Trojaner-Board - Großes Problem mit Trojan-Downloader.WIN.32.Agent.variant

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Großes Problem mit Trojan-Downloader.WIN.32.Agent.variant (https://www.trojaner-board.de/52803-grosses-problem-trojan-downloader-win-32-agent-variant.html)

main.txt - Editor Teil 2

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [29.11.2005 13:08]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [31.01.2008 23:13]
"PowerBar"="" []
"PPMemCheck"="C:\Programme\PestPatrol\PPMemCheck.exe" []
"PestPatrol Control Center"="C:\Programme\PestPatrol\PPControl.exe" []
"CookiePatrol"="C:\Programme\PestPatrol\CookiePatrol.exe" []
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 11:34]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.2006 16:45]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [31.05.2005 01:04]

C:\Dokumente und Einstellungen\Alexander Thumfort\Startmen\Programme\Autostart\
wkcalrem.LNK - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [12.07.2004 03:54:26]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.09.2005 22:05:26]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [11.05.2005 23:23:26]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [12.05.2005 00:49:24]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [18.02.1999 00:05:56]
Ralink Wireless Utility.lnk - C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [24.03.2006 16:33:51]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Ouran High School Host Club\Bilder\Wallpaper.bmp
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Desktop\Privat\Desktop Tests\D2\Hintergrund + Schrift.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\10]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\Sky and Uniwors Yin Yang.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\11]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\Sky Yin Yang.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\12]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\Drachen & Tiger Yin Yang.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\13]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Rosen\weißschwarze Rose.bmp
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\14]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\Pentagramm.png
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\15]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Lieblingsbilder\Fabelwesen\397619.gross.jpg
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\16]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\The Vision of Escaflowne\ESCAFL12.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\17]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Lieblingsbilder\Devil May Cry\dante_apuntando.jpg
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Desktop\Privat\Desktop Tests\D3\Hintergrund + Schrift.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\3]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Lieblingsbilder\Naruto\Naruto Bilder\Familie Uchiha\Sharingan\23.bmp
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\4]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Desktop\Privat\Desktop Tests\Hintergrund + Schrift.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\5]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Desktop\Privat\Desktop Tests\D1\Hintergrund.JPG
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\6]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\logo_phpBB.gif
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\7]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\Sternzeichen.jpg
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\8]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\logo_phpBB.bmp
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\9]
Source= C:\Dokumente und Einstellungen\Alexander Thumfort\Eigene Dateien\Eigene Bilder\Symbole und Zeichen\4 Drachenzeichen.JPG
FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="kdahc.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{073b170c-70fb-11dc-825e-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45fdc386-c602-11da-9437-0016ec46bb71}]
AutoRun\command- winshell110.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64f13dcc-4f00-11db-bf4e-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64f13dce-4f00-11db-bf4e-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c25eae20-83ff-11dc-829c-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfafec4a-4f03-11db-bf4f-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfafec4b-4f03-11db-bf4f-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d4734a-8b76-11dc-82b6-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d4734b-8b76-11dc-82b6-0016ec46bb71}]
AutoRun\command- E:\AutoRun.exe

-- End of Deckard's System Scanner: finished at 2008-05-24 17:44:08 ------------

So ich habs durchlaufen lassen und alles reingestellt, hoffe es passt und du kannst jetzt mit den Daten mehr zu dem ganzen Sagen

hallo,
dein rechner wird in die ukraine umgeleitet. bitte kein onlinebanking machen und sonst auch keine geschefte mehr. bitte nur wenn es nötig ist den rechner am internet lassen und nur auf den seiten surfen die wir für die reinigung brachen.
mache hiermit weiter:

Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt
poste das log.
öffne hijackthis wähle scan mache haken for folgende einträge:

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{A1DF709B-E542-4F66-B09B-3758AE266C30}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{ACC76144-A3F8-4680-9D4A-4B73E81D0858}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE1958D6-8CE6-4515-8308-306F64720D1A}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{D804B34E-9BC2-43D0-99F3-AAE4BB60DEDC}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

nach einem neustart
Bei Netzwerk/Eigenschaften des Internetprotokolls auch IP und DNS automatisch beziehen anhaken
danach:
installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.
dann Rechner neu starten, und ein neues dss-scan log erstellen diesmal gibts nur main.txt

Ok ein gutes hat es, ich kann kein Onlinebanking machen -.-
Ein kleines Problem vielleicht noch, ich bin verdammt schlecht in Englisch, ich brauch also vielleicht länger mit englischen Programmen bzw. komm nicht ganz klar damit. Hijackthis ist glaubich leider so ein Programm und die Seite zum Downloaden die du mir gegeben hast, bringt mich nicht zum Dateidownload. Gibts ne andre Seite zum downloaden?

Ich werd jetzt mal FixWareout durchlaufen lassen

So das ist rausgekommen, hab zwar null Ahnung, hoffe aber es passt so.
Ach, Veränderungen, welche das Programm machen wollte hat es nicht machen dürfen.
Was soll ich jetzt weiter machen?

Username "Alexander Thumfort" - 24.05.2008 18:33:45 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Error: Key: software\microsoft\windows\currentversion\run does not exist!

