Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Habe mir einen Trjaner eingefangen und werde ihn nicht los!!! (https://www.trojaner-board.de/30403-habe-mir-trjaner-eingefangen-ihn-los.html)

Spatzerl 06.07.2006 18:53

Habe mir einen Trjaner eingefangen und werde ihn nicht los!!!
 
Hallo zusammen, bin neu hier und möchte euch erstmal schreiben, dass ihr auf den ersten Blick ( und wahrscheinlich auch auf den Zweiten) ein Superforum seid.
Nun habe ich allerdings ein Problem (eigentlich sind es zwei) aber durch die Suchfunktion konnte ich schon eines lösen. Nur zu meinem Zweiten habe ich nichts gefunden. Also, es geht darum:

Ich benutze die Programme Webroot Spy Sweeper und Antivir. Spy Sweeper meldet mir dauernd folgende Trrojaner während Antivir nichts meldet:
1. trojan-downloader-zlob
2. trojan-downloader-conhook

Den Ersten habe ich schon eliminieren können, doch beim Zweiten habe ich leider nichts in der Suche gefunden.

Könnt ihe mir da weiterhelfen?

Und eine Bitte hätte ich noch. Da ich eher ein DAU bin, also kaum Ahnung von Computern und deren "Fremdsprache", wäre es lieb, wenn ihr es mir so einfach als möglich erklären würdet.

Bedanke mich schopn jetzt für eure Antworten,

Spatzerl:party:

irrlicht 06.07.2006 19:01

Hallo Spatzerl,
kannst du sagen was genau du zu Problem 1 unternommen hast ?
Was ist bei Google rausgekommen als du Problem 2 eingegeben hast ?
Hast du doch,oder ?
Sophos Virenlexikon wäre der Link der dich intressieren sollte....
Irrlicht

Wildone 06.07.2006 19:01

Hallo,
ich hoffe du kommst trotzdem mit folgenden Anleitungen klar:
Anleitung zur Entfernung von Zlob
Anleitung zur Entfernung von Conhook

danach postest du den Inhalt der Datei C:\rapport.txt und ein HijackThis Log

Edit
Hallo irrlicht :party: , sorry das ich deinen pädagogischen Ansatz unterwandert habe, im Prinzip hast du recht.



Grüße Wildone

Spatzerl 06.07.2006 19:16

Zitat:

Zitat von irrlicht
Hallo Spatzerl,
kannst du sagen was genau du zu Problem 1 unternommen hast ?
Irrlicht

Hallo Irrlicht, also, bei m ersten Problem habe ich folgendes Programm eingesetzt: SmitFraudFix v2.68

Hat auch wunderbar geklappt. Beim nächsten Scann mit Spy Seeper war das Dingen weg!!!

Und ehrlich gesagt: Bei Google habe ich nicht nachgeschaut. :crazy:

Aber ich werde mir die Anleitungen von Wildone mal durchlesen und melde mich dann wieder.

Danke nochmals für eure superschnellen Antworten, ihr seid SPITZE!!!!

Guads Nächtle,

Spatzerl:aplaus:

Spatzerl 06.07.2006 20:20

So ihr Lieben,
habe nun alle Anweisungen :eek: von Wildone befolgt, habe mich durch den Downloadschungel gequält nichts hat geholfen. Dieser "trojan agent winlogonhook" ist immer noch auf meinem PC und hat auch schon versucht andere Trojaner und sonstiges auf meinen Computer upzuloaden(?).

So zum Nächsten! Ich hoffe ich habe alles richtig gemacht.
Mein Hijack This Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:07:22, on 06.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\{F083F37C-07D0-1031-0806-030904200031}\Update.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Clipdiary\clipdiary.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Marianne\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://backend.supremeauction.com/app/user?action=register&regParent=IFACE&domain=auction_de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [clipdiary] C:\Programme\Clipdiary\clipdiary.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: eBay-Comfort Icon - {5BFB4CFB-E89E-4660-9FE0-75C9F3E94382} - C:\Programme\Supreme Auction - Winload Spezial\ebay.url (file missing) (HKCU)
O9 - Extra button: Supreme Auction - {DFE4453A-65DF-47d5-BF37-3D0FD37FBDBB} - C:\Programme\Supreme Auction\SupremeAuction.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143624483093
O20 - Winlogon Notify: awtspnl - awtspnl.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrzf32 - C:\WINDOWS\SYSTEM32\winrzf32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mein rapport Text:

SmitFraudFix v2.68

Scan done at 19:31:56,62, 06.07.2006
Run from C:\Dokumente und Einstellungen\Marianne\Eigene Dateien\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hoffe das hilft weiter. Und nochmals DANKE an alle und schlaft schön.

