Trojaner, Backdoor u.a.

Zeroo~PG · 17.07.2010, 00:06

Hi Leute habe seit heute um 00:20Uhr folgendes Problem also. Ich hab mich ein bisschen im StudiVZ Rumgetrieben und ein Freund von mir hat da son ein angebliches scherzprogramm

reingestellt das aber ein per VisualBasic 2010 Express programmiertes Programm war und folgendermaßen aussieht:

Kam mir von anfang an schon komisch vor hab aber gedacht bisst ja kein feigling und klickst mal auf ich traue mich. und schön öffnen sich im schönen programm 4 verseuschte seiten die trojaner und backdoors in den cache und in die tempörären dateien laden. schönes ding!. aber kaspersky hat soft die 4 dinger gefunden und gelöscht , hab mit hitman pro auch noch nen scan gemacht bin mir aber noch nicht sicher ob alles rein ist: achsoo hier erstmal die pseudonymen die viren:

- Backdoor.Win32.Paras.Ky
- Trojan.Win32.Chifrax.d
- die Anderen 2 seiten hat kaspersky geblockt.

so. und hier ist einmal HijackThis logfile. mbam und otl kommen noch.

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:51:26, on 17.07.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\***\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\***\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 4923 bytes

--- --- ---

viel spaß beim analysieren. mfg justin

Zeroo~PG · 17.07.2010, 00:34

Hier die OTL .txt ist 500kb groß Multiupload.com - upload your files to multiple file hosting sites! hxxp://www.multiupload.com/J32HPJWXNN

markusg · 17.07.2010, 12:54

hast du die seite noch? wenn ja sende sie mir als persönliche nachicht.
wenn du das programm noch hast, lads mal hier hoch:
http://www.trojaner-board.de/54791-a...ner-board.html
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte nun alles an laufenden programmen ab, auch dein antivirus programm, trenne auch die internetverbindung, in dem du das netzwerkabel ziehst, bzw wlan deaktivirst, starte nun einen komplett scan mit malwarebytes, funde am ende löschen, evtl. muss der pc neu gestartet werden, avira + internet ein,log posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

Zeroo~PG · 17.07.2010, 20:35

Alsoo wei beim Trojanerboard Upload immer fehler auftraten hab ich die Datei mal per Multiupload hochgeladen. Vorsicht nicht öffnen Virusgefahr und wenn geöffnet nicht auf den Button Ich traue mich klicken. hxxp://www.multiupload.com/062YYS284C
oder auch noch auf virustotal: md5: 5c11214d17f5d1378bdf3e6721fe1d83
hxxp://www.virustotal.com/de/analisis/1f59cdbd262c6da67e70c036c15599a21e6a5242342bcd594e3f241343df1433-1279395530

PS:. Sogar in der Dateibeschreibung stand Virus! ich deppp. naja PP Persöhnliches pech..

Otl Kommt noch!

Zeroo~PG · 17.07.2010, 21:53

hier die otl log hxxp://www.multiupload.com/DWOED64BKU

markusg · 18.07.2010, 14:47

und was ist mit malwarebytes?

Zeroo~PG · 18.07.2010, 17:23

Erstens mal nicht so große schanuze ich bin auch keine maschine und Malwarebytes hat nix gefunden du homo.

markusg · 18.07.2010, 17:54

wenn du hilfe von jemandem erwartest, solltest du vllt auf deinen ton achten, vllt findest ja wen, der dir weiter helfen möchte.

Larusso · 18.07.2010, 17:59

Anleitung zum Neu aufsetzten
Hier steht WARUM

17.07.2010, 00:34	#2
Zeroo~PG Gesperrt	Trojaner, Backdoor u.a. Hier die OTL .txt ist 500kb groß Multiupload.com - upload your files to multiple file hosting sites! hxxp://www.multiupload.com/J32HPJWXNN __________________

17.07.2010, 21:53	#5
Zeroo~PG Gesperrt	Trojaner, Backdoor u.a. hier die otl log hxxp://www.multiupload.com/DWOED64BKU

18.07.2010, 14:47	#6
markusg /// Malware-holic	Trojaner, Backdoor u.a. und was ist mit malwarebytes?

18.07.2010, 17:23	#7
Zeroo~PG Gesperrt	Trojaner, Backdoor u.a. Erstens mal nicht so große schanuze ich bin auch keine maschine und Malwarebytes hat nix gefunden du homo.

18.07.2010, 17:54	#8
markusg /// Malware-holic	Trojaner, Backdoor u.a. wenn du hilfe von jemandem erwartest, solltest du vllt auf deinen ton achten, vllt findest ja wen, der dir weiter helfen möchte.

Trojaner, Backdoor u.a.

Plagegeister aller Art und deren Bekämpfung: Trojaner, Backdoor u.a.