Trojaner Problem

Makie · 28.10.2008, 18:53

Hir die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\Drivers\ati0wwxx.sys

-habe diese Datei nicht unter diesem Pfad gefunden

Makie · 29.10.2008, 17:31

Hallo root24,

ich bin wieder am Platz und meine Trojaner leider auch !!!

Makie

Makie · 29.10.2008, 17:37

OH,root24,leider bist du offline und wie geht es nun weiter mit meinen Trojanern!?

Makie

cosinus · 29.10.2008, 19:14

Weiter gehts:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\ati6ddxx
HKLM\SYSTEM\ControlSet002\Services\ati6ddxx
HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr

drivers to delete:
ati6ddxx
ati0wwxx

files to delete:
C:\WINDOWS\system32\Drivers\ati6ddxx.sys
C:\WINDOWS\system32\Drivers\ati0wwxx.sys

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
Schick mir die Datei c:\avenger\backup.zip bitte per Mail, damit ich die Dateien auswerten kann

Makie · 29.10.2008, 20:31

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet001\Services\ati6ddxx" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\ati6ddxx" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\tcpsr" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of driver "ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "ati0wwxx" deleted successfully.
File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!
Deletion of file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Makie · 29.10.2008, 20:40

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:07, on 29.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Programme\IncrediMail\bin\ImApp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Makie\Eigene Dateien\Downloads\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.magentic.com/german/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] "C:\Programme\AGEIA Technologies\TrayIcon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195483418546
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195483394765
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 5439 bytes

cosinus · 29.10.2008, 22:20

Code:

ATTFilter

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

Kwyshell? Ist mir das vorhin nicht aufgefallen?

Sieht irgendwie

aus. Wenn Du das Teil aber unbedingt brauchst...

Code:

ATTFilter

O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c

InCredimail ist ne bunte Augenkrebsspielerei

Ich würde eher zu Mozilla Thunderbird raten, Mails nur als reinen Text lesen (aus Sicherheitsgründen), ein effektiver lernfähiger Junkfilter wäre da auch bei. (Thunderbird ist Open Source!)

Die Datei ist bei mir angekommen, leider fehlt in diesem Backup.zip, das was ich eigentlich wollte. Und zwar geht es um die vom Avenger gelöschte Datei C:\WINDOWS\system32\Drivers\ati6ddxx.sys - schau mal bitte nach, ob die Datei im Backup.zip bei Dir oder sonstwo drin ist.

Makie · 30.10.2008, 19:14

Hallo root24,

Kwyshell ist ein Emulator für Handyspiele,das Programm hat mir bisher noch
keine Sorgen bereitet.
Und zur Backup-Datei,dort wird nach einem Passwort verlangt um es zu entpacken.
IncrediMail war mir eigentlich auch immer zu bunt ich versuch es mal mit
Mozilla Thunderbird,vielen Dank für den Tipp!

Gruß Makie

cosinus · 30.10.2008, 19:22

Die backup.zip ist mit dem Standard-Passwort infected geschützt.
Es geht mir eigentlich auch nur um die Datei ati6ddxx.sys, wenn Du irgendwie noch an die rankommst, bitte bei Virustotal auswerten lassen.

Makie · 30.10.2008, 21:48

Diese Datei existiert nicht mehr auf meinem PC,als ich sie noch hatte sollte ich diese schon einmal bei Virustotal auswerten lassen,hier das Ergebnis:

Hier die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

cosinus · 30.10.2008, 21:52

Ach, mein Fehler

Code:

ATTFilter

Driver "ati0wwxx" deleted successfully.
File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!

Die Datei war schon lange nicht mehr da. Vor der Ausführung vom Avenger schon nicht mehr. Nur der eine Registryeintrag noch. Dann kann man auch nix auswerten, kein Wunder also

Makie · 30.10.2008, 23:12

root24,ich bin dann erstmal wieder weg,muß um 5:00 Uhr raus!
Herzlichen Dank für deine Hilfe,bis morgen

Makie

Anki · 31.10.2008, 00:48

Mein A-virus (avira antivir-free antivirus) sagt dass ich mit TR/Obfuscated.326144.19

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke.

[/edit]

Makie · 02.11.2008, 14:35

Hallo root24,

bin endlich wieder am Platz,hatte viel zu tun.

Zu unserem Trojaner-Problem:

- beim starten meines PC´s keine AntiVirus-Meldung mehr

- IncrediMail deinstalliert,Mozilla Thunderbird installiert....alles super

Haben wir das Problem jetzt gelöst oder könnte es noch Ärger mit dem Trojaner geben ???

Gruß Makie

cosinus · 02.11.2008, 19:10

Es sieht aus, als wäre Dein PC wieder sauber. Beachte aber, dass Du nur Sauberkeitsgarantie nach dem Neuaufsetzen hast.

30.10.2008, 19:22	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Problem Die backup.zip ist mit dem Standard-Passwort infected geschützt. Es geht mir eigentlich auch nur um die Datei ati6ddxx.sys, wenn Du irgendwie noch an die rankommst, bitte bei Virustotal auswerten lassen. __________________ Logfiles bitte immer in CODE-Tags posten

02.11.2008, 19:10	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Problem Es sieht aus, als wäre Dein PC wieder sauber. Beachte aber, dass Du nur Sauberkeitsgarantie nach dem Neuaufsetzen hast. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner Problem

Log-Analyse und Auswertung: Trojaner Problem