Hallo,
seit ein paar Tagen habe ich folgendes Problem.
Ich war so blöd und habe einen Link auf eine angebliche eCard in einer Mail angeklickt.
Seit dem will bei jedem Systemstart eine *.exe-Datei wie z.B. "qlmligmq.exe" laut ZoneAlarm ins Internet. Ich habe dies natürlich kosequent untersagt. Desweiteren habe ich keine Startseite im IE, lediglich about:blank.
Die Namen der *exe-Dateien ändern sich natürlich jedesmal.
Frage: Kann ich davon ausgehen, dass ich durch konsequentes Unterbinden einer Verbindung noch keinen Trojaner installiert habe?
... und wie werde ich den Kerl los?
sailor
P.S.: Ich habe alles versucht: Antivir, S&D, Ad-Aware, a2, cwShredder und Hiijackthis. Mein neuer Browser ist nun der Opera

Du kannst davon ausgehen, dass du dir irgendeine Malware eingefangen hast.

Bitte poste einmal ein HijackThis-Log.

Hi Christian,

malware? Was ist das und was macht es? Ist es schlimm?
Die log-files kann ich erst morgen posten, da ich gerade auf der Arbeit (Nachtschicht) am Rechner sitze ... die Sache läßt mich einfach nicht los.
Ich habe mir bereits heute das HijackThis-log angefertige und auf HijackThis.de checken lassen. Da haben sie lediglich eine "alte Geschichte" als böse identifiziert. Ich habe sie gefixt, obwohl ich sicher war, dass sie nicht "böse" sein konnte.

Noch 'ne Frage:
Hat die Option "Herstellen des Auslieferungszustandes" die gleiche Funktion wie Format C: ??

Danke im Voraus,
Sailor

hmm

du könntest folgendes probieren evt. findet escan was. ist echt ein Hammer Tool

lade dir Escan runter auf:

http://www.mwti.net/antivirus/free_utilities.asp

Die Datei ist mwav.exe.

Wenn sie runter is erstellst du folgendes Verzeichniss: C:\bases
danach entpackst du mwav.exe in dieses Verzeichniss.

Wenn du das gemacht hast startest du zu erst kavupd.exe damit er die
Updates runterladen kann vom net. wenn die updates runter sind.

Startest du den REchner im abgesicherten Modus (offline) neu und
öffnest die Datei msavscan.com

Stelle dabei sicher, dass folgende Kästchen aktiviert sind:
-Memory
-registry and INI Files
-Startup Folders
-System Folders
-Services
-Drive
-All Local Drives
-Scan all Drives

danach startest du mit dem Button Scan Clean. den rest macht er von alleine.

@sailor,

du kannst deinen PC hier online scannen lassen.

http://www.pestscan.de/index2.html

Verwende doch statt dem IE den Slim Browser, wie ich.

Gruß:

ja PestPatrol ist auch genial noch besser als Escan.

ja Slimbrowser kenne ich jetzt ned aber Mozilla Firefox ist auch sehr gut!

Der SlimBrowser ist lediglich ein Aufsatz für den IE, kein alternativer Browser. Das heisst, es gibt vielleicht mehr Funktionen und sinnvolle Veränderungen, sicherheitstechnisch ändert sich aber gar nichts.

Zitat:

Zitat von Shahry

ja PestPatrol ist auch genial noch besser als Escan.

Schwachsinn!
Benutze mal die Board-Suche. Wir hatten erst letzte Woche wieder eine Diskussion, weil PesPatrol unnütziges Zeug wie Textdateien, die überhaupt nicht gefährlich sind, findet.

Moin Leute,

danke, dass Ihr Euch soviele Gedanken macht ...

Chris, ich habe nochmal nachgeschaut. Die *.exe-Dateien, die ins Netz wollen liegen tatsächlich (angeblich) in einem Ordner C:\WINDOWS\System32\x3yy\.........exe
Trotz Suche und aktivieren der versteckten Ordner gibt es den x3yy nicht ... mmmmh.
Hier wie versprochen die HijackThis-Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:15:17, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\a2\a2guard.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Opera\opera.exe
D:\Meine Downloads\Privat\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093269878000
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 62.72.64.237 62.72.64.241

Was hälst Du von eScan? Soll ich meinem Rechner noch 'ne Malware-Software zumuten? Es läuft gerade AntiVir, BHODemon, a2 und meine Firewall im Hintergrund. Dazu habe ich (nicht in watch-Funktion) AdAware und S&D auf meinem Rechner. Wird langsam ein bißchen viel, oder?

Danke im voraus, sailor ...

Nur diese Adware muss gefixt werden:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe


Lass doch mal eScan scannen.
Eine Installation von eScan ist ja nicht nötig.

