geladen. Sonst wären es 9 Posts vom Bericht...
Hoffe das passt so.
Lg Basti

ComboFix.txt

Groundrocker · 01.08.2008, 11:35

Siehe Oben

Groundrocker · 03.08.2008, 11:15

Habt ihr mich vergessen?

cosinus · 03.08.2008, 12:42

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

files to delete:
C:\WINDOWS\{00000001-00000000-00000009-00001102-00000008-10211102}.BAK
C:\WINDOWS\isRS-000.tmp
C:\WINDOWS\fdkowvbp.dll
C:\WINDOWS\WINDOWXP.exe
C:\WINDOWS\eqvwamkl.dll
C:\WINDOWS\system32\ykqhmfxw.dll
C:\WINDOWS\system32\pphclqkj0e10p.exe
C:\WINDOWS\system32\lphclqkj0e10p.exe

folders to delete:
C:\Programme\rhcgqkj0e10p

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

waldorfw · 03.08.2008, 13:55

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

Groundrocker · 07.08.2008, 09:39

Sorry, war beruflich unterwegs und erst jetzt wieder online...

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\{00000001-00000000-00000009-00001102-00000008-10211102}.BAK" deleted successfully.
File "C:\WINDOWS\isRS-000.tmp" deleted successfully.

Error:  file "C:\WINDOWS\fdkowvbp.dll" not found!
Deletion of file "C:\WINDOWS\fdkowvbp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\WINDOWXP.exe" deleted successfully.

Error:  file "C:\WINDOWS\eqvwamkl.dll" not found!
Deletion of file "C:\WINDOWS\eqvwamkl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\ykqhmfxw.dll" not found!
Deletion of file "C:\WINDOWS\system32\ykqhmfxw.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\pphclqkj0e10p.exe" not found!
Deletion of file "C:\WINDOWS\system32\pphclqkj0e10p.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\lphclqkj0e10p.exe" not found!
Deletion of file "C:\WINDOWS\system32\lphclqkj0e10p.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\rhcgqkj0e10p" not found!
Deletion of folder "C:\Programme\rhcgqkj0e10p" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Zudem habe ich jetzt ein weiteres Problem.
Als Desktop habe ich jetzt eine Art "Active Desktop" aber es handelt sich um den Arbeitsplatz. Sprich ich habe meine Desktop-Icons und da, wo normalerweise das Hintergrundbild ist, ist der Arbeitsplatz als großes Fenster... schliessen kann ich es nicht, die elemente sind aber, obwohl sie unter den eigentlichen Desktop-Icons liegen, anwählbar und funktionsfähig

cosinus · 07.08.2008, 11:45

Das neu Problem versteh ich nicht ganz, bitte beschreib es präziser evtl. mit screenshot.
Was ist mit dem ursprünglichen Problem, sind die Meldungen noch vorhanden?

07.08.2008, 11:45	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan eingefangen Das neu Problem versteh ich nicht ganz, bitte beschreib es präziser evtl. mit screenshot. Was ist mit dem ursprünglichen Problem, sind die Meldungen noch vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

Trojan eingefangen

Log-Analyse und Auswertung: Trojan eingefangen