Trojan Agent.BCK und BHO.G
 

Ich habe ständig das Problem, dass mein Internetexplorer sich öffnet und die Seite drivecleaner.com öffnen will. Zusätzlich bringt mein NOD32 ständig eine Trojaner Warnung.

Ich habe gestern den ganzen Tag daran gearbeitet so eine Adaware.Virtumonde weg zu bekommen. Ich habe mit Hilfe des Forums und des Internete eigentlich gedacht jetzt ist mein PC wieder clean, weil auch Lavasoft Adaware mir keinen mehr angezeigt hat.

Nun bekomme ich immer diese Meldung meines NOD32:

Threat:

Win32/Agent.BCK trojan oder auch mal Win32/BHO.G trojan

Ich bekomme ihn mit meinem NOD32 irgendwie nicht weg. Die "yjysjhum.dll" scheint ein (ich glaube langsam es sind sau viele) Übeltäter zu sein.

Hier mal mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:21:13, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\...\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://w**.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://**.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***p://**.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://**.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://**.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***p://**w.msn.de/
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yjysjhum.dll",sitypnow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160397022281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160397118953
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe

Hallo.

Werte diese Datei mal online bei Virustotal aus und poste die Ergebnisse.
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

So, hat leider ne Weile gedauert.

Anmerkung: Also Everest Poker und die Router Datei sind es meiner Meinung nicht. Die sind zu lange auf dem PC.

VirusTotal Ergebniss (alle die nichts gefunden haben entfernt):

eScan:

Silentrunners:

Und filelist ist im Anhang:

Also ich habe mir AntiVir besorgt, da AntiVir ja meine dll als Virus erkannt hat. Er hat sie auch noch mal gefunden und erfolgreich entfernt. Ich habe daraufhin noch mal alle temporären Dateien gelöscht, alles manuell überprüft, sowie mein Nod32 und AdAware 2007 drüber laufen lassen.

Es kommt auch nun keine Trojaner Meldung mehr und mein Browser öffnet sich bis zu diesem Zeitpunkt auch nicht mehr willkürlich. Jedoch hatte ich es gestern Abend auch schon so weit und heute morgen ging der ganze Spaß von vorne los.

Somit bezweifle ich, dass ich die Quelle des ganzen Übels erfolgreich entfernt habe. Kennt sich also jemand damit aus und kann mir bestätigen, dass nun alles weg sein müsste.

Mein highjackthis.log zeigt keine unbekannten aktivitäten mehr an. Vor allem die dll Datei ist weg.

So, es kam gerade wieder ein Trojaner Meldung. Kann jemand aus den Daten oben erkennen, um was für ein Trojaner es sich hier handelt? Und wenn ja, besteht denn eine Möglichkeit ihn weg zu bekommen. Ich möchte sehr ungern mein System wieder neu aufsetzten.

Edit: Vundofix und die ganzen Sachen habe ich schon gemacht. Man bekommt die dll Dateien dann auch weg. Aber spätestens nach einem Tag ist was neues da. Die Quelle muss also woanders sitzen.

Ein paar Objekte müssen gelöscht werden:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Lad dir dieses script (Rechtsklick, speichern auf Desktop) und führ es aus. Es erzeugt eine "listing.txt" auf dem Desktop, lad die z.B. bei rapidshare hoch und verlink es hier.

Ok, danke erstmal. Werde es morgen Abend mal alles machen und alles hochladen. Währe cool, wenn du dann noch mal drüber schauen könntest :daumenhoc

hallo
ich habe auch das problem dass sich mein internet explorer einfach öffnet.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hier das Ergebnis der avenger.txt:

Und hier der Link zur listing.txt:

http://rapidshare.com/files/61184413/listing.txt.html

Ist der Trojaner nun weg?

So, ich han nun endlich Zeit mir das anzuschaun, gestern bin ich nicht mehr dazu gekommen.
Da sind noch ein paar merkwürdige Dateien, sind höchstverdächtig, werte sie mal bei Virustotal aus und poste die Ergebnisse, damit wir evtl. weitere Schädlinge identifizieren können:

Dann sind da noch:

Öffne diese INI-Dateien mit dem Editor und poste deren Inhalt.

Achso, könntest du mir auch mal das avenger.zip in c:\avenger zugänglich machen? Rapidshare sollte auch gehen.

Erstmal danke ich dir, dass du dich so um mein Problem kümmerst.

QTFont.qfn:

yfrlmtfe.dll:

imon1.dat:

Die beiden ini Dateien sind nicht zu finden. Auch wenn ich mir alle Systemdateien aufzeigen lasse oder wenn man die Suche benutzt.

Im Ordner c:/avenger befindet sich nur die Backup.zip. Jedoch ist die mit einem Virus infiziert. Soll ich die wirklich hochladen.

Langsam werde ich wohl nicht mehr drumherum kommen das System neu auf zu setzten, oder?

Die waren aber über ein einfaches filelisting zu finden, d.h. die verstecken sich nicht besonders.

Klar ist das mit Viren infiziert. In diesem ZIP-Archiv sind die Virendateien, die du mit dem Avenger gelöscht hast. Ich bat dich, die hochzuladen, damit ich (oder auch andere) die auswerten können - um zukünftig eine bessere Chance der Erkennung derartiger Dateien anzupeilen. Denn du hattest einige Dateien im System drin, die weitestgehend unbekannt waren/sind.

Sieht fast so aus - ich kann und werd jedenfalls nach keiner Bereinigung meine Hand ins Feuer für "Sauberkeit" halten. Das tu ich nur, wenn ich die Systeme selber aufgesetzt habe. ;)

Das filelisting war aber schon eine Weile her. Können die nicht auch durch die Virenscanner, die ich in der Zeit genutzt habe gelöscht worden sein?

Ok, ich werde die Datei heute Abend, bevor ich das System neu aufsetzte hoch laden.

Das System war eigentlich sicher. Und die Trojaner sind durch eine Dummheit auf den PC gelangt. Ich weiß auch ganz genau wo ich ihn eingefangen habe. Deshalb wird mir das in Zukunft nicht mehr passieren.

Trotzdem Danke nochmal für deine ganze Mühe.

So, hier ist der Link zu dem Backup.

Runterladen und öffnen auf eigene Gefahr. Virus!

http://rapidshare.com/files/61857230/backup.zip.html