Heureka!!!

Ich hab ihn. Escan findet den Burschen in vielen Verzeichnissen und Unterverzeichnissen. Es ist in der Tat der "TrojanSpy.Win32.Small.az".
Aber wenn ich richtig gelesen habe, und meine Englischkenntnisse noch ausreichen, hat eScan das Pferdchen nur "detected" und nicht "removed".
Wie geht's also weiter. Der ist doch jetzt nicht weg, oder?
Auf jeden Fall wollte keine *.exe-Datei ins Internet als ich den Neustart machte.

Sailor
P.S.: Ich habe leider vor dem Scannen nicht die Systemwiederherstellung deaktiviert. Ist das schlimm?

Weiter gehts!

Eine anderes Antiviren-Programm namens Sophos gibt an, dass mein "TrojanSpy.Win32.Small.az" auch als "Troj/Bizex-E" bekannt ist. Als Erklärung war zu lesen:

Troj/Bizex-E ist ein Backdoor-Trojaner.

Troj/Bizex-E kopiert sich entweder in einen Unterordner namens "X3YY" im Windows-Systemordner oder in einen Unterordner namens "Microsoft\X3YY" in dem Ordners, der in folgendem Registrierungseintrag angegeben ist:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData

Dabei verwendet er einen Dateinamen aus 8 zufälligen kleinen Zeichen und einer EXE-Erweiterung. Troj/Bizex-E erstellt daraufhin den folgenden Registrierungseintrag, so dass er beim Systemstart aktiviert wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\x3yy

Troj/Bizex-E legt eine Datei namens UNIC2_32.DLL im selben Ordner wie sich selbst ab, die ebenfalls als Troj/Bizex-E erkannt wird und die überwacht, auf welche Websites der Anwender zugreift. Außerdem ermöglicht sie Verheimlichungstaktiken, die es schwierig machen, Troj/Bizex-E und seine Einstellungen zu erkennen und zu löschen. Troj/Bizex-E speichert Daten in einer Datei namens _POST.LOG im selben Ordner wie sich selbst.

Troj/Bizex-E läuft als Dienstprozess im Hintergrund und sendet die gesammelten Daten in regelmäßigen Abständen via FTP an einen remoten Speicherort.

Troj/Bizex-E erstellt den folgenden zeitabhängigen Registrierungseintrag:

HKCU\Software\Microsoft\Windows\CurrentVersion\x3yy

Troj/Bizex-E erstellt außerdem den folgenden Registrierungseintrag, abhängig davon, welche URLs gespeichert werden:

HKCU\Software\Microsoft\Windows\x3yy

Troj/Bizex-E kann leere Dateien mit den Namen XTEMPXXX.XXX und OP32MP.LOG im Windows-Systemordner erstellen.

Troj/Bizex-E kann eine Datei mit einem zufälligen Dateinamen von einem remoten Speicherort in den Temp-Ordner herunterladen und starten. Der remote Speicherort ist in den Konfigurationsdaten des Trojaners angegeben oder wird von einem remoten Speicherort heruntergeladen. Zum jetzigen Zeitpunkt wird die heruntergeladene Datei als Troj/Bizexbot-A erkannt.

Troj/Bizex-E versucht, Prozesse zu beenden, die mit folgenden Dateien im Zusammenhang stehen:
ARMOR2NET.EXE
SAVSCAN.EXE
NPROTECT.EXE
NVSVC32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE

Troj/Bizex-E erstellt folgende Registrierungseinträge:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = "about:blank"
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = "about:blank"


Na, das passt ja alles. Muss ich jetzt Sophos kaufen, oder wie? Oder was?

Sailor

Hast du E-Scan denn im abgesicherten Modus laufen lassen? Das solltest du tun und dann ist auch die Systemwiederherstellung egal.

http://www.trojaner-board.de/42731-escan-anleitung.html


Kopiere doch mal genau heraus, was E-Scan gemacht hat, wenn es die Signatur des Trojaners kennt (und das tut es ja offensichtlich), müsste es spätestens im abgesicherten Modus auch säubern (hat es wahrscheinlich aber eh schon).

Hi,

Also um das Escan-Log zu posten wäre es zu lang, und nur die befallen Stellen rauszusuchen ist mir zu anstrengend. Aber was anderes: Wer lesen kann ist klar im Vorteil. Das steht nicht "Detected" sonder "Deleted" und das hört sich doch schon viel besser an.
Um Deine Frage zu beantworten: Ja, ich habe eScan im abgesicherte Modus laufen lassen. Also ist das mit der Systemwiederherstellung ja wohl schnurzpiepegal, oder was meintest Du?

Ein DANK an eScan!!!

Sailor