Trojaner-Board - Tr.Dldr.FFZ.40

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Tr.Dldr.FFZ.40 (https://www.trojaner-board.de/28885-tr-dldr-ffz-40-a.html)

ich bekomme diesen Trojaner nicht raus, irgendwo scheint noch was zu hängen.

Logfile of HijackThis v1.99.1
Scan saved at 13:04:03, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
F:\Programme\eMule.de\emule.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\Papa\Desktop\Virenbekämpfung 28.4.06\Hijack\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\eMule.de\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Kann jemand helfen?

mOIn wulffine,
wie kommst du drauf ?gibt Antivir dir 'ne Meldung ? wenn ja welche ?
ma nen Tip ins blaue deaktiviere mal die Systemwiderherstellung - Neustart - Systemwiderherstellung wider aktivieren - Neustart - immernoch Meldungen ?
MFG aus HH

@ wulffine:
Als erstes liest du mal Punkt 5 der 7 goldenen Regeln des TB, denen Du bei Registrierung zugestimmt hast.
cacatoa

Also: bekomme von Antivir die Meldung, dass sich der Trojaner Tr.Dldr.FFZ.40 in C:\system volume Information (3versch.) und in C:\windows\system32\CSKIN.exe befindet.

Habe ewido anti-malware, bitdefender online scan wixwareout und trojanhunter unabhängig voneinander laufen lassen, immer noch da. Habe WP/serv pack2.

Der PC baut sich sehr langsam nur auf, öffnet manche Progs nicht.

Lösche die folgende Datei bitte mit killbox (Option - delete on reboot):

Zitat:

C:\windows\system32\CSKIN.exe

Danach führe bitte einen Scan mit eScan durch und poste das Ergebnis der find.bat (Links zu den Anleitungen/Programmen siehe meine Signatur).

Sun Apr 30 16:20:13 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Sun Apr 30 16:20:13 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Apr 30 16:20:13 2006 => Loading Spyware Signatures from new External Database (Size: 156952).
Sun Apr 30 16:20:13 2006 => Indexed Spyware Databases Successfully Created...

Sun Apr 30 16:20:20 2006 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken.
Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\fun web products !!!
Sun Apr 30 16:20:21 2006 => Object "funweb Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\funwebproducts !!!
Sun Apr 30 16:20:21 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\mywebsearch !!!
Sun Apr 30 16:20:21 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 16:20:21 2006 => Offending Key found: HKCU\Software\mywebsearch !!!
Sun Apr 30 16:20:21 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 16:20:23 2006 => Offending file found: C:\Dokumente und Einstellungen\Papa\Desktop\arbeitsdateien antivirenkit\toolbarsetup.exe
Sun Apr 30 16:20:23 2006 => System found infected with findit quick browseraid Spyware/Adware (toolbarsetup.exe)! Action taken: No Action Taken.
Sun Apr 30 16:20:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\eigene bilder\eigene bilder\autos
Sun Apr 30 16:20:24 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 16:20:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\Eigene Bilder\eigene bilder\autos
Sun Apr 30 16:20:25 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Leider hast Du die Anleitung nicht vollständig gelesen, sonst wäre Dir der folgende Punkt aufgefallen:

Zitat:

[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

Hole das bitte nach.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 30 16:20:20 2006 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken.
Sun Apr 30 16:20:23 2006 => System found infected with findit quick browseraid Spyware/Adware (toolbarsetup.exe)! Action taken: No Action Taken.
Sun Apr 30 16:20:21 2006 => Object "funweb Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 16:20:21 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 16:20:21 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 16:20:21 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 16:20:24 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 16:20:25 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 30 16:20:23 2006 => Offending file found: C:\Dokumente und Einstellungen\Papa\Desktop\arbeitsdateien antivirenkit\toolbarsetup.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Apr 30 16:20:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\eigene bilder\eigene bilder\autos
Sun Apr 30 16:20:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\Eigene Bilder\eigene bilder\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\fun web products !!!
Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\funwebproducts !!!
Sun Apr 30 16:20:21 2006 => Offending Key found: HKLM\Software\mywebsearch !!!
Sun Apr 30 16:20:21 2006 => Offending Key found: HKCU\Software\mywebsearch !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 30 16:26:45 2006 => Total Errors: 0
Sun Apr 30 16:26:45 2006 => Time Elapsed: 00:09:47
Sun Apr 30 16:26:45 2006 => Total Objects Scanned: 22990
Sun Apr 30 16:16:42 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 16:26:44 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 16:26:46 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 16:31:56 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 16:45:41 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 17:02:51 2006 => Virus Database Date: 4/28/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Temp\MWAV.LOG
--------------------------------------------------

Meiner Meinung nach, liefert das eScan-Log nichts Substantielles.
Bestehen die Probleme noch immer?

Wenn ja, führe einen Scan mit RootkitRevealer durch (siehe Signatur - während des Scans nichts am Rechner machen) und poste das Log hier.

Das Prob besteht immer noch, der Scan sagt aber, alles ok. Habe aber eben wieder von Antivir die Virenmeldung bekommen.

@wulffine

Irgendetwas hast du bei der Anwendung von eScan falsch gemacht:

Zitat:

Zitat von wulffine

Sun Apr 30 16:26:45 2006 => Time Elapsed: 00:09:47

Der eScan dauert mindestens eine Stunde, meist länger. Lies die Anleitung noch mal sorgfältig durch und wiederhole die Prozedur. Vorher bitte mwav.log löschen, weil die neu angelegt wird.

Gruß, Laudomina

Darf ich mich nochmal einmischen?
Existiert diese Datei noch irgendwo:
C:\windows\system32\CSKIN.exe
cacatoa

Die Datei ist raus.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 30 21:06:09 2006 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken. Diesen Schlüssel hab ich gelöscht, war das richtig?Sun Apr 30 21:06:17 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Apr 30 21:06:37 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Apr 30 21:06:17 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\eigene bilder\eigene bilder\autos
Sun Apr 30 21:06:37 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Papa\Eigene Dateien\Eigene Bilder\eigene bilder\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 30 22:55:58 2006 => Total Errors: 2
Sun Apr 30 22:55:58 2006 => Time Elapsed: 01:49:42
Sun Apr 30 22:55:58 2006 => Total Objects Scanned: 77451
Sun Apr 30 20:58:32 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 20:59:03 2006 => Virus Database Date: 4/28/2006
Sun Apr 30 21:00:38 2006 => Virus Database Date: 4/30/2006
Sun Apr 30 21:05:00 2006 => Virus Database Date: 4/30/2006
Sun Apr 30 22:55:57 2006 => Virus Database Date: 4/30/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

kann bitte jemand nochmal schauen? Die Probs zeigt der pC noch immer. Und wie krieg ich diese Gohip weg? Ad-aware schaffts nicht.

Hallo wulffine,

gohip Spyware wird von ewido entfernt, was du ja scheinbar schon hast laufen lassen. Wieso ist es dann noch da?

Übrigens: Weil die HJT-Logs sich denn doch zu sehr ähneln, gehe ich davon aus, dass dies hier deine Anfrage ist. Crosspostings werden nicht gern gesehen. Hast du die dort gegebenen Ratschläge wirklich richtig durchgeführt?

Weil keiner das Schadpotenzial deiner (teils entfernten?) Malware kennt, kannst du noch MightyMarcs Ratschlag aus #9 befolgen und RootkitRevealer laufen lassen.

Ansonsten lies dich mal über Sicherheit im Netz schlau und ziehe ein Neuaufsetzen nach Cidres Anleitung in Erwägung. Nie wieder eMule mit dem IE kann ich nur raten!

Gruß, Laudomina