Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Hilfe! (https://www.trojaner-board.de/24034-bitte-um-hilfe.html)

drunkenmonkey 27.11.2005 17:23
Bitte um Hilfe!
 
Hi, ich habe mir wohl nen Trojaner eingefangen. AntiVir lokalisiert ihn als TR/Agent.EM im Ordner C:\WINDOWS\SYSTEM32\ATLQA.EXE. Hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:48, on 27.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atlqa.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Studium\Programme\Matlab7\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {11BD50AA-70C0-229D-9679-75CD68F5E419} - C:\WINDOWS\system32\winby.dll
O2 - BHO: Class - {255C3BAE-1994-8D48-D6F5-CC4350B435DC} - C:\WINDOWS\appvh.dll (file missing)
O2 - BHO: Class - {48824338-44C0-7912-89AA-850C0E0875C0} - C:\WINDOWS\system32\sysva32.dll (file missing)
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works

Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [netvc.exe] C:\WINDOWS\netvc.exe
O4 - HKLM\..\Run: [mfcrt32.exe] C:\WINDOWS\system32\mfcrt32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [javafi.exe] C:\WINDOWS\javafi.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winby.exe] C:\WINDOWS\system32\winby.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB

Adapter\monitordt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlqa.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MATLAB Server (matlabserver) - Unknown owner -

C:\Studium\Programme\Matlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Für eine Analyse und eine (einfach gehaltende) Beschreibung der nächsten Schritte zur Lösung des Problems wäre ich äußerst dankbar.

stupormundi 28.11.2005 06:51
Servus!
Hol´ Dir folgende Tools:
http://www.intermute.com/spysubtract..._download.html CWS Shredder
http://www.clearprog.de/ clearprog 1.4.1 final
http://www.safer-networking.org/en/download/ Spybot S&D (<--hast Du schon)
http://www.lavasoft.de/ Adaware
Update Spybot, Adaware, CWS Shredder und wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html
Lass´ CWS Shredder, Spybot und Adaware laufen, entferne was vorgeschlagen wird.
Dann fixe - falls noch vorhanden - mit HJT (<-- siehe Anleitung) folgende Einträge
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsebe.dll/sp.html#55135
...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsebe.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {11BD50AA-70C0-229D-9679-75CD68F5E419} - C:\WINDOWS\system32\winby.dll
O2 - BHO: Class - {255C3BAE-1994-8D48-D6F5-CC4350B435DC} - C:\WINDOWS\appvh.dll (file missing)
O2 - BHO: Class - {48824338-44C0-7912-89AA-850C0E0875C0} - C:\WINDOWS\system32\sysva32.dll (file missing)
...
O4 - HKLM\..\Run: [netvc.exe] C:\WINDOWS\netvc.exe
O4 - HKLM\..\Run: [mfcrt32.exe] C:\WINDOWS\system32\mfcrt32.exe
...
O4 - HKLM\..\Run: [javafi.exe] C:\WINDOWS\javafi.exe
...
O4 - HKLM\..\Run: [winby.exe] C:\WINDOWS\system32\winby.ex
Enferne anschließend manuell folgende Dateien (achte auf die exakte Schreibweise der Dateien - muss mit den gefixten Einträgen überein stimmen, falls Du Dateien nicht gleich findest, wirf einen Blick auf den link unten in meiner Signatur)
Zitat:
C:\WINDOWS\dsebe.dll
C:\WINDOWS\system32\winby.dll
C:\WINDOWS\netvc.exe
C:\WINDOWS\system32\mfcrt32.exe
C:\WINDOWS\javafi.exe
C:\WINDOWS\system32\atlqa.exe
Jetzt noch den Müll rausbringen mit clearprog und der Funktion 'clear all', neu booten, Systemwiederherstellung wieder aktivieren, neues HJT Log erstellen und hier samt Ergebnisbericht posten
stupormundi

