Trojaner-Befall. LOG anbei

vandura · 11.11.2004, 18:24

Hallo!

Ich habe seit einiger Zeit ein recht merkwürdiges Problem:

Der PC scheint oft sehr ausgelastet zu sein und die HG arbeitet. Ebenso wird der Computer immer langsamer und die Taskleiste arbeitet nicht richtig. Wenn ich z.b. dann STRG+ALT+ENTF drücke, um den Taskmanager aufzurufen, dann erscheint zwar das grüne Symbol in der Taskleiste, aber der Manager öffnet sich nicht und man kann ihn auch nicht über das grüne Symbol in der Taskleiste öffnen. Ebenso öffnen sich andere Programme, wie z.b. WinRAR nicht.

Anbei mal mein LOG-File. Schon jetzt vielen Dank für die Hilfe.

Logfile of HijackThis v1.98.2
Scan saved at 18:32:24, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\clipsrv.exe
P:\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
P:\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
P:\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
p:\WindowBlinds\wbload.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\System32\sstray.exe
P:\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\ctfmon.exe
P:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
P:\PC Alert 4\PCAlert4.exe
P:\WinZip 9.0\WZQKPICK.EXE
P:\iOpus Flatrate Steckdose\flatrate.exe
C:\PROGRA~1\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
P:\Microsoft Office\OFFICE11\OUTLOOK.EXE
P:\WinRAR\WinRAR.exe
C:\WINDOWS\System32\taskmgr.exe
P:\WinRAR\WinRAR.exe
C:\WINDOWS\System32\wuauclt.exe
P:\Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
R:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.81.91.195:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - P:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - P:\Net Transport\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - p:\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] P:\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "P:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "P:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] p:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FlatrateSteckdose.lnk = P:\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PC Alert 4.lnk = P:\PC Alert 4\PCAlert4.exe

O4 - Global Startup: WinZip Quick Pick.lnk = P:\WinZip 9.0\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Download all by Net Transport - P:\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - P:\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - P:\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://P:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Selected URL - p:\RightClick_IE\openselectedurl.htm
O8 - Extra context menu item: Open with GetRight Browser - P:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search &Google - p:\RightClick_IE\google.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - p:\Preispiraten\preispiraten2.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe
O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100194064984
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5AD9B75-6F3D-4544-92D9-061AD4E7634A}: NameServer = 217.237.150.97 217.237.149.161

cacatoa · 11.11.2004, 18:42

Hallo, vandura,
Dein logfile ist relativ schön, d.h. die folgenden, wenn Sie dir nicht bekannt sind, solltest Du fixen:
O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -

Wenn Du Probleme hast, müssen sie nicht unbedingt im HJT Logfile auftauchen.
Mach doch mal einen eScan im abgesicherte Modus bei deaktivierter Systemwiederherstellung. Das Ergebnis (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) mal hier reinstellen.

vandura · 12.11.2004, 13:02

Danke sehr. habe das mal gemacht. Herausgekommen ist folgendes:

Fri Nov 05 11:44:20 2004 => ERROR!!! Invalid Entry = "C:\Program Files\Internet Explorer\iexplore.exe" -nohome. Removing it.
Fri Nov 05 11:44:23 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Fri Nov 05 11:44:25 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS...
Fri Nov 05 11:44:26 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2...
Fri Nov 12 12:56:21 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Fri Nov 12 12:56:23 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS...
Fri Nov 12 12:56:24 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2...

Fri Nov 12 12:59:31 2004 => File C:\WINDOWS\System32\winamp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wie bekomme ich dieses blöden Backdoor.Win32.Rbot.gen denn nun weg??
Ausserdem schreint escan immer 'removing' bei den invalid einträgen, aber wenn ich nochmal scanne, sind die immer noch da. Muss ich die manuell löschen??

Danke!

Shadowdance · 12.11.2004, 13:48

@ vandura

Zitat:

Zitat von vandura

Fri Nov 12 12:59:31 2004 => File C:\WINDOWS\System32\winamp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wie bekomme ich dieses blöden Backdoor.Win32.Rbot.gen denn nun weg??

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Im Falle von "Backdoor.Win32.Rbot.gen" kann ich Dir leider nur raten, Dein System zu formatieren und neu aufzusetzen, analog folgenden Hinweisen:
Lutz: Datensicherung und Cidre: ein umfassender Rat. Dein System ist durch den Backdoor.Win32.Rbot.gen kompromittiert. Das bedeutet, dass jemand anderes Fremdzugriff auf Deinen Rechner haben kann.

SD

vandura · 12.11.2004, 13:59

Oh je...komme ich um eine Neuinstallation wirklich nicht herum??

Wenn es eine Möglichkeit gäbe, eine Neuinstallation zu vermeiden, wäre ich für jeden Rat sehr dankbar.

Shadowdance · 12.11.2004, 14:06

@ vandura,

bist Du Laaie oder Computer-Experte? Wenn Du Experte bist, kannst Du versuchen, alle Registry-Schlüssel und Codes, die dieser Backdoor auf Deinem System hinterlassen hat, zu löschen. Wenn Du Laaie bist, solltest Du Dein System formatieren, da Du ansonsten davon ausgehen kannst, dass jemand anderes Zugriff auf Dein System hat und mitliest.

SD

vandura · 12.11.2004, 14:18

Also ich denke schon, dass ich Experte bin. Nur leider weiss ich natürlich auswendig nicht, welche Einträge der Virus in der Registry vorgenommen hat.

Wenn es da eine Anleitung/Hilfe gäbe, dann kann ich die Einträge selstverständlich löschen.

Schonmal vielen Dank!

cacatoa · 12.11.2004, 18:55

Na, das was Shadowdance gesagt hat...
Du mußt echt ein Experte dafür sein.
Andere Beschreibung, die Deinen Bakcdoorer noch besser trifft und fast noch deutlicher hier
Also, ich weiß auch nicht was zeitraubender ist - neu aufsetzen oder suchen (und dann vielleicht einen Fehler machen...)

Trojaner-Befall. LOG anbei

Log-Analyse und Auswertung: Trojaner-Befall. LOG anbei