Hi,
wie ich hier aus dem Board und von google entnehmen konnte bin ich nicht der einzige der Probleme mit diesem kleinen fiesen eindringling hat
Auf meinem Monitor tauchen immer wieder irgendwelche Pseudo Virenmeldungen auf und wollen mich dazu bewegen eine Programm zu installieren das Malware Defense heißt... nun bin ich in dem Gebiet Viren eine totale Niete und habe versucht AntiVir zu starten was nicht funktionierte... nach kurzem googlen wusste ich das das bei diesem Fiesling normal ist. Naja nun meine Frage:

Wie kriege ich diesen Einbrecher wieder weg und was richtet dieser Trojaner /wurm ka was das ist an?


Mein Hijack-Log mal hier:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:16, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Dokumente und Einstellungen\**\bbcqa.exe
H:\WINDOWS\explorer.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programme\Java\jre6\bin\jusched.exe
H:\Programme\TortoiseSVN\bin\TSVNCache.exe
H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\ScanSoft\PaperPort\pptd40nt.exe
H:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
H:\Programme\pdf24\PDFBackend.exe
H:\Programme\Brother\ControlCenter3\brccMCtl.exe
H:\Programme\Avira\AntiVir Desktop\avgnt.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\Skype\Phone\Skype.exe
H:\DOKUME~1\**\LOKALE~1\Temp\c.exe
H:\Programme\DNA\btdna.exe
H:\Programme\Brother\Brmfcmon\BrMfcmon.exe
H:\WINDOWS\msf.exe
H:\Programme\Windows Live\Messenger\msnmsgr.exe
H:\DOKUME~1\**\LOKALE~1\Temp\settdebugx.exe
H:\DOKUME~1\**\LOKALE~1\Temp\wscsvc32.exe
H:\Programme\MSI\US54SE_Utility\ZDWlan.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Dokumente und Einstellungen\**\Lokale

Einstellungen\Apps\2.0\J07JNODA.O23\2OQOXZH2.JKH\curs..tion_eee711038731a406_0004.0000_1430d96b300c8988\CurseClient.exe
H:\Programme\Gigabyte\EasySaver\ESSVR.EXE
H:\Programme\Skype\Plugin Manager\skypePM.exe
H:\Programme\ICQ6Toolbar\ICQ Service.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
h:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - H:\WINDOWS\system32\dvmurl.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - H:\Programme\Softonic_Deutsch\tbSof1.dll
R3 - URLSearchHook: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - H:\Programme\DVDVideoSoft\tbDVDV.dll
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\Dokumente und Einstellungen\**\bbcqa.exe \s
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - H:\Programme\Softonic_Deutsch\tbSof1.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows

Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - H:\Programme\DVDVideoSoft\tbDVDV.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - H:\Programme\Softonic_Deutsch\tbSof1.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - H:\Programme\DVDVideoSoft\tbDVDV.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] H:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "H:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "H:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "H:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "H:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] H:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] H:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [PDFPrint] "H:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [kkcigso] H:\WINDOWS\system32\kkcigso.exe \u
O4 - HKLM\..\Run: [MSConfig] H:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitTorrent DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Videohost] H:\DOKUME~1\**\LOKALE~1\Temp\c.exe
O4 - HKCU\..\Run: [Minisoft] H:\WINDOWS\msf.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] H:\Programme\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [msnmsgr] "H:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "I:\Steam.exe" -silent
O4 - HKCU\..\Run: [settdebugx.exe] H:\DOKUME~1\**\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "H:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CurseClientStartup.ccip
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = H:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: HWAqbliZanDCAZf - {ABCDEF13-0167-45B9-0AEE-43969F7CFA5B} - H:\WINDOWS\system32\xhaht.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - H:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - H:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - H:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - H:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

--
End of file - 10012 bytes

ann mir wer bitte ine detaillierte Lösungstratege schreiben !

Danke schonmal

Mfg Baalin

edit: hatte letztens einen fiesling drauf der alle 10mins den ie öffnete und irgendwas geöffnet hat... tritt jetzt nur noch selten auf... kann das damit zusammenhängen?

Hi,

da ist noch einiges mehr drauf...
Ein Eintrag ist kritisch!

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")
Achtung: passe bei H:\Dokumente und Einstellungen\**\bbcqa.exe den Pfad richtig an (die ** ersetzten durch den richtigen Pfad!)

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys

Files to delete:
H:\DOKUME~1\**\LOKALE~1\Temp\c.exe
H:\DOKUME~1\**\LOKALE~1\Temp\settdebugx.exe
H:\DOKUME~1\**\LOKALE~1\Temp\wscsvc32.exe
H:\Dokumente und Einstellungen\**\bbcqa.exe
H:\WINDOWS\system32\kkcigso.exe
H:\Programme\Malware Defense\mdefense.exe

Folders to delete:
H:\DOKUME~1\**\LOKALE~1\Temp
H:\Programme\Malware Defense
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\Dokumente und Einstellungen\**\bbcqa.exe \s!