Trojaner-Board - Die maximale Anzahl der Kennwörter....Trojaner/Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Die maximale Anzahl der Kennwörter....Trojaner/Virus? (https://www.trojaner-board.de/62556-maximale-anzahl-kennwoerter-trojaner-virus.html)

Die maximale Anzahl der Kennwörter....Trojaner/Virus?

Hi und Hallo,
habe ein größeres Problem mit meinem Laptop bekommen.
Fasse mich kurz um die Übersichtlichkeit zu behalten.
Eine xxx.exe von einer vermeitlich Sicheren Quelle runtergeladen.
Exe ausgeführt- Spybot Warnmeldung -nicht erlauben in die Registry zu schreiben-dann ein kurzes Aufblinken eines Bildschirms-
und jetzt-
"Die maximale Anzahl der Kennwörter,die in einem einzelnen System gespeichert werden können,wurde überschritten"
PC läuft noch kann aber nicht mehr auf Partition E zugreifen wo all meine Daten sind.
Spybot findet nichts,Update aber auch nicht mehr möglich
CCleaner durchlaufen lassen ohne erfolg
Abgesicherter Modus nicht möglich - folgt Absturz nach Bluescreen und Neustart

Nach Suche bei euch im Board Hijackthis durchlaufen lassen.
Hier die Log Datei

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:17:40, on 21.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\oodag.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\TOSHIBA\TouchPad\TPTray.exe

C:\Programme\TOSHIBA\Tvs\TvsTray.exe

C:\WINDOWS\system32\TPSMain.exe

C:\WINDOWS\system32\TCtrlIOHook.exe

C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe

C:\WINDOWS\system32\ZoomingHook.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

C:\Programme\TOSHIBA\E-KEY\CeEKey.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:0

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe

O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe

O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: eBay - {699CA24C-9CC5-4BD0-AE70-756A44DC2FA7} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6135 bytes

Hoffe ihr könnt mir weiter helfen:heulen:

Update -
Antivir durchlaufen lassen nichts gefunden
Unter Linux gestartet - Datein noch da auch zugriff können nur nicht verschoben oder Kopiert werden.
Malwarebytes startet leider nicht.

Könnte mir bitte jemand mal ein guten Ratschlag geben wie ich weiter vorgehen kann oder sollte !

Hi

Hast Du bereits eine Lösung gefunden? Ich habe das gleiche Problem auf zwei externen Festplatten. Es ist ziemlich sicher ein Trojaner. Habe die Festplatten an einem anderen Computer angeschlossen, danach hat sich sofort AntiVir gemeldet. Folgende Dateien wurden gemeldet: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp und dann waren es zwei bis drei kurze Dateien mit 3-4 Buchstaben und den Zahlen 1-3. Ich glaube: tmp7.tmp und tmp3F.tmp . Auch gemeldet wurde von Spybot die versteckten Dateien c:\resycled\boot.com Du kannst sie lediglich mittels Ausführen unter START finden. Selbst wenn Du die Ordneroption auf "versteckte Dateien anzeigen" gestellt hast, ist dieser Ordner nicht sichtbar. Habe alle Dateien gelöscht, Neustart, gereinigt mit CCleaner, XP Clean Express a-squared Anti Malware, Spybot und AdWare... alles nix gebracht.

Wenn Du eine Lösung gefunden hast oder zumindest eine Möglichkeit die Dateien von der Festplatte zu retten, wäre ich sehr dankbar.

derchris

So wie es ausschaut, hängt bei diesem Trojaner alles mit einer autorun.inf zusammen, die jedes Mal auf den Datenträger kopiert wird. Wenn man es schafft die datei C:\resycled\boot.com sowie die datei c:\autorun.inf zu löschen, sollte alles wieder funktionieren. Meine nun auch verseuchte C: Festplatte hab ich so wieder hin bekommen. Werde morgen versuchen die externen Festplatten an einem MAC anzuschließen und diese Dateien ebenfalls zu löschen... Durch Anklicken unter WinXP wird anscheinend jedes Mal die Autorun gestartet und das Problem geht wieder von vorne los.

