Trojaner-Board - Trojaner Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner Problem (https://www.trojaner-board.de/63074-trojaner-problem.html)

Hir die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\Drivers\ati0wwxx.sys

-habe diese Datei nicht unter diesem Pfad gefunden

Hallo root24,

ich bin wieder am Platz und meine Trojaner leider auch !!!

Makie

OH,root24,leider bist du offline und wie geht es nun weiter mit meinen Trojanern!?

Makie:headbang:

Weiter gehts:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry keys to delete:

HKLM\SYSTEM\ControlSet001\Services\ati6ddxx

HKLM\SYSTEM\ControlSet002\Services\ati6ddxx

HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx

HKLM\SYSTEM\CurrentControlSet\Services\tcpsr
 

drivers to delete:

ati6ddxx

ati0wwxx
 

files to delete:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

C:\WINDOWS\system32\Drivers\ati0wwxx.sys

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
Schick mir die Datei c:\avenger\backup.zip bitte per Mail, damit ich die Dateien auswerten kann

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet001\Services\ati6ddxx" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\ati6ddxx" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\tcpsr" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of driver "ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "ati0wwxx" deleted successfully.
File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!
Deletion of file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:38:07, on 29.10.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\AGEIA Technologies\TrayIcon.exe

C:\Programme\Kalenderchen\Kalenderchen.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\Programme\IncrediMail\bin\ImApp.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Dokumente und Einstellungen\Makie\Eigene Dateien\Downloads\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.magentic.com/german/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGEIA PhysX SysTray] "C:\Programme\AGEIA Technologies\TrayIcon.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide

O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195483418546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195483394765

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 5439 bytes

Code:

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

Kwyshell? Ist mir das vorhin nicht aufgefallen? :confused:
Sieht irgendwie :balla: aus. Wenn Du das Teil aber unbedingt brauchst... :rolleyes:

Code:

O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c

InCredimail ist ne bunte Augenkrebsspielerei :balla: Ich würde eher zu Mozilla Thunderbird raten, Mails nur als reinen Text lesen (aus Sicherheitsgründen), ein effektiver lernfähiger Junkfilter wäre da auch bei. (Thunderbird ist Open Source!)

Die Datei ist bei mir angekommen, leider fehlt in diesem Backup.zip, das was ich eigentlich wollte. Und zwar geht es um die vom Avenger gelöschte Datei C:\WINDOWS\system32\Drivers\ati6ddxx.sys - schau mal bitte nach, ob die Datei im Backup.zip bei Dir oder sonstwo drin ist.

Hallo root24,

Kwyshell ist ein Emulator für Handyspiele,das Programm hat mir bisher noch
keine Sorgen bereitet.
Und zur Backup-Datei,dort wird nach einem Passwort verlangt um es zu entpacken.
IncrediMail war mir eigentlich auch immer zu bunt ich versuch es mal mit
Mozilla Thunderbird,vielen Dank für den Tipp!

Gruß Makie

Die backup.zip ist mit dem Standard-Passwort infected geschützt.
Es geht mir eigentlich auch nur um die Datei ati6ddxx.sys, wenn Du irgendwie noch an die rankommst, bitte bei Virustotal auswerten lassen.

Diese Datei existiert nicht mehr auf meinem PC,als ich sie noch hatte sollte ich diese schon einmal bei Virustotal auswerten lassen,hier das Ergebnis:

Hier die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

Ach, mein Fehler :headbang:

Code:

Driver "ati0wwxx" deleted successfully.

File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.
 

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!

Die Datei war schon lange nicht mehr da. Vor der Ausführung vom Avenger schon nicht mehr. Nur der eine Registryeintrag noch. Dann kann man auch nix auswerten, kein Wunder also :rolleyes:

root24,ich bin dann erstmal wieder weg,muß um 5:00 Uhr raus!
Herzlichen Dank für deine Hilfe,bis morgen

Makie

Trojaner Problem

Mein A-virus (avira antivir-free antivirus) sagt dass ich mit TR/Obfuscated.326144.19

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

Hallo root24,

bin endlich wieder am Platz,hatte viel zu tun.

Zu unserem Trojaner-Problem:

- beim starten meines PC´s keine AntiVirus-Meldung mehr

- IncrediMail deinstalliert,Mozilla Thunderbird installiert....alles super

Haben wir das Problem jetzt gelöst oder könnte es noch Ärger mit dem Trojaner geben ???

Gruß Makie:daumenhoc

Es sieht aus, als wäre Dein PC wieder sauber. Beachte aber, dass Du nur Sauberkeitsgarantie nach dem Neuaufsetzen hast. :daumenhoc