Trojaner-Board - Benötige Hilfe - ebenfalls Anfängerin

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Benötige Hilfe - ebenfalls Anfängerin (https://www.trojaner-board.de/11708-benoetige-hilfe-ebenfalls-anfaengerin.html)

Benötige Hilfe - ebenfalls Anfängerin

Guten Abend,
nun sitz ich schon den dritten Abend vorm Rechner und suche nach den Würmer und TrojPferden auf meinem Rechner. Ich hab hier schon viel gelesen und mich nun doch entschlossen euch zu fragen.

Mit Norton AntiVirus habe ich ein paar beseitigen können, aber ein paar konnte ich nicht löschen.
Zudem kam sobald ich den IE öffne eine Art Popup, der aber jetzt weg zu sein scheint nach dem Aufruf von RegClean. Der Rechner ist dann auch superhoch ausgelastet durch eine svchost.exe

Folgende Dateien konnte Norton nicht löschen:
jvhqr.exe mediaplayer32.exe OfficeGUI32cb.exe yhzuqc.exe

Ich habe hier auch schon gelesen, dass man im abgesicherten Modus Dateien fixen kann? Aber ich weiß weder wie ich in den abgesicherten Modus noch wie Dateien fixe.

Hier noch mein Logfile von HiJackThis_

StartupList report, 05.01.2005, 21:41:21
StartupList version: 1.52
Started from : C:\hijack\StartupList.EXE
Detected: Windows 2000 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\yhzuqc.exe
C:\WINNT\System32\jvhqr.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\WINNT\System32\Msbb.exe
C:\WINNT\System32\jlhg.exe
C:\WINNT\System32\IExplore32cb.exe
C:\WINNT\System32\winservicess.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\hijack\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
NPS Event Checker = C:\PROGRA~1\Navnt\npscheck.exe
NAV DefAlert = C:\PROGRA~1\Navnt\defalert.exe
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
RSPC Driver D = jvhqr.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = jlhg.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

RSPC Driver D = jvhqr.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = jlhg.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = msxt.exe
RSPC Driver D = jvhqr.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=(Kein)
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...8357.357037037

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Programme\Symantec\S32EVNT1.DL1 => C:\Programme\Symantec\S32EVNT1.DLL||\

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.672 bytes
Report generated in 0,120 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Vielen Dank für Hilfe
Antje

@fra900
lade dir escan hier download
lese der anleitung
hier
genauestens durch, und mache es genauso wie beschrieben wird.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
wenn du das nächste mal ein HJT logfile hier im board rein stellst, dann bitte das "normale" logfile mit die laufende prozesse

hier noch ein link zum starten in den abgesicherten modus
wenn du probleme hast, dann melde dich
chaosman

So nun habe ich escan laufen lassen nach deinen anweisungen und er fand jede menge einträge, die ich mir aus dem Logfile rauskopiert habe.

folgende auch noch von dem Backdoor.Win32.Rbot.gen infiziert

File C:\WINNT\system32\mediaplayer32.exe
File C:\WINNT\system32\Winlogin.exe
File C:\WINNT\system32\jvhqr.exe
File C:\WINNT\system32\yhzuqc.exe
File C:\WINNT\system32\ykgc.exe
File C:\WINNT\System32\jlhg.exe
File C:\WINNT\System32\uztp.exe
File C:\WINNT\System32\rspcs.exe
File C:\WINNT\System32\Msbb.exe
File C:\WINNT\System32\IExplore32cb.exe
File C:\WINNT\System32\SystemReg16.exe
File C:\WINNT\System32\IExplore32b.exe
File C:\WINNT\System32\VSStatmn32.exe
File C:\WINNT\System32\TFTP1336
File C:\WINNT\System32\TFTP1416
File C:\WINNT\System32\rspc.exe
File C:\WINNT\System32\yhzuqc.exe
File C:\WINNT\System32\TFTP2776
File C:\WINNT\System32\TFTP2844
File C:\WINNT\System32\ipey.exe
File C:\WINNT\System32\cnez.exe
File C:\WINNT\System32\OfficeGUI32cb.exe
File C:\WINNT\System32\cntn.exe
File C:\WINNT\System32\jptf.exe
File C:\WINNT\System32\ntaw.exe
File C:\WINNT\System32\msxt.exe
File C:\WINNT\System32\ofql.exe

von Backdoor.SdBot.ni ist die Datei infiziert
File C:\WINNT\system32\winservicess.exe

Ich habe im abgesicherten Modus alle löschen können und nochmal escan laufen lassen, der dann keine Viren mehr fand.
Allerdings einen Error, den ich nicht verstehe:

ERROR!!! Invalid Entry System32\DRIVERS\TDSLProt.sys in SYSTEM\CurrentControlSet\Services\TDSLProtocol... :dummguck: ;)

Ist mein Rechner nun mit dem Löschen der infizierten Dateien wieder sauber??
Was ist mit der Registry?

Sorry noch für das lange hJT-Protokoll von gestern.

Danke schonmal für alle Hilfe.
Antje

ok jetzt ist klar was getan werden muss -> neuinstallation
weitere infos dazu auf der seite http://www.trojaner-board.de/showpos...28&postcount=2
achja so wie dein system infiziert ist, ist jeder andere ausweg ausgeschlossen.

Hallo,
jetz habe ich den Rechner nochmal platt gemacht und vor Online-Gang eine Firewall installiert.
Escan zeigt bisher noch keine Virenfunde.
Aber die Firewall listet fleißig angriffe von außen an.

Gibt es nicht eine Möglichkeit den Rechner quasi unsichtbar für andere zu machen?

Gruß und Danke für die bisherige Hilfe. Ihr seid klasse.
Antje

da fällt mir www.dingens.org ein. dort gibts ein programm, dass die windows-dienste so einstellt, dass alle ports nach außen geschlossen werden.da brauchst du keine firewall mehr. achja du musst vielleicht verschiedene einstellungen von dem prog durchprobieren. also nicht entmutigt sein, wenn nachdem du eine einstellung gewählt hast, du nicht ins i-net kommst ;)
achja da fällt mir aber auchnoch http://windowsupdate.microsoft.com ein. alle patches installieren und am besten auchnoch service pack 2 (falls nicht bereits drauf). einen anderen browser wie firefox runterladen und den IE nurnoch für windowsupdate benutzen. dann biste noch am sichersten.

"Angriffe" von Außen sind meist gar keine, sondern Portscans, für die es eine Menge Gründe gibt, nur wenige davon sind tatsächlich bösartig. Es sind Anfragen, ob auf deinem Rechner ein bestimmter Dienst angeboten wird, mit dem kommuniziert werden kann (das können windowseigene oder auch, falls du dir welche installiert hast, Trojaner sein). Existieren keine Dienste, kann man scannen bis man Schwarz wird. Deswegen: Dienste abschalten, das Surfverhalten anpassen (Links gabs dazu ja schon), Firewall meldungen ignorieren bzw. selbige gleich gar nicht installieren.