Die Autorun.inf enhält bei mir folgenden Code:

[autorun]
;fsmdlzcfapkybeyynpxtvbhwkljfnmbgxdmelsestmvzdjgnkdgofouxwutqlzrdthpxvqbwwtmmskagswrljrushoq
shellexecute="resycled\boot.com c:"
;taxolrvscwrequolydcytgatvxitdhjbmboumjgsgbuborgvywpwtjrbtkrulftdhquppvcufj
shell\Open\command="resycled\boot.com

Hoffe ich konnte weiter helfen...

Habe mich hier im Bord angemeldet, damit auch meine Methode, dieses ekelhafte Problem zu lösen, publiziert sei:

Selbstverständlich löschte ich überall von einer Paragnon Drive Backup 2007 Rettungs-CD (war mal im PCGo Heft 4/2008 drin) aus auf C selber und auf der von C via Explorer nicht mehr zugänglichen Partition E sowie dem via Explorer auch nicht mehr zugänglichen externen Laufwerk D (Trekstor USB Platte):

den verfluchten Ordner resycled und
die verdammte autoplay.inf.

Doch

all das Gelösche des Ordners resycle und der verfluchten Datrei autoplay.inf von einer Paragnon Drive Backup 2007 Rettungs-CD
und das manuelle Löschen all der Einträge von resycle in der Windows Registrierung hat nix genutzt:

die Meldung mit den Kennwörtern und die Weigerung, externe Festplatten und die interne Partition E zu öffnen, blieben, selbst als nach Neustart des Systems der Ordner resycled und die Datei autoplay.inf nicht mehr geladen wurden.

Daher konnte ich auch mit Paragon Drive Backup 2007 das auf E vorhandene Backup der Partition C NICHT wieder herstellen (eine Wiederherstellung von der Rettungs-CD aus war extrem langsam und hängte sich auf).

Problemlösung:
1. Mit der Paragon Drive Backup 2007 Rettungs-CD habe ich Laufwerk C schnell formatiert.
2. Danach Neuinstallation von Window XP Service Pack 1 von der Product Recovery CD-Rom
3. Update via Windows Update (Start_Systemsteuerung) auf Windows XP Servicd Pack 2
4. Installation von Paragon Drive Backup 2007 von der PCGO-4/2008 Heft-DVD auf Laufwerk C.
5. Zurücklesen eines mit Paragon Drive Backup 2007 erzeugten Abbildes der Partition C.

Danach habe ich C E und die externe Festplatte D mit Antivir durchgescannt und von allem Dreck bereinigt.

Resultat: Problem flächendeckend gelöst: externe und interne Laufwerke sind wieder zugänglich, Virenscan negativ. Hickackthis-Scan ohne Befund.

Im übrigen hatte ich da eine kleine dreckige Exe geladen und ausgeführt.
Das Problem war also selbst verschuldet.
Meine Maßnahme, Daten und System auf getrennten Partitionen zu haben, hat sich letzten Endes doch sehr bewährt. Der Scheiß Trojaner hat genau den Weg zerstört, den er eigentlich gebraucht hätte, nämlich den zu den Daten. :singsing:

Heute geht das alles mit Paragon Drive Backup 9.0 Express (KOSTENLOS!!!)
viel einfacher:

mit einer Linux-Rettungs-CD hat man Kontrolle über USB-Maus und externe USB-Festplatten und kann innerhalb von 15 Minuten z.B. 10 GB Windows XP SP3 + Programme auf C: aus einem Bild auf der externen USB_Festplatte wiederherstellen.

Leider ging das damals mit Paragon 2007 nicht.

Ich empfehle daher grundsätzlich ein Bild eines funktionierenden Systems mit allen Programmen auf einer externen Festplatte anzulegen und bei Systemmängeln via Rettungs-CD aufzuspielen.