Hallo

ich habe mir vor ein paar Wochen einen Trojaner gefangen.
Es funktioniert kaum etwas im Explorer, Itunes oder ähnlichem, sowie im Internet, da dieses jetzt sehr lahm ist.


AntiVir PE Classic gab folgendes an:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tt_1238585888.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.


Damit googlete ich ein bischen und bin jetzt hier gelandet.
Ich habe mich jetzt etwas eingelesen und sehe nun, dass ich alleine nicht weiter komme.
Laut Anleitung aus diesem Forum sollte ich nun meinen log hier posten und darauf hoffen, dass hier jemand helfen kann.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:56:52, on 04.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINXP\system32\PnkBstrA.exe
c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
C:\Programme\iPod\bin\iPodService.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [dll] rundll32 dll32,sm
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A85B1754-C0EA-49C1-A228-26E4543EF2BF}: NameServer = 85.255.112.183,85.255.112.204
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe

--
End of file - 5065 bytes



Vielen Dank schon im voraus.

LG g4ngm3mb3r

Hallo g4ngm3m3br und

Du hast ein grundlegendes Problem. Dein gesamter Datenverkehr wird zur Zeit auf einen Server in die Ukraine umgeleitet. Es handelt sich hierbei um einen DNS Changer, der die DNS Einträge deiner Internet Verbindung umgebogen hat. Diese Malware kam wahrscheinlich mit eben diesem Dropper in dein System. Keines deiner Malwareprogramme oder AV Programme ist in der Lage den Virus zu finden, da dieser durch ein rootkit abgeschirmt wird.

In deinem Fall empfielt sich ein Neuaufsetzen deines Systems, da es offensichtlich bereits kompromitiert ist.

Falls du jedoch noch Backups machen möchtest oder du aus sonstigen Gründen diese Empfehlung ignorieren willst lass es mich bitte in deinem nächsten Post wissen.
Vorab solltest du dann folgendes unternehmen:

Als erstes solltest du die Ordneroptionen umstellen, sodaß alle deine versteckten Dateien angezeigt werden.

Hiernach solltest du deine Systemwiederherstellung deaktivieren, sodaß alle deine Wiederherstellungspunkte gelöscht werden, diese sind in deinem Fall wahrscheinlich sowieso unbrauchbar.

Die Bereinigung deines Systems wird aufwendig und sehr zeitintensiv, da sich neben dem eigendlichen DNS Trojaner wahrscheinlich noch weitere Schadware auf deinem System sein wird. ( Den Dropper kennst du ja nun schon. )

Als erste Maßnahme empfehle ich dir dringend von online Banking, Ebay, Amazon etc Abstand zu nehmen. Ändere deine Passwörter von einem sicheren und sauberen Rechner aus.

Nachdem du die Systemwiederherstellung deaktiviert und deine Ordneroptionen umgestellt hast, solltest du nun CCleaner und Malwarebytes downloaden, installieren und nach Anleitung anwenden.

Einige Viren sind in der lage die Ausführung solcher Programme zu unterbinden,
falls eines dieser Programme nicht laufen sollte unternehm erst mal nichts weiter, sondern warte weitere Anweisungen ab.

Ich sitze zur Zeit nicht an meinem Rechner, gegen 06:30 Uhr werde ich wieder zu Hause sein und dir dann eine detailliertere Anweisung schicken...

So, jetzt kann ich dir eine detalliertere Anweisung schicken.
Für den Fall das du dich entschlossen hast sicher backups von deinem System zu machen oder meine Hinweise aus sonstigen Gründen ignorierst.

Wie schon in meinem ersten Post an dich erläutert haben wir es mit einem
Trojan.DNSChanger mit entsprechendem Rootkit zu tun..

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird wie gesagt auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten ODER du wirst auf Webseiten umgeleitet in denen weitere Schadware nachgeladen wird.

Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )

Code: Alles auswählenAufklappen

ATTFilter

organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         

Lade dir nun folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von SDFix
         

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen

Punkt 5.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und das Logfile bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....

Vielen Dank für die rasche Antwort!

Habe nun alles nach Anweisung gemacht und soll nun hier folgendes posten.


Die Ergebnisse von Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

04.04.2009 11:00:30
mbam-log-2009-04-04 (11-00-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 146152
Laufzeit: 22 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINXP\system32\dll32.dll (Backdoor.Bot) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dll (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a85b1754-c0ea-49c1-a228-26e4543ef2bf}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a85b1754-c0ea-49c1-a228-26e4543ef2bf}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a85b1754-c0ea-49c1-a228-26e4543ef2bf}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.183,85.255.112.204 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\dll32.dll (Backdoor.Bot) -> Delete on reboot.
C:\Dokumente und Einstellungen\Master.BIE\Desktop\avenger.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\pp03.exe (Trojan.Koobface) -> Quarantined and deleted successfully.
C:\WINDOWS\pp05.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-7-8-60-100001849-100019901-100006970-8424.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-9104140.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.


Hier ist das logfile von gmer: http://www.file-upload.net/download-...r-log.log.html


lg g4ngm3mb3r

Setze jetzt den Avenger ein:

Kopiere jetzt den Inhalt der Codebox mit Strg +C

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
quadraserv.sys

Files to delete:
C:\WINXP\system32\drivers\quadralbatiqak.sys

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\quadraserv.sys
HKLM\SYSTEM\ControlSet002\Services\quadraserv.sys
         

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.