so, Tach erstmal, hier mein Verdachtsmoment
also ich habe eine Einwahlsoftware um ins Internet zukommen, diese ist nicht im Autostart, aber seit einigen Tagen öffnet sich diese Einwahlfenster immer sofort nach dem Hochfahren
diese Einwahlsoftware meldet sich normalerweise immer dann zu Wort wenn irgendein Programm ins Internet will, aber keine Verbindung besteht, d.h. im Prinzip das ein Programm schon kurz nach dem Hochfahren ins Internet will (wofür meines Erachtens nur Malware in Frage kommt, oder?)
nun die Auflistungen meiner bisherigen Unternehmungen
AntiVir -> findet nix
danach habe ich nach spezieller Trojaner Software gesucht, das Erste gefundene war TrojanCheck (gut der Name war etwas Irreführend, ist eigentlich ein Registry/Autostart Überwacher)
hab die Registry Standardeinträge mit
dieser Liste verglichen -> Ergebnis == keine Einträge die nicht dort hingehören würden
das nächste Programm was irgendwo empfohlen wurde war TrojanHunter
das Programm hat keine Trojaner gefunden, allerdings spuckte er diese Warnungen aus
Zitat:
TrojanHunter Warnungen
Port 31416/TCP is open (matches Lithium.100)
Port 31416/TCP is open (matches Lithium.101)
Port 31416/TCP is open (matches Lithium.102)
Port 31416/TCP is open (matches Lithium.103)
|
das Nächste war HijackThis, das logfile hab ich mit
HijackThis Logfileauswertung ausgewertet, war eigentlich überall ein grüner Haken (außer zwei Fragezeichen, welche aber Notebook spezifische Treiber waren)
Zitat:
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Intel\Wireless\Bin\EvtEng.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\Programme\Intel\Wireless\Bin\WLKeeper.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Java\jre6\bin\jusched.exe
E:\WINDOWS\MHotkey.exe
G:\Programme\Trojancheck 6\tcguard.exe
E:\WINDOWS\system32\ctfmon.exe
G:\Programme\DAEMON Tools Lite\daemon.exe
G:\Programme\OpenOffice.org 2.4\program\soffice.exe
E:\WINDOWS\CleGameKey\driver\ZClevoGKY.exe
G:\Programme\OpenOffice.org 2.4\program\soffice.BIN
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\Programme\Versatel\Versatel.exe
G:\Programme\Azureus\Azureus.exe
G:\Programme\BOINC\boincmgr.exe
G:\Programme\BOINC\boinc.exe
G:\Programme\BOINC\projects\spin.fh-bielefeld.de\metropolis_3.12_windows_intelx86.exe
G:\CryptLoad_1.0.3\CryptLoad.exe
G:\Programme\BOINC\projects\qah.uni-muenster.de\Amolqc-preRC1_5.01_windows_intelx86.exe
G:\Programme\Mozilla Firefox\firefox.exe
g:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SMSERIAL] E:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LchGKey] E:\WINDOWS\LchGKey.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] G:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [THGuard] "G:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [SchedulingAgent] E:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = G:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208174183593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E57F2B-831B-431C-BFE7-A0A8ADCC2A3B}: NameServer = 82.144.41.8 82.145.9.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - g:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - E:\Programme\Intel\Wireless\Bin\WLKeeper.exe
|
als Letztes habe ich dann noch Malwarebytes' Anti-Malware installiert
der über 4-stündige Scan brachte dieses Ergebnis
Zitat:
...\Lokale Einstellungen\Temp\bng2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
|
allerdings war nach löschen und Neustart das Ausgangsproblem immer noch ungelöst, sprich das Einwahlfenster kommt immer noch bei jedem Start, ein zweiter Scan brachte kein weitern Fund
so, das war's erstmal ... komm' irgendwie net weiter