Trojaner-Board - Trojan.Dropper erkannt & gelöscht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojan.Dropper erkannt & gelöscht - System trotzdem langsam (https://www.trojaner-board.de/36003-trojan-dropper-erkannt-geloescht-system-trotzdem-langsam.html)

Trojan.Dropper erkannt & gelöscht - System trotzdem langsam

hi,

vor ca. 2 Tagen wurde mir bei einer routinemäßigen Prüfung in Norton Internet Security 2007 der Trojan.Dropper gemeldet. Gestern habe ich ihn manuell gelöscht (NIS konnte es nicht, da die Datei gezippt war). Sie war komischerweise bei diesem Suchlauf das erste Mal aufgefallen obwohl sie ca. 2 Jahre alt war. Seitdem ist mein System leider sehr langsam, besonders beim Start wobei die Dienste und beim Systemstart geladen Programme nicht zugemüllt sind. Seitdem habe ich diverse Male mit AdAware, NIS 2007, TweakNow RegCleaner Std, AdsSpy, Kill2Me, BugOff, CWShredder, Antivir PE Classic und Microsofts Tool zum entfernen bösartiger Software Suchen laufen lassen. Bis auf insgesamt 3 gelöschte Trojaner der letzten beiden konnten keine weiteren Erfolge verbucht werden. Diverse laufende Prozesse habe ich auch schon über http://virusscan.jotti.org/de/ überprüfen lassen - vergeblich. Selbst Nortons und Microsofts "Online-Prüfer" haben auch nicht weitergelaufen.

Ich hoffe jemand kann mir weiterhelfen, vielleicht habe ich auch einfach nur was blödes übersehen, habe wenig Erfahrung mit dem Thema - auch weil ich über die Jahre von Viren etc. verschont blieb. Anbei mein HiJackThis Log-File, den Anweisungen nach zensiert.

Logfile of HijackThis v1.99.1
Scan saved at 23:09:10, on 03.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://v4.windowsupdate.microsoft.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] REM c:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h*p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h*p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h*p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133044853437
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h*p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h*p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141842981953
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

weiß keiner weiter? :heulen:

Hallo.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\userinit.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

hey,

danke für die schnelle antwort. ich hingegen hatte die woche viel zu tun und komm erst jetzt zu ner antwort, sorry.

also, zu ersterem:

Complete scanning result of "userinit.exe", received in VirusTotal at 02.04.2007, 18:09:27 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.34 02.04.2007 no virus found
Authentium 4.93.8 02.03.2007 no virus found
Avast 4.7.936.0 02.03.2007 no virus found
AVG 386 02.04.2007 no virus found
BitDefender 7.2 02.04.2007 no virus found
CAT-QuickHeal 9.00 02.03.2007 no virus found
ClamAV devel-20060426 02.03.2007 no virus found
DrWeb 4.33 02.04.2007 no virus found
eSafe 7.0.14.0 02.03.2007 no virus found
eTrust-InoculateIT 30.4.3364 02.02.2007 no virus found
eTrust-Vet 30.3.3366 02.03.2007 no virus found
Ewido 4.0 02.04.2007 no virus found
Fortinet 2.85.0.0 02.04.2007 no virus found
F-Prot 4.2.1.29 02.03.2007 no virus found
Ikarus T3.1.0.31 02.04.2007 no virus found
Kaspersky 4.0.2.24 02.04.2007 no virus found
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.04.2007 no virus found
Norman 5.80.02 02.02.2007 no virus found
Panda 9.0.0.4 02.04.2007 no virus found
Prevx1 V2 02.04.2007 no virus found
Sophos 4.13.0 02.02.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.04.2007 no virus found
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.03.2007 no virus found
VBA32 3.11.2 02.04.2007 no virus found
VirusBuster 4.3.19:9 02.04.2007 no virus found
Aditional Information
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

zu zweiterem (datei war beim download nicht gepackt daher hab ich aus der mwav.log alle einträge mit 'tagged' oder 'infected' entnommen; musste ersten scan leider auch abbrechen da sich der stand der durchsuchten ordner komischerweise nicht mehr verändert hat, gleiche einträge zu verschiedenen uhrzeiten habe ich rausgelassen)

Fri Feb 09 02:02:44 2007 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Identities\{146641B8-6173-4D6C-B6F9-D9776EF8A9B6}\Microsoft\Outlook Express\Archiv-In.dbx infected by "Email-Worm.Win32.Dumaru.a" Virus! Action Taken: No Action Taken.

Fri Feb 09 02:07:51 2007 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst infected by "Trojan-Spy.HTML.Bankfraud.ot" Virus! Action Taken: No Action Taken.

Fri Feb 09 02:17:19 2007 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlookimap.1und1.de-00000007.pst infected by "Trojan-Spy.HTML.Bankfraud.od" Virus! Action Taken: No Action Taken.

Fri Feb 09 08:40:19 2007 => File D:\Medion\C\WINDOWS\Profiles\*\Anwendungsdaten\Identities\{E6E1DA89-332E-4EF8-B475-E9DA3FD5D6E3}\Microsoft\Outlook Express\Gelöschte Objekte.dbx infected by "Email-Worm.Win32.Dumaru.a" Virus! Action Taken: No Action Taken.

Thu Feb 08 18:18:17 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\47C82F76.dll tagged as "not-a-virus:AdWare.Win32.WinAD". Action Taken: File Deleted.

Thu Feb 08 18:18:18 2007 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\70FC7932.exe

Thu Feb 08 18:59:43 2007 => File C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\mirc614.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken.

Thu Feb 08 18:59:44 2007 => File C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\mirc616.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.

Thu Feb 08 19:16:13 2007 => File C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\SmitfraudFix.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.

Fri Feb 09 04:39:33 2007 => File C:\Programme\mIRC\backup\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken.

Fri Feb 09 04:39:43 2007 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.

Fri Feb 09 07:46:19 2007 => File D:\Medion\C\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.

Fri Feb 09 09:22:57 2007 => ***** Checking for specific ITW Viruses *****
Fri Feb 09 09:22:58 2007 => Checking for Welchia Virus...
Fri Feb 09 09:22:58 2007 => Checking for LovGate Virus...
Fri Feb 09 09:22:58 2007 => Checking for CodeRed Virus...
Fri Feb 09 09:22:58 2007 => Checking for OpaServ Virus...
Fri Feb 09 09:22:58 2007 => Checking for Sobig.e Virus...
Fri Feb 09 09:22:58 2007 => Checking for Winupie Virus...
Fri Feb 09 09:22:58 2007 => Checking for Swen Virus...
Fri Feb 09 09:22:58 2007 => Checking for JS.Fortnight Virus...
Fri Feb 09 09:22:58 2007 => Checking for Novarg Virus...
Fri Feb 09 09:22:58 2007 => Checking for Pagabot Virus...
Fri Feb 09 09:22:58 2007 => Checking for Parite.b Virus...
Fri Feb 09 09:22:58 2007 => Checking for Parite.a Virus...
Fri Feb 09 09:22:58 2007 => Checking for Adware.SeekSeek Virus...

Fri Feb 09 09:22:58 2007 => ***** Scanning complete. *****

Fri Feb 09 09:22:58 2007 => Total Objects Scanned: 225602
Fri Feb 09 09:22:58 2007 => Total Critical Objects: 12
Fri Feb 09 09:22:58 2007 => Total Disinfected Objects: 0

gibts noch irgend eine möglichkeit die archive zu retten? :(