Hallo,
seit heute meldet Antivir einen Trojaner mit der Bezeichnung TR/Drop.soo.11
Gestern war der scan noch clean, ich habe seitdem nichts installiert oder ausführbare Dateien heruntergeladen. Die Meldung von Antivir kommt auf meinem PC und meinem Notebook.
Die verseuchte Datei heißt "shchost.exe" und soll wohl eine gefakte "svchost.exe" darstellen.

Ich bitte um Auswertung der Log-Datei, vielen Dank im Voraus.

Hier noch einige Informationen zu meinen Systemen:
- Windows XP SP3 inkl. Sicherheitsupdates
- Antivir, immer aktuell, täglicher scan der Systempartition
- Internetzugang über Router mit Firewall

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:28, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Synergy\synergys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Windows Services] shchost.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Synergy Server] "C:\Programme\Synergy\synergys.exe"  --no-daemon --debug WARNING --name platoPC --address :24800
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 5877 bytes
         

Hallo,

lade die shchost.exe bitte mal bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das Ergebnis.

Führe danach einen Scan mit folgenden Tools aus:

1.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

Hallo,
danke für deine Antwort. Die Logs kann ich nicht mehr erstellen, ich habe mittlerweile formatiert und Windows neu installiert.
Ich habe jedoch nun herausgefunden, wie der Trojaner auf meinen PC kam:
Er war auf meinem USB-Stick, den ich auch in der Schule verwende. Wenn man einen USB-Stick an einem infizierten System verwendet, wird automatisch eine Datei und eine autorun.inf auf den Stick kopiert, diese sind jedoch im Explorer nicht sichtbar (Ich habe den Stick an einem Linux system angeschlossen und die Dateien darauf entdeckt). Ich habe bereits einige Leute aus der Schule kontaktiert, die bestätigt haben, das sie auch den Trojaner auf ihrem Stick haben.
Die Schule verwendet WinXP ohne die neuesten Updates und hat KEINEN Virenschutz.

Zitat:

Hallo,
danke für deine Antwort. Die Logs kann ich nicht mehr erstellen, ich habe mittlerweile formatiert und Windows neu installiert.

Eindeutig die beste Entscheidung.

Zitat:

Er war auf meinem USB-Stick, den ich auch in der Schule verwende. Wenn man einen USB-Stick an einem infizierten System verwendet, wird automatisch eine Datei und eine autorun.inf auf den Stick kopiert, diese sind jedoch im Explorer nicht sichtbar (Ich habe den Stick an einem Linux system angeschlossen und die Dateien darauf entdeckt). Ich habe bereits einige Leute aus der Schule kontaktiert, die bestätigt haben, das sie auch den Trojaner auf ihrem Stick haben.
Die Schule verwendet WinXP ohne die neuesten Updates und hat KEINEN Virenschutz.

Wenn dein Stick noch infiziert ist, kann ich ihn dir desinfizieren und entspr. gegen diese Infektion "impfen".

Hallo,
der Stick ist nicht mehr infiziert, ich habe ihn unter Linux formatiert und zur Kontrolle danach auf Viren überprüft. Das mit dem "Impfen" interessiert mich jedoch, wie macht man das?

Mfg
pLaToOn

Da gibts ein Tool, das desinfiziert deinen Stick und erstellt explizit für diese Infektion einen unsichtbaren Ordner, sodass dieser Stick gegen genau diese Infektion des weiteren geschützt ist.

*Ohren spitz*

Welches Tool?

- Hal.