drunkenmonkey 29.11.2005 14:23
hi stupormundi, erst mal vielen dank, hab deine anleitung befolgt. hat alles auch so funktioniert. nur beim manuellen löschen gabs probleme: die winby.dll ist nicht in WINDOWS\system32\ sondern in WINDOWS\ . ausserdem ist die mfrct32.exe nicht aufzufinden, trotz der sichtbarkeit aller dateien. und die atlqa.exe befindet sich im recovery ordner von spybot. weiterhin kann spybot ein problem nicht lösen: CoolWWWSearch.Feat2DLL .
hab aber seit dem keine meldung mehr von antivir bekommen. hier nun mein aktuelles HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:08:04, on 29.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Lavasoft\Personal Firewall\lpfw.exe
C:\Studium\Programme\Matlab7\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Personal Firewall] C:\Programme\Lavasoft\Personal Firewall\lpfw.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Lavasoft\PERSON~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Lavasoft Personal Firewall Service (LavasoftFirewall) - Agnitum Ltd. - C:\Programme\Lavasoft\Personal Firewall\lpfw.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Studium\Programme\Matlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

vielen dank schon mal im voraus. mfg

stupormundi 29.11.2005 14:43
Servus!
Dass Du die eine oder andere Datei nicht mehr findest, ist schon ok. Immerhin hätte der CWS Shredder (hast Du den auch aktualisiert?) auch etwas entfernen sollen!
Für die *.dll: Hol Dir die killbos http://www.bleepingcomputer.com/files/killbox.php und lösche damit im abgesicherten Modus mit der Option 'kill on reboot' die 'winby.dll'
Auch noch mit HJT fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
Hast Du zwei Firewalls laufen: ZoneAlarm und Lavasoft?
stupormundi

drunkenmonkey 29.11.2005 19:31
hi, hat alles geklappt so weit. CWS shredder hatte ich aktualisiert. bekomme keine meldung von antivir mehr. da ist aber immer noch das eine problem, das spybot nicht entfernen kann. hast du da noch irgeneinen rat? ja ich habe zwei firewalls. ist das nicht so vorteilhaft?

mfg

stupormundi 30.11.2005 06:53
Servus wieder!
Zwei Firewalls - naja, wenn Du hier im board die Tipps zur Absicherung Deines Systems ansiehst, wirst Du feststellen, dass Firewalls generell zumindest kontroversiell diskutiert werden. Fühlst Du dich damit sicherer? Wenn ja ,warum? Weil Du so viele Meldungen von geblockten Bedrohungen bekommst? Oder weil Du gar nichts gemeldet bekommst? Was ist, wenn so eine Meldung daherkommt - kannst Du sie richtig einordnen und interpretieren?
Hol Dir mal eines der beiden Tools (dingens finden ich einfacher) http://www.dingens.org/ dingens oder http://www.ntsvcfg.de/ ntsvcfg. Damit kannst Du unnötige Ports schließen, womit die meisten Einfallstore einfach zu sind und Deine PFWs für die Katz. Den Rest an Sicherheit bringen ein immer aktuelles Sys und ein verantwortungsbewußter User (=DU?!), ein eingeschränktes Benutzerkonto zum surfen, ein aktueller Hintergrundvirenwächter ist ebenfalls sinnvoll und wird empfohlen (siehe Cidres Tipps zu Absicherung des Systems).
Allen Programmen gemein ist, dass auf keines 100% Verlass ist. Kein Virenscanner findet alles, keine PFW erkennt und blockt alles (außer Du hast generell alles geblockt, was aber nicht sinnvoll wäre ;) )
Also zusammenfassend gesagt. Ein 'Mehr' an Programmen bringt nicht mehr Sicherheit, sondern wiegt Dich in trügerischer Sicherheit.
Zu Spybot: Wie lautet hier die genaue Meldung zu diesem CWS (Pfad, Dateiname)?
stupormundi


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19