Hallo,

Ich habe mir einen Trojaner eingefangen und versucht schon diesen zu entfernen. Bin mir nciht sicher ob es geklappt hat.

Zu vorgeschichte: Ich habe eine exe runtergalden und ausgeführt. Kurz danach war diese weg und ncihts ist passiert. Da mir das komisch vorkam, habe ich bei Spybot ein Update gemacht und durchlaufen lassen. Es wurden mir ein paar einträge gezeigt. Danach wollte ich Eset Nod32 neu runterladen um dieses mit dem Aktuellen Update suche zu lassen, halt leider nicht funktoniert, weil dieser Trojaner ALLE Antiviren Seiten sowie die Updater blockt.

Also hatte ich eine alte Version durchlaufen lassen und diese Hat auch was gefunden. Danach hatte ich Malwarebytes - Anti-Malware 1x Im normallen Modus laufen lassen und einmal im abgesichertzen Modus. Die ergebnisse werden noch angehängt. So nun wollte ich mal HijackThis laufen lassen damit vllt ein Experte sich das mal ansehn kann und vllt mir sagen kann wie ich dieses Trojaner wieder weg bekomme.

Hier ist mein HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:32, on 01.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\MediaSource5\MtdAcqu.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://track.moreniche.com/hit.php?w=155970&s=147
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
O4 - HKCU\..\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe
O4 - HKLM\..\Policies\Explorer\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe
O4 - HKCU\..\Policies\Explorer\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SfKg6wIPuSpdc] C:\Dokumente und Einstellungen\Schulze\Anwendungsdaten\Microsoft\Windows\nickyfk.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Schulze] C:\Dokumente und Einstellungen\Schulze\Schulze.exe /i (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [pridl] "C:\Dokumente und Einstellungen\Schulze\Anwendungsdaten\pridl\pridl.exe" 61A847B5BBF72811329B385672FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [do_not_delete] C:\WINDOWS\system32\do_not_delete.exe (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15107/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C63245B-7888-45A3-9214-A758F4C0767B}: NameServer = 193.254.160.130 193.254.160.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Prime95 Service - Unknown owner - C:\Dokumente und Einstellungen\Schulze\Desktop\p95v259\prime95.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6145 bytes


und meine Zwei Malwarebytes:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

01.08.2009 16:05:49
mbam-log-2009-08-01 (16-05-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74481
Laufzeit: 2 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\dfff.dll (Trojan.Agent.V) -> Delete on reboot.
C:\Programme\Mozilla Firefox\components\WWShow.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\protection system (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security center (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Schulze\Anwendungsdaten\digifast (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schulze\Anwendungsdaten\pridl (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schulze\Anwendungsdaten\cft (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\dfff.dll (Trojan.Agent.V) -> Delete on reboot.
c:\WINDOWS\Temp\VRT13A.tmp (Malware.Tool) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Schulze\anwendungsdaten\digifast\config.cfg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\protection system\uninst.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\WWShow.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Updater.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schulze\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

01.08.2009 19:04:44
mbam-log-2009-08-01 (19-04-44).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|I:\|J:\|M:\|N:\|)
Durchsuchte Objekte: 214393
Laufzeit: 48 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Schulze\lokale einstellungen\temporary internet files\Content.IE5\09IB4XMB\163[1].net (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a3afb38a-ca4c-4ba7-aa71-ffdd0fe1cf31}\RP172\A0022663.dll (Trojan.BHO) -> Quarantined and deleted successfully.
m:\system volume information\_restore{a3afb38a-ca4c-4ba7-aa71-ffdd0fe1cf31}\RP179\A0028247.exe (Malware.Packer) -> Quarantined and deleted successfully.


Ich hoffe ihr könnt mir helfen. Ich werde solange meine Aktionenn Stoppen damit ihr besser arbeiten könnt.

Vielen Dank

edit

john.doe übernimmt

Hallo und

Backdoorwarnung! Du hast eine schwere Infektion, der Downloader ist aktiv und lädt ständig neue Schädlinge nach. Trenne grundsätzlich die Verbindung zum Internet, wenn du sie nicht dringend brauchst. Die schnelle und sichere Alternative ist http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem Säuberung vorziehen, dann beginne mit RSIT.

1.) Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Wenn ich mein System neu Aufsetze, dann darf ich alle Platten formatieren oder?

Zitat:

Wenn ich mein System neu Aufsetze, dann darf ich alle Platten formatieren oder?

Das ist die sicherste Lösung aber nicht unbedingt notwendig. Die allermeisten Schädlinge befallen nur das Betriebssystem (in der Regel C: ).

Sobald das Betriebssystem neuinstalliert ist und Servicepacks und alle Updates installiert sind, können die anderen Partitionen mit mehreren aktuellen Scannern untersucht werden. So ist das Risiko minimal.

ciao, andreas

Ok vielen dank. dann werde ich das erstmal machen

Ich werde mcih später dann melden

Alles klar.

Hast du noch den Downloadlink? Schicke ihn mir bitte als Private Nachricht zu.

ciao, andreas

Ich fang gleich an zu K*****

Ich habe mein System jetzt 4 mal neu aufgesetzt. 2 mal mit Partition löschen. und das teil ist immernoch drauf. Ich bin jetzt über einem Eingeschränkter Nutzer Acc on. aber ich weiss nicht mehr weiter. Ich meine ganzen Platten kann ich nciht platt machen, weil da zu viele wichtige daten drauf sind...

Service Pack 2 lässt sich auch nicht mehr richtig installieren. das dauert dann gut über eine stunde-.-

Setze ComboFix ein. Du hast wahrscheinlich autorun.inf-Einträge auf den anderen Festplatten, die immer wieder dazu führen, dass du dich selbst infizierst, so wie er hier => http://www.trojaner-board.de/68318-r...hlight=rootkit.

Hänge vor dem Scan alle Datenträger an, die du jemals mit dem Rechner verbunden hast. Poste das Log.

ciao, andreas

Ich würde gerne Combofix einsetzten so wie du es beschreiben hast mit dem umbennen. danach bekomme ich ein fenster. kurz danach verschweindest dieses und die datei ist auch weg O.o

Was nun?

Dann versuchen wir es anders. Ich brauche eine Liste aller deiner Laufwerke, die du im Arbeitsplatz siehst. Funktionieren andere Programme wie z.B. CCleaner oder Malwarebytes?

ciao, andreas

Also CCCleaner hat funktoniert und Malwarebytes hat vor dem formatieren auch funktoniert.

Also Alle meine Laufwerke :

Festplatten:
C: Lokaler Datenträger
D: Image
E My Passport (extern)
F: Games
G: Multimedia
H: Multimedia 2
L: My Book (extern)

Laufwerke:
A: diskette (nicht eingebaut)
I: UMTS Stick
J: Wechseldatenträger
K CD/DVD LAufwerk

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf
H:\autorun.inf
L:\autorun.inf
I:\autorun.inf
J:\autorun.inf
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Direkt im Anschluss mit CCleaner alles reinigen.

ciao, andreas

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\autorun.inf" not found!
Deletion of file "C:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\autorun.inf" not found!
Deletion of file "D:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "E:\autorun.inf"
Deletion of file "E:\autorun.inf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "F:\autorun.inf" not found!
Deletion of file "F:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "G:\autorun.inf" not found!
Deletion of file "G:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "H:\autorun.inf" not found!
Deletion of file "H:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "L:\autorun.inf"
Deletion of file "L:\autorun.inf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "I:\autorun.inf"
Deletion of file "I:\autorun.inf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "J:\autorun.inf"
Deletion of file "J:\autorun.inf" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.


Und CCCleaner habe ich auch schon ausgeführt

Nein, bei dir ist es etwas anderes. Poste bitte beide RSIT-Logs.

ciao, andreas