Guten Abend,

ich bitte, dass jemand mal mein HJT file untersucht, denn ich habe folgendes Problem seit ein paar Tagen:

Avast hat einen Trojanerfund gehabt, den ich in den Container verschieben sollte. Das habe ich getan. Im Container nennt sich der Trojander "Win32:Banker-GFD". Seitdem fällt mir auf, dass sich der Laptop immer aufhängt, wenn er eigentlich in den Ruhezustand gehen soll. Auch wenn ich ihn einfach schließe hängt er sich auf bei der Windowsmeldung "Standby wird vorbereitet". Es hilft nur Reset.

Auch fällt mir auf, dass der PC sehr lange braucht, um mit dem Hochfahren fertig zu sein. Also er scheint schon hochgefahren zu sein, arbeitet aber noch und bis ich Firefox öffnen kann, dauert es sehr lange.

Hier also das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:16, on 28.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Intel\Wireless\Bin\EvtEng.exe
D:\Programme\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\Explorer.EXE
c:\Programme\Alwil Software\Avast4\aswUpdSv.exe
c:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\CDBurnerXP\NMSAccessU.exe
D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\wscntfy.exe
c:\Programme\Alwil Software\Avast4\ashMaiSv.exe
c:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\system32\igfxpers.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\AGRSMMSG.exe
D:\WINDOWS\AGRSMMSG.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] c:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TPWAUDAP] D:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [WAB] D:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Common\1457800419.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - c:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - c:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - c:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - c:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Fn+F5 Service (FNF5SVC) - Lenovo. - D:\Programme\LENOVO\HOTKEY\FNF5SVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - c:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 5001 bytes



Danke für jeden Hinweis.

LG
Linde

Wichtig, Nachtrag: Gerade eben ist mir etwas komisches afugefallen: ich wollte eine VPN Verbindung herstellen, als der Laptop nach dem Hochfahren noch arbeitete. Im Passwortfeld wurden dann Teile des Passwortes sichtbar!!! Sobald er er nicht mehr arbeitete, kam dieses Phänomen nicht mehr. sieht nicht gut aus, oder?

Hallo und

Das sieht wirklich nicht gut aus, die Hinweise einer Infektion eines passwortstehlenden Schädlings bzw. Bankingtrojaners verdichten sich. Aus dem Hijackthis-Logfile:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [WAB] D:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Commo n\1457800419.exe
         

Der Eintrag deutet auf den Silentbanker hin. Machst Du mit dem Rechner Onlinebanking? Ist das ein Bürorechner oder ausschließlich privat?

Hallo Arne,

schon mal danke für deine Antwort.
Ja, ich mache Online Banking mit dem Rechner. Das Passwort hatte ich aber schon geändert, als ich dieses Passwortproblem gesehen habe.
Der Rechner wird privat und auch als Heimarbeitsplatzrechner benutzt. Ich logge mich per VPN und Remotedesktopverbindung im Büro ein.

Hast du eine Idee, ob ich den Trojaner wieder loswerde, oder ob ich den PC Neuaufsetzen muss?

Viele Grüße
Linde

Wenn Du den Rechner eben auch für berufliche Zwecke verwendest, solltest Du ihn neuaufsetzen. Klär das evtl. mit der EDV-Abteilung Deiner Firma ab.
IdR bereinigen wir hier im Trojaner-Board nur rein privat genutzte Rechner, aber auch nur wenn's noch Sinn macht, und bei Silentbanker-Befall ist man immer mit einer Neuinstallation besser dran.

Danke Arne, das wußte ich nicht, dass hier nur privat genutzten Rechnern geholfen wird. Aber ich denke, dass ich beim Silentbanker besser alles neu mache und morgen mal mit meiner Bank rede. Glücklicherweise habe ich seitdem das Problem auftauchte, keine Überweisung mehr gemacht, nur mal nach dem Kontostand geschaut.

Kannst du mir noch sagen, woher man den Silentbanker bekommt? Und ist der große Rechner, der mit dem Laptop im Heimnetz ist dann auch befallen? Also sie können gegenseitig auf ein paar Ordner zugreifen.

Viele Grüße
Linde