HKLM\SOFTWARE\~\Winlogon\ "System"="kdahc.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{ACC76144-A3F8-4680-9D4A-4B73E81D0858}
"nameserver"="85.255.114.30,85.255.112.152" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CE1958D6-8CE6-4515-8308-306F64720D1A}
"nameserver"="85.255.114.30,85.255.112.152" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D804B34E-9BC2-43D0-99F3-AAE4BB60DEDC}
"nameserver"="85.255.114.30,85.255.112.152" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{ACC76144-A3F8-4680-9D4A-4B73E81D0858}
"DhcpNameServer"="85.255.114.30,85.255.112.152" <Value cleared.

Der DNS-Auflösungscache wurde geleert.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"="kdahc.exe"
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AntivirusRegistration"="C:\\Programme\\CA\\Etrust Antivirus\\Register.exe"
"PestPatrolRegistration"="C:\\Programme\\PestPatrol\\Register.exe"
"PestPatrol Control Center"="C-\\Programme\\PestPatrol\\PPControl.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"mmtask"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"PPMemCheck"="C:\\Programme\\PestPatrol\\PPMemCheck.exe"
"CookiePatrol"="C:\\Programme\\PestPatrol\\CookiePatrol.exe"
"Marvell-CB35P"="\"C:\\Programme\\Marvell CB35P\\Mrv8000x.exe\" \"-h\""
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"CameraFixer"="C:\\WINDOWS\\CameraFixer.exe"
"tsnpstd3"="C:\\WINDOWS\\tsnpstd3.exe"
"snpstd3"="C:\\WINDOWS\\vsnpstd3.exe"
"swewpae"="C:\\WINDOWS\\system32\\swewpae.exe"
"UVS11 Preload"="C:\\Programme\\Ulead Systems\\Ulead VideoStudio 11\\uvPL.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"egui"="\"C:\\Programme\\ESET\\ESET Smart Security\\egui.exe\" /hide /waitservice"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Power2GoExpress"="\"C:\\Programme\\CyberLink\\Power2Go\\Power2GoExpress.exe\" /Startup"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PowerBar"=""
"PPMemCheck"="C:\\Programme\\PestPatrol\\PPMemCheck.exe"
"PestPatrol Control Center"="C:\\Programme\\PestPatrol\\PPControl.exe"
"CookiePatrol"="C:\\Programme\\PestPatrol\\CookiePatrol.exe"
"MsnMsgr"="\"C:\\Programme\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_9 -reboot 1"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
guck auf deutsch ist es auch da ;-) mit hijackthis ist das net so schwer.
du öffnest und klickst scan. dann machst einen haken for die von mir genannten einträge klickst dann fix cheked an und bestätigst ;-)

OK, einmal ganz großes Lob, dass du mir so hilfst, die Leute von WOW tun das nicht -.-

Ich soll jetzt dieses Combo Fix durchlaufen lassen und posten und danach das Programm Hijackthis und nochmal Posten richtig?
Was hats damit auf sich? Netzwerk/Eigenschaften des Internetprotokolls auch IP und DNS automatisch beziehen anhaken
Was sagt das bis jetzt reingestellte eigentlich alles? Ich besitzte nicht den Gribs um das auf normales Deutsch zu übersetzten :rolleyes:

Hab jetzt HijackThis gedownloadet und hab scannen und Logfile benutzt.
Es ist jetzt ein Fenster mit hijackthis.log - Editor gekommen und danach ein Feld "Trend Micro HijackThis - v2.0.2 kann aber nicht alles von dem hier anklicken

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{A1DF709B-E542-4F66-B09B-3758AE266C30}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{ACC76144-A3F8-4680-9D4A-4B73E81D0858}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE1958D6-8CE6-4515-8308-306F64720D1A}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{D804B34E-9BC2-43D0-99F3-AAE4BB60DEDC}: NameServer = 85.255.114.30,85.255.112.152
O17 - HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

Insgesammt kann ich nur drei davon auswählen, passt das?

hallo, dies ist eine netzwerkeinstellung.
deine logs besagen, dass dein rechner in dieukraine geleitet wird und du warscheinlcih ein rootkit hast, ja, so in der reihenfolge arbeiten wie geschrieben ;-)

Gut mach ich, also von den Sachen zum anhacken, kann ich nur das erste und die letzten zwei nehmen, die anderen gibts bei mir nicht zum anhacken, ich hoffe es wird trotzdem passen und ich werde auch den Log reinstellen, der gleich am Anfang gekommen ist

Das ist gleich am Anfang gekommen, ich hoff du brauchst es
Was mach ich eigentlich nach dem anklicken, was muss ich drücken?

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

hallo die o18diese o17-einträge net löschen! zeig mir die fehlenden logs. also combofix fixwareout und combofix.

Sorry aber der schreibt mir dass 1/1oo Computern nicht heile durch den Sesinfizierungsprozess kommen

führe die reinigung durch. wir haben die rettungskonsole instaliert mit der können wir evtl. fehler koregieren.

Welche Rettungskonsolle? Ich hab keine Installiert

Ah versteh schon Sorry, klar, dass gehört zuerst gemacht ^^