Hi,

@schaf:
Hast Du das Combofix-script ausgeführt?
Und kannst Du mir eine der generierten TMP-Dateien mal zukommen lassen..?

chris

combofix hab ich laufenlassen und danach gingen die partitionen wieder! mein rechner rennt wieder wie eh und jeh - teilweise sogar schneller als vorher!

welche der tmp dateien meinst du @ chris?


gruß schaf

PS: smithy würde glaube ich schon reichen zum entfernen!

Hallo miteinander ! Dies ist das erste mal das ich mich mit dem thema trojaner und co auseinander setzen muss
Also bitte ich um nachsicht für den fall das ich den einen oder anderen fehler mache.

Zur Sache, so wie das aussieht habe ich mir wohl auch dieses dnschanger Problem gefangen, zudem hatte ich auch die hier beschriebenen Probleme mit den resycled ordern und boot.com.
Diese habe ich soweit ich das beurteilen kann vom Rechner bekommen , mit viel lesen und Handarbeit.
Jedoch bekomme ich dieses DNS Changer Problem laut Spybot Search & destroy und auch Spyware Doctor nicht in den Griff.
Da brauche ich Hilfe !
Zudem habe ich heute eine "interessante" Feststellung machen müssen. Ich wollte eine CD Brennen, eine Leere CD war ja noch im Brenner.
Bei Zugriff auf die CD meldet sich gleich mein anti Viren Programm ( Trend Micro Internet Security Pro )
Meldung : Infizierte Datei --> autorun.inf Name der Bedrohung : Mal Otorun2 !!
Auf der eigentlich leeren CD befinden sich merkwürdiger weise die Dateien
: resycled , autorun.inf . und im Ordner noch boot.com

Also eines steht fest ! Ich habe diese CD nicht gebrannt ! Wie kann das sein ???

So nun zu den logs

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:50, on 29.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Windows\system32\svchost.exe
J:\Nero\Nero8\InCD\InCDsrv.exe
C:\Program Files\Mamutu\a2service.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
J:\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFCommander.exe
J:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe
C:\Users\xxxxx\AppData\LocalLow\kdefense\kdfmgr.exe
C:\Windows\system32\conime.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Trend Micro Symbolleiste - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [TrojanScanner] j:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - J:\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - C:\Program Files\Mamutu\a2service.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - J:\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 8156 bytes
         

Diese Meldung zeigt mir Spydoctor

Code: Alles auswählenAufklappen

ATTFilter

27.10.2008 00:37:08:541 	
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:543 	
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:557 	
Infektion gesperrt
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:590 	
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:591 	
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
27.10.2008 00:37:08:598 	
Infektion gelöscht
Name der Bedrohung - Trojan.DNS_Changer
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
         

Ich hoffe damit kommt ihr schon mal weiter, bin gespannt was ich mir da eingefangen habe.
Der Rechner läuft soweit normal. Internet normal, nur zu dem zeitpunkt als sich noch oben genannte Dateien auf dem Rechner befanden war das i-net deutlich lahmer.
Schon mal im voraus danke für Hilfe und mühe.

Hi @judaskind,

eigentlich musst Du einen neuen Thread eröffnen!
: resycled , autorun.inf . und im Ordner noch boot.com
Der pflanzt sich darüber weiter, d.h. er dürfte mittlerweile auf allen angeschlossenen Platten, USB-Sticks, USB-Festplatten, gebrannte CD etc. sein. Die müssen alle behandelt/vernichtet (CD) werden, da er automatisch von Windows über die autorun.inf ausgeführt wird...

MAM&combofix, danach RSIT:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

@ schaf:

Tausend Dank für Deine Anleitung. Bei mir warnte mich Antivir vor folgenden Funden: TR/Patched.CK.56 sowie Dldr.Agent.ahcq.8.
Auch bei mir wurden die TMP-Dateien angelegt, die sich nicht löschen ließen. Zwischendurch versuchte die spoolsv.exe Kontakt nach Riga aufzubauen. Das ließ sich nur durch Beenden dieses Prozesses unterbinden. Jedesmal, wenn ich ein Laufwerk im Explorer anklickte, startete die spoolsv.exe, begleitet von mehreren Warnungen des Antivir mit obigen Funden. Auch die alg.exe befand sich dann irgendwann in meinen aktiven Prozessen.

Meine Lösung:
Nach der einfachen Behandlung im abgesicherten Modus mit Smitfraudfix ("Scan" mit gleichem Ergebnis wie bei Dir, anschließend "Clean" im abgesicherten Modus), hatte sich mein Rechner zwar beim Neustart aufgehängt. Dennoch bin ich nach dem Reset noch einmal in den abgesicherten Modus und ließ dort die ComboFix laufen. Danach hängte sich mein Rechner zwar wieder auf, aber zurück im Normal-Modus sind die TMP-Dateien endlich weg und offensichtlich auch der/die unangenehme(n) Trojaner (oder was auch immer). MAM habe ich nicht erst laufen lassen, weil mir das zu lange dauerte... Allerdings werde ich morgen früh das Ganze nochmals durchchecken.
THX again,
Gute Nacht.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]