Hi Leute,

also ich saß jetzt an meinem PC, alles war normal, bis plötzlich die Meldung im Windows Firewall Fenster aufging "Ihr computer wurde von Trojan Keylogger Win 32 angegriffen" kam. So nun weiß ich igrnedwie nich t weiter.. ICh bin ne ziemlich null auf diesem gebiet, muss ich zugeben. Auf alle fälle hab ich in nem älteren beitrag von dieser seite hier gelesen, dass ich bei VirusTotal den Pfad C:\WINDOWS\system32\drivers\svchost.exe analysieren lasse.
Das hab ich gemacht. Hier das Ergebnis.:

Datei svchost.exe empfangen 2008.10.31 16:39:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/36 (19.45%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.10.31 W32/Malware!OC-based
Avast 4.8.1248.0 2008.10.31 -
AVG 8.0.0.161 2008.10.31 Win32/Cryptor
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.94.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.31 -
F-Prot 4.4.4.56 2008.10.30 W32/Malware!OC-based
F-Secure 8.0.14332.0 2008.10.31 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.10.31 -
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 TrojanDownloader:Win32/Small.IQ
NOD32 3573 2008.10.31 a variant of Win32/Kryptik.BA
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.30 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.10.31 Cloaked Malware
Rising 21.01.42.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 Mal/EncPk-CZ
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -

File size: 35840 bytes
MD5...: d4d30d54d3268b43a2f0a79a48b9f0c5
SHA1..: c039e06dc20362f1b46616ca7bd0d8f201441343
SHA256: bbccde95c949727c68c8f1136eec46923651436d48fc55a0666eab00ca996541
SHA512: fe724e46f58f6bf0dc4748dc2c6d17c8778a67f8635a7dd24197851aeeda84d6
9437a3a1a6be16c67b534ed40f6d682423556b371753bfcbbbea1435b2f8ad06
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.2%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
VXD Driver (0.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4011b9
timedatestamp.....: 0x4831ddd1 (Mon May 19 20:06:41 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb71 0xc00 3.83 5b712b8f58b737b038037bded0464af9
.rdata 0x2000 0xf1d 0x1000 5.17 0445c9d3a9c22952d2db2ae6e041ec6a
.data 0x3000 0x1f9ef 0x6600 6.64 421b8738938930f743f4b0ef19217ec4
.reloc 0x23000 0x1e3 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x24000 0x22e 0x400 0.00 0f343b0931126a20f133d67c2b018a3b

( 9 imports )
> COMCTL32.DLL: ImageList_GetDragImage, ImageList_Create, ImageList_Merge, ImageList_GetImageRect, ImageList_Remove, ImageList_DragShowNolock, ImageList_Copy, ImageList_GetImageCount, ImageList_AddMasked, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawIndirect, ImageList_DragLeave, ImageList_LoadImageA, ImageList_DrawEx, ImageList_ReplaceIcon, ImageList_EndDrag
> COMCTL32.DLL: ImageList_DragEnter, ImageList_GetImageCount, ImageList_AddMasked, ImageList_AddIcon, ImageList_Replace, ImageList_GetDragImage, ImageList_DrawEx, ImageList_LoadImageA, ImageList_EndDrag, ImageList_GetImageRect, ImageList_Merge, ImageList_DragLeave, ImageList_GetIconSize, ImageList_Create
> GDI32.DLL: DeleteDC, AddFontResourceA, AddFontResourceExW, RestoreDC, GetCurrentPositionEx, GetPixel, CreateSolidBrush, AddFontResourceTracking, AddFontResourceExA, AbortPath, CloseFigure
> GDI32.DLL: GetPixel, GetClipBox, GetCurrentPositionEx, AddFontResourceW, GetBrushOrgEx, GetDCOrgEx, CancelDC, ExcludeClipRect, CloseMetaFile, DeleteObject, SetTextColor
> ADVAPI32.DLL: RegQueryValueExW, RegDeleteValueW, RegOpenKeyA, RegQueryInfoKeyA, RegReplaceKeyA, RegEnumKeyW, RegOpenKeyW, RegLoadKeyA, RegEnumKeyA, RegCreateKeyExW, RegQueryInfoKeyW, RegFlushKey, RegEnumKeyExA
> KERNEL32.DLL: CopyFileExA, GetCPInfo, GetCommandLineA, CreateDirectoryA, GlobalFree, ExitThread, DeleteFileW, OpenFileMappingA, GetComputerNameA, GetFileTime, CopyFileExW, FindFirstFileA, ReadConsoleA, GetStdHandle
> USER32.DLL: EndDialog, LoadCursorA, DrawTextA, GetMenu, AppendMenuA, GetDlgItem, AlignRects, GetWindowTextA, IsWindow, DrawTextW, DialogBoxParamW, GetDC, LoadMenuA, CalcMenuBar, AppendMenuW, CopyImage, CopyRect, CopyIcon, GetWindowTextLengthA
> COMCTL32.DLL: ImageList_LoadImageA, ImageList_GetImageCount, ImageList_Destroy, ImageList_AddMasked, ImageList_GetIconSize, ImageList_Merge, InitCommonControls, ImageList_DragShowNolock, ImageList_ReplaceIcon, ImageList_DragLeave, ImageList_LoadImageW, ImageList_LoadImage
> GDI32.DLL: AddFontResourceExW, AddFontResourceA, GetPixel, DeleteDC, GetBitmapBits, SetTextColor, CloseFigure, AddFontResourceTracking, GetDCOrgEx, GetCurrentPositionEx, AddFontMemResourceEx, AbortPath, ClearBitmapAttributes, CreateSolidBrush, GetClipBox, CloseMetaFile, ExcludeClipRect, GetPixel, AddFontResourceExA



