Trojaner-Board - PC super langsam, gestern Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC super langsam, gestern Trojaner (https://www.trojaner-board.de/66745-pc-super-langsam-gestern-trojaner.html)

Das Avenger-Log sieht jetzt so aus:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe"
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.AT.config" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.core.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe"
Deletion of file "C:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config"
Deletion of file "c:\WINDOWS\system32\.484163174c2e6a35\484163174c2e 6a35.ServerPlugin.config" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: folder "c:\WINDOWS\system32\.484163174c2e6a35" not found!
Deletion of folder "c:\WINDOWS\system32\.484163174c2e6a35" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

G-Data (der Wächter springt bei jedem Neustart wieder an) findet den Trojaner jetzt im Avenger Ordner. (C:\Avenger\...)

Gut, scheint beim ersten Mal schon gefunzt zu haben...
Aber sicher ist sicher.. Darum mache jetzt bitte noch einen Scan mit Blacklight.

Zitat:

G-Data (der Wächter springt bei jedem Neustart wieder an) findet den Trojaner jetzt im Avenger Ordner. (C:\Avenger\...)

logisch, das ist das Backup. Kannst du löschen lassen wenn du willst...

So, hatte gerade Mittag. Blacklight-Log sieht so aus:

Zitat:

12/30/08 12:22:16 [Info]: BlackLight Engine 2.2.1092 initialized
12/30/08 12:22:16 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/30/08 12:22:16 [Note]: 7019 4
12/30/08 12:22:16 [Note]: 7005 0
12/30/08 12:22:21 [Note]: 7006 0
12/30/08 12:22:21 [Note]: 7011 192
12/30/08 12:22:21 [Note]: 7035 0
12/30/08 12:22:21 [Note]: 7026 0
12/30/08 12:22:22 [Note]: 7026 0
12/30/08 12:22:25 [Note]: FSRAW library version 1.7.1024
12/30/08 13:51:07 [Note]: 7007 0

Wie lasse ich das Backup (avenger) denn löschen?

Zitat:

Wie lasse ich das Backup (avenger) denn löschen?

Kannst du von G-Data löschen lassen oder unter C:\Avenger\Backups.

Das fsbl log sieht gut aus.

Dann machen wir weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ok, alles ge-ccleant. Das Combofix-Log liest sich wie folgt:

Zitat:

ComboFix 08-12-29.02 - IR 2008-12-30 14:28:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1015.628 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\+++\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\taskmgr.com
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-28 bis 2008-12-30 ))))))))))))))))))))))))))))))
.

2008-12-30 14:21 . 2008-12-30 14:21 <DIR> d-------- c:\programme\CCleaner
2008-12-30 11:33 . 2008-12-30 12:22 <DIR> d-------- c:\programme\Fsecure
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\Malwarebytes
2008-12-30 10:13 . 2008-12-30 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-30 10:13 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-30 10:13 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 08:59 . 2008-12-15 08:58 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-02 13:24 . 2008-12-02 13:24 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2008-11-27 12:03 . 2008-12-18 14:07 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2
2008-11-13 12:26 . 2008-11-13 12:26 <DIR> d-------- c:\dokumente und einstellungen\+++\Anwendungsdaten\klickTel
2008-11-13 08:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-13 08:34 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 08:34 --------- d-----w c:\programme\Access 97 Runtime
2008-12-18 13:11 --------- d-----w c:\dokumente und einstellungen\+++\Anwendungsdaten\Tobit
2008-12-18 13:05 --------- d-----w c:\programme\Microsoft ActiveSync
2008-12-15 08:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-15 07:58 --------- d-----w c:\programme\Java
2008-11-04 10:58 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-07-11 10:40 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071120080712\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-03-11 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-03-11 114688]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 98304]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"AVK Client"="c:\programme\G DATA\AVKClient\AVKCl.exe" [2008-05-20 775240]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\+++\Startmen\Programme\Autostart\
Outlook.lnk - c:\windows\Installer\{90E00407-6000-11D3-8CFE-0150048383C9}\outicon.exe [2008-09-20 794624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\windows\system32\l3codecp.acm
"msacm.l3codec"= c:\windows\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\484163174c2e6a35]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\G DATA\\AVKClient\\AVKCl.exe"=

R2 AntiVirusKit Client;G DATA AntiVirus Client;"c:\programme\G DATA\AVKClient\AvkCl.exe" [2008-09-20 775240]
R2 AVKProxy;G DATA AntiVirus Proxy;"c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2008-09-20 718408]
R2 AVKWCtl;AntiVirus Wächter;"c:\programme\G DATA\AVKClient\AVKWCtl.exe" [2008-09-20 1127816]
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2008-09-20 41928]
R3 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys [2008-09-20 46536]
S2 484163174c2e6a35;Microsoft DDE+ server;c:\windows\system32\.484163174c2e6a35\484163174c2e6a35.exe []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2008-01-08 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2008-01-08 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2008-01-08 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2008-01-08 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2008-01-08 98568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {4F738C03-AB98-470B-8ABA-89307D798171} = 192.168.115.1,192.168.115.254

c:\windows\system32\msvcrt.dll - c:\windows\system32\mfc42.dll
c:\windows\system32\olepro32.dll
c:\windows\system32\msvcp60.dll
c:\windows\Downloaded Program Files\upload.ocx
O16 -: {DF6504AC-3EFE-4287-B259-FB299B069C95}
hxxps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
c:\windows\Downloaded Program Files\upload.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-30 14:29:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\dokume~1\+++\LOKALE~1\Temp\Perflib_Perfdata_228.dat 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-30 14:30:59
ComboFix-quarantined-files.txt 2008-12-30 13:30:37

Vor Suchlauf: 14 Verzeichnis(se), 30.494.392.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 30,503,178,240 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

152 --- E O F --- 2008-12-18 12:34:48

Und? Sieht alles gut aus? Bin am Freitag wieder im Büro und kann dann weitere Sachen vornehmen, falls notwendig. Wünsche dir schonmal einen guten Rutsch!

Gruß,
Gerrit.

Guten Morgen und frohes Neues Jahr!

Bin wieder da und kann weiteren Anweisungen folgen, falls Bedarf besteht! :-)

Gruß,
Gerrit.

Halli hallo; frohes Neues! :taenzer:

Gibt es noch Probleme am Rechner?

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Mahlzeit!

So, nachdem Panda gefühlte 100 Stunden gescannt hat :rolleyes:, ist hier nun das Ergebnis aus dem Scan:

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-01-05 11:29:50

PROTECTIONS: 2

MALWARE: 2

SUSPECTS: 1

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

G DATA Internet Security 2007                12.0.0                        No        Yes

G DATA Antiviruskit 2007                     12.0.0                        No        No

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\JRades\Cookies\ir@doubleclick[2].txt

03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\JRades\Desktop\ComboFix.exe

;===================================================================================================================================================================================

SUSPECTS

Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              

;===================================================================================================================================================================================

No        C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.exe.vir                                                                                                                                                                                                                                                                                                                                                                                                                                                                

;===================================================================================================================================================================================

VULNERABILITIES

Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Der G-Data Wächter (den ich peinlicherweise erst nach der Hälfte des Panda-Scans ausgeschaltet habe :o ) zeigte folgendes:

Code:

Virus: W32.Trojan3.OD [EngineA]

Datei: A0000147.com

Verzeichnis: C:\System Volume Information\_restore{OE589C19-DF8E-4E12-9ED9-EA18AB17E29D}\RP3

und

Code:

Virus: Win32.Agent-ACXZ [Trj][Engine B]

Datei: A0000156.dll

Verzeichnis: C\System Volume Information\_restore{OE589C19-DF8E-4E12-9ED9-EA18AB17E29D}RP3

Ich schätze bzw. hoffe, dass das die Wiederherstellungspunke sind.

Ansonsten läuft der PC zur Zeit einwandfrei!

Gruß,
Gerrit.

Das sieht alles sauber aus. Funde kannst du löschen lassen.

Muss ich den Panda-Scan dafür nochmal laufen lassen?!:eek: Dann komme ich heute nämlich überhaupt nicht mehr zum Arbeiten...

Bei G-Data müsste ich dann warten, bis er sie wieder gefunden hat, gell? Oder kann ich die im Explorer suchen und gezielt mit G-Data prüfen und dann löschen? Oder einfach im Explorer löschen?

Und verrätst du mir noch (wenn es dir nicht zuviel Mühe macht), warum wir die einzelnen Schritte vorgenommen haben? Rein interessehalber.

Danke im Voraus! Mein System ist jetzt aber nicht derart verseucht gewesen, dass ein Neuaufsetzen sich aufdrängt, oder? :eek:

Schonmal vielen vielen Dank für deine Mühe!!!:daumenhoc
Gruß,
Gerrit.

Diese hier löschen:

C:\Dokumente und Einstellungen\***\Cookies\ir@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
C:\Qoobox

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Starte den Rechner neu und aktiviere sie wieder.

Warum wieso weshalb kannst du dir selber anlesen.. ;) das dauert mir grade zu lange...

Neuaufsetzen ist immer die beste und einzige wirklich sichere Variante