Trojaner oder nicht ?

DanielH · 27.10.2008, 18:43

Hallo,

ihr habt sicher von der vor kurzem gestarteten eMail Flut von neuen TrojanerMauls gehört, sowas von wegen "Ihr Konto wurde mir folgendem Betrag belastet [...]".

Im Anhang davon eine Datei, lustigerweise .scr.

Schimpft auf mich, ich tue es selbst, jedoch habe ich sie geöffnet.
Folge: Beim booten bekam ich beim Starten der explorer.exe ein Fehler, dass in der svchost.exe ein schwerwiegender Fehler aufgetreten sei, und der JIT (Just in Time Debugger) nicht gestartet werden konnte. (Natürlich nicht, ich habe ihn deaktiviert.)

Selbst im abgesicherten Modus war ein Booten nicht möglich. Ich habe daher ein System-Restore-Point von einem Tag vor der eMail wiederhergestellt und siehe da: es geht.

Aber ich denke nicht, dass das nun alles war, daher wollte ich mir bei Euch nochmal Gewissheit verschaffen.

Hier das HijackThis Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:38, on 27.10.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Eset\nod32krn.exe
I:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\TortoiseSVN\bin\TSVNCache.exe
I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
I:\WINDOWS\CTHELPER.EXE
I:\WINDOWS\system32\CTXFIHLP.EXE
I:\Programme\Eset\nod32kui.exe
I:\WINDOWS\SYSTEM32\CTXFISPI.EXE
I:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\DAEMON Tools\daemon.exe
I:\Programme\Microsoft ActiveSync\wcescomm.exe
I:\PROGRA~1\MICROS~4\rapimgr.exe
I:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Tools\MICROS~1\Office12\OUTLOOK.EXE
I:\Programme\Winamp\winamp.exe
I:\Programme\Mozilla Firefox 3 Beta 2\firefox.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://suche.klicktel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - I:\Programme\teXXas\IEButtonAmazonInterface.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - I:\Programme\teXXas\IEButtonEbayInterface.dll
O4 - HKLM\..\Run: [RCSystem] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "I:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [nod32kui] "I:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE I:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "I:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AlcoholAutomount] "I:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [H/PC Connection Agent] "I:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "I:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: amazon Suche - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - I:\Programme\teXXas\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - I:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\Tools\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Tools\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: i:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - I:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - I:\WINDOWS\system32\oodag.exe

--
End of file - 7239 bytes

Ich danke euch schonmal im vorraus.

Gruß: Daniel

undoreal · 28.10.2008, 12:06

Hallöle.

Ich würde den Rechner auf jeden Fall Neuaufsetzen denn du hast keine Ahnung was dr Angreifer da auf den rechner geladen hat bevor du ihn zurück gesetzt hast.

DanielH · 28.10.2008, 15:50

Deswegen frage ich ja hier... Also du meinst Formatieren + Neuinstallation ist der einzige Weg?

undoreal · 28.10.2008, 16:22

Ja.

.................

DanielH · 28.10.2008, 16:35

Mist ... das ist genau das, was ich erwartet habe, aber nicht hören wollte

28.10.2008, 12:06	#2
undoreal /// AVZ-Toolkit Guru	Trojaner oder nicht ? Hallöle. Ich würde den Rechner auf jeden Fall Neuaufsetzen denn du hast keine Ahnung was dr Angreifer da auf den rechner geladen hat bevor du ihn zurück gesetzt hast. __________________ __________________

28.10.2008, 16:22	#4
undoreal /// AVZ-Toolkit Guru	Trojaner oder nicht ? Ja. ................. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Trojaner oder nicht ?

Log-Analyse und Auswertung: Trojaner oder nicht ?