so nun kommt mein problem, was bedeutet das?? is mei rechner vol infiziert un was mach ich nun??

Kann mir jmd weiterhelfen??? wäre voll lieb... Ich weiß nämlich ne weiter...

Danke schonmal im Voraus

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:17, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\MDM.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX 3 BETA 4\FIREFOX.EXE
C:\Programme\Total Commander\TOTALCMD.EXE
D:\Felix\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAFC43E-0BBE-4BE1-8D1F-0F6041B91965}: NameServer = 217.237.149.205 217.237.151.51
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe

--
End of file - 5597 bytes

Bitte die nächsten Logfiles mit Codetags umschlossen posten!

tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Code: Alles auswählenAufklappen

ATTFilter

10/31/08 20:53:06 [Info]: BlackLight Engine 2.2.1092 initialized
10/31/08 20:53:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/31/08 20:53:06 [Note]: 7019 4
10/31/08 20:53:06 [Note]: 7005 0
10/31/08 20:53:11 [Note]: 7006 0
10/31/08 20:53:11 [Note]: 7011 244
10/31/08 20:53:12 [Note]: 7035 0
10/31/08 20:53:12 [Note]: 7026 0
10/31/08 20:53:12 [Note]: 7026 0
10/31/08 20:53:12 [Note]: 7015 368
10/31/08 20:53:12 [Note]: 7015 2
10/31/08 20:53:12 [Note]: 7015 1548
10/31/08 20:53:12 [Note]: 7015 2
10/31/08 20:53:15 [Note]: FSRAW library version 1.7.1024
10/31/08 21:05:25 [Note]: 7007 0
         

Danke für die ilfe bis jetzt.. ich hab echt kein plan davon..^^

Ok. Hast Du schon Combofix ausgeführt? Wenn nicht dann warte noch einen Moment, auch mit MBAM.

Malwarebytes Antimalware führe ich grad noch aus.. das andere crombofix hab ich noch ne ausgeführt...

is irgendwas schlimmes mit meim pc??

sry das die antwort länger gedauert hat.. konnte ne zurückschreim...

Naja, ich seh aus dem HijackThis Logfile schon einige Malwaredateien. Da wollte ich, dass Du die bei Virustotal auswertest, aber wenn Du schon Malwarebytes ausführst...lassen wir das sein.

echt vielen dank für die Hilfe.. ich wüsste sonst echt ne weiter...
kann bei dem crombofix viel schied gehen... das klingt irgendwie so..?

Halte Dich einfach strikt an die Combofix Anleitung. Dann passiert schon nix.

un wenn ich das mit dem crombofix ausgeführt hab kommt dann wohl die meldung mit dem trojan.keylooger.win32.fung ne mehr??

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1345
Windows 5.1.2600 Service Pack 2

31.10.2008 21:56:52
mbam-log-2008-10-31 (21-56-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 90180
Laufzeit: 59 minute(s), 9 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1} (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Programme\Save\ReadMe.txt (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
         

Zitat:

Zitat von Partynixe21

un wenn ich das mit dem crombofix ausgeführt hab kommt dann wohl die meldung mit dem trojan.keylooger.win32.fung ne mehr??

Das werden wir dann sehen.