Bis dann,

Spatzerl

Wildone 06.07.2006 20:26

Hallo,
ich sehe keinerlei Anzeichen für Conhook, kannst du mal die genaue Meldung posten.
Und lösche mal die Datei C:\WINDOWS\SYSTEM32\winrzf32.dll mit killbox mit der Option "delete on reboot"
Falls noch vorhanden kannst du auch folgenden Ordner löschen:
C:\Programme\ToolBar888\

und diesen Eintrag fixen (Haken davor und auf "fix checked"):

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)



Grüße Wildone

Spatzerl 06.07.2006 21:07

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Wildone, folgendes steht bei Spy Sweeper in der Analyse:

Trojan agent winlogonhook

Darunter ist ein Schlüsselzeichen und danach steht:

HKLM\software\microsoft\mssmgr\ (9 Teilspuren)

Habe dir einen Screenshot als Anhang mitgeliefert.

Bin echt am verzweifeln (so sind wir Frauen halt, wenn etwas nicht sofort funktioniert), gell?!?:teufel2:

Muss noch dazu sagen, ich habe mir versucht einen Keygen (?) für Nero 7 (ORIGINALVERSION) herrunterzuladen. Habe Probleme mit der Seriennummer (muss sie bei jedem Start des Programmes neu eingeben). Ein Arbeitskollege hatte das gleiche Problem und gab mir den Tipp, mir einen Keygen runterzuladen. Bin da wohl auf der falschen Seite gelandet. Nun kann ich aber noch nicht einmal die Datei löschen, die ich downgeloadet habe und die evtl. den Trojaner enthält. Bekomme immer die Meldung, dass dieses Programm nicht gelöscht werden kann, da es von einem Anderen genutzt wird (sinngemäß).

Wäre dir oder euch für eine neue Antwort dankbar,

euer Spatzerl:heulen:

Wildone 06.07.2006 21:28

Hallo,
Zitat:

Bin da wohl auf der falschen Seite gelandet.
Würde ich so nicht sagen, die sind quasi alle verseucht, wann werden die Leute endlich begreiffen das man immer zahlt, entweder direkt an die Programmierer, oder an die russische Unterwelt mit der Preisgabe aller seiner Daten und dem ertragen von werbung usw.

Sag deinem Kollegen einen schönen Gruß, er ist ein Idiot, und du hättest dir denken können das man soetwas nicht macht! :koch:

So das musste jetzt raus sonst bekomme ich Magenschmerzen, nun aber mal zur Problemlösung, versuche erstmal mit Ewido das ganze zu bereinigen, wenn der die Schlüssel nicht beseitigt musst du selbst in die Registry und das erledigen, das machst du folgendermaßen:

Start>>Ausführen "Regedit" eingeben dann zu dem Pfad navigieren (HKLM steht für HKEY Local Machine) und diebetreffenden Einträge ( unter HKLM\software\microsoft\mssmgr\ per Rechtsklick löschen)

Den keygen löschst du auch mit killbox mit der Option "delete on reboot"
Außerdem postest du mal ein aktuelles HijackThis Log.



Grüße Wildone

irrlicht 06.07.2006 22:39

Hallo,
Zitat:

sorry das ich deinen pädagogischen Ansatz unterwandert habe, im Prinzip hast du recht.
Jaja,du und dein weiches Herz..:lach:

Aber um meinen pädagogischen Ansatz noch mal aufzunehmen....:D
Für das hier :
Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
hast du den hier verdient ::zzwhip:
Aktuell ist SP2, plus einiger Patches...
Es gibt keinen vernünftigen Grund das SP nicht aufzuspielen,besonders der
Zitat:

Ein Arbeitskollege
kann nicht vernünftig sein.
Deiner Schilderung nach kommst du um ein Neuaufsetzen vermutlich nicht rum.Was ich bei Datenbanken dazu gefunden habe läßt Schlimmes vermuten.
Was kannst du zu diesem Teil hier sagen,könnte das was mit Foto/Kamera zu tun haben ?
Zitat:

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131