Hallo zusammen,

bin ein wenig verzweifelt - habe mir offensichtlich 'nen Trojaner eingefangen. Auf Laufwerk C taucht nun plötzlich eine Datei namens C:\services.exe (direkt auf C:\ und nicht etwa C:\WINDOWS\system32\services.exe). Wenn ich mit Outlook e-Mails abrufen möchte bekomme ich eine Abfrage nach 'nem Netzwerk-Kennwort... Ist doch nicht normal, oder?

Habe bereits diverse Foren durchsucht und hier und da auch 'n paar Tipps (inkl. removal tools) gefunden und darüber hinaus Online-Viren-Check mit Kaspersky machen lassen - leider alles ohne Erfolg. Habe Ad-Aware & Spy Bot laufen lassen - nix :-( Ich also los und AntiViren Kit (AVK)InternetSecurity 2005 von G-Data eingekauft - der Basis-Check von der bootfähigen CD findet auch das ein oder andere, bricht aber leider nach 40 Minuten an immer derselben Stelle (wmplayer.exe) ab. Und das ganze zu installieren solange der Trojaner noch drauf ist, macht wohl keinen Sinn (so jedenfalls G-Data).

Anbei noch das aktuellste Log-File von HijackThis – vielleicht steckt der Teufel ja im detail?!

Logfile of HijackThis v1.98.1
Scan saved at 16:48:16, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme Archiv\Anti-Spy Tools\HijackThis1981.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O19 - User stylesheet: (file missing)

Wäre schön, wenn jemand Rat weiss… Vielen Dank

Hallo Calavera_SZ,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1-2 Stunden dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

So, danke für den Tipp: gesagt - getan!

Hier das Ergebnis von eScan. Es scheinen zwar "nur" 4 verschiedene böse Dateien zu sein aber ich poste mal alle Dateien, die infiziert zu sein scheinen...

1. File C:\WINDOWS\System32\cxxtfw.73o infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
2. File C:\WINDOWS\System32\drzrtc.w63 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
3. File C:\WINDOWS\System32\elvnew.374 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
4. File C:\WINDOWS\System32\frrfig.6fe infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
5. File C:\WINDOWS\System32\igxxrg.g29 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
6. File C:\WINDOWS\System32\iibgct.78y infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
7. File C:\WINDOWS\System32\mabavs.013 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
8. File C:\WINDOWS\System32\mjezln.85f infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
9. File C:\WINDOWS\System32\mnevqf.e8r infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
10. File C:\WINDOWS\System32\obhasd.th3 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
11. File C:\WINDOWS\System32\oukxhu.wne infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
12. File C:\WINDOWS\System32\ozhmua.v76 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
13. File C:\WINDOWS\System32\qgxakh.897 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
14. File C:\WINDOWS\System32\uzyrmf.2r4 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
15. File C:\WINDOWS\System32\yvsgkr.3o9 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.

16. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014454.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.

17. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014455.exe infected by "TrojanDownloader.Win32.Small.ix" Virus. Action Taken: No Action Taken.

18. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014456.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.

Könnt ihr damit was anfangen??

Hallo Calavera_SZ,

Zitat:

16. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014454.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.

Information zu Backdoor.HacDef.e->"Erläuterung" und ->"Erweitert" beachten.

Ich gehe von der Voraussetzung aus, dass dieser Backdoor bereits einigen Schaden auf Deinem System angerichtet hat und empfehle Dir daher Deine Festplatte zu formatieren - Schritt für Schritt. Würmer mit Backdoor-Eigenschaften hinterlassen Schlüssel in der Registry und Code auf dem System. Sie erlauben Dritten uneingeschränkten Zugriff auf das System des betroffenen Rechners.

Vergleiche hierzu auch Entfernung von Schädlingen und Kompromittierung unvermeidbar? - mit Dank an @ Yopie.

Bitte beachte Lutz: Datensicherung und Cidre's Rat.

SD

Zitat:

Zitat von Shadowdance

Ich gehe von der Voraussetzung aus, dass dieser Backdoor bereits einigen Schaden auf Deinem System angerichtet hat...

Was mich allerdings stutzig macht: Er wird "nur" in der Systemwiederherstellung angezeigt. Möglich, das er nicht aktiv war.

Gruß
Yopie

Vielen Dank erstmal für die prompte Antwort :-)

Hört sich irgendwie ziemlich besch....., äh, nicht gut an - habe aber damit gerechnet und wenn wir ehrlich sind, hast Du (und haben auch die Info-Verweise) vollkommen recht.

Also, auf in eine lange Nacht und nochmals besten Dank für die Hilfe!

-> yopie: Kann das also doch noch "Rettung" bedeuten???

Mein System läuft eigentlich (bis auf die e-Mail Geschichte, s.u.) völlig normal - keine extreme CPU Auslastung, keine Verzögerungen, nix offenbar ungewöhnliches eben - geht da was? Wäre ja der Wahnsinn!

Sollte die Formatierung wahrscheinlich doch die bessere Alternative sein würde ich gern noch folgendes wissen:

Habe meine Platte in drei Partitionen aufgeteilt:
1. c:\ Nur System (XP) und Programme
2. d:\ Eigene Dateien
3. e:\ Recovery (Sicherungskopien, Treiber...)

Müsste ich um ganz sicher zu gehen die ganze Platte formatieren oder könnte ich mich auf Partition C: beschränken? Ist bestimmt unwahrscheinlich aber fragen kann ich ja mal...

Thanxxx for response

C: dürfte meiner meinung nach genügen, schalte aber vor dem formatieren die systemwiederherstellung für alle Laufwerke ab.

Zitat:

Zitat von Calavera_SZ

-> yopie: Kann das also doch noch "Rettung" bedeuten???

Tja, sicherer ist auf jeden Fall das Neuaufsetzen. Ich finde es halt ungewöhnlich, dass der Backdoor bei Dir nicht aktiv zu sein scheint. Da ich aber nicht weiß, auf welchem Weg er in die Systemwiederherstellung gekommen ist, würde ich schon Neuaufsetzen.

Zitat:

Zitat von Calavera_SZ

Müsste ich um ganz sicher zu gehen die ganze Platte formatieren oder könnte ich mich auf Partition C: beschränken? Ist bestimmt unwahrscheinlich aber fragen kann ich ja mal...

Die Daten und Sicherungskopien solltest Du extern sichern (CD / DVD / ext. Festplatte) und nach dem Neuaufsetzen mit einem AV-Scanner überprüfen. So kannst Du "relativ" sicher gehen (kein AV-Scanner ist perfekt), dass
a) die Daten sauber sind und
b) Du ein sauberes System hast.

Gruß
Yopie

Okay, werde formatieren.

Muss Euch allerdings noch einmal nerven:
Habe blöder Weise vergessen zu erwähnen, dass ich noch 'ne externe Festplatte betreibe. Die müsste ich doch eigentlich als Backup-Träger für die entsprechenden Daten nutzen und nach dem Neuaufsetzen mit 'nem Viren-Check prüfen können?? Würde mir eine Menge Brennerei ersparen... Oder liege ich da falsch?

@Calavera_SZ
ich würde den virencheck vorher machen wenn das backup oben ist.
anders hast du ein sauberes system mit verseuchtem backup

chaosman

Zitat:

Zitat von chaosman

ich würde den virencheck vorher machen wenn das backup oben ist.

Von einem evtl. verseuchten System aus? Nö. Dann besser von einem wirklich sauberen System aus.

Gruß
Yopie