Hallo zusammen, ich habe ein kleines Patch installiert und wunderte mich das das File nach dem öffnen sich selber löschte. Nun dachte ich mir gleich mist hast einen Trojaner installiert. Sogleich sprang auch ein Fenster auf mit der Frage Adope Flash Player installieren ? Natürlich Nein geantwortet da schon auf meinem System installiert kann nur Trojaner sein dachte ich mir. Habe gleich mit A-Squared gescannt und ihn gefunden bzw. sein kleines Programm das installiert wurde. Ich habe es gelöscht. Nun fühlte ich mich immer noch nicht sicher und scannte mit GMER - Rootkit Scanner (Logfile weiter unten) und mit HiJackerthis (Logfile weiter unten)

Gut dann öffnete ich noch msconfig und sah unter dem Reiter Systemstart einen Eintrag zu dem kleinen Programm das ich gelöscht hatte. Nun ging ich in die Registry und fand den Eintrag und löschte ihn aber nach einem Neustart war er wieder da! Habe auch den Schlüssel "TOY5KNQ8OC" gelöscht (siehe Bild 2) wird aber auch wieder eingetragen nach dem Neustart!
Wo ist das Ding vergraben?

Dazu diese beiden Screenshots und die beiden Logfiles von Hijacker und GMER:


Bild1


Bild2




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:13, on 19.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\regedit.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOY5KNQ8OC] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1268757358281
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 3691 bytes





GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-19 09:07:08
Windows 5.1.2600 Service Pack 3
Running: espynmcc.exe; Driver: C:\DOKUME~1\gothic\LOKALE~1\Temp\pwtdyuow.sys


---- System - GMER 1.0.15 ----

SSDT F7FABDF6 ZwCreateKey
SSDT F7FABDEC ZwCreateThread
SSDT F7FABDFB ZwDeleteKey
SSDT F7FABE05 ZwDeleteValueKey
SSDT F7FABE0A ZwLoadKey
SSDT F7FABDD8 ZwOpenProcess
SSDT F7FABDDD ZwOpenThread
SSDT F7FABE14 ZwReplaceKey
SSDT F7FABE0F ZwRestoreKey
SSDT F7FABE00 ZwSetValueKey
SSDT F7FABDE7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 120 804E278C 1 Byte [EC]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF7221000, 0x1C5D58, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xEC02D300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7BFC300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\PROGRAMME\A-SQUARED FREE\a2service.exe[1520] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D C:\PROGRAMME\A-SQUARED FREE\a2service.exe (a-squared Service/Emsi Software GmbH)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shlwapi.dll [USER32.dll!CreateWindowExA] [004179E4] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shlwapi.dll [USER32.dll!CreateWindowExW] [00417A5E] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shlwapi.dll [USER32.dll!SetWindowPos] [00417B8A] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shlwapi.dll [USER32.dll!ShowWindow] [00417AD8] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [004179E4] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00417A5E] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [00417AD8] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!SetWindowPos] [00417B8A] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!CreateWindowExW] [00417A5E] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [00417A5E] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [00417AD8] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe
IAT C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe[692] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [00417B8A] C:\DOKUME~1\gothic\LOKALE~1\Temp\Cth.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

PS:

Habe mal den Schlüssel im laufendem Betrieb geändert und siehe da er schreibt einen neuen Schlüssel mit der Richtigen Bezeichnung "TOY5KNQ8OC" in die Registry, siehe dieses Bild dazu:



Ich weiß ist vielleicht ein wenig Übertrieben der Aufwand aber ich will ihn killen :-)


Danke für Hilfe.

Hallo und

Ich hab Deinen Text nur überflogen ( ) ) , aber ich bin dafür Du ratterst hier erstmal die Standardprozedur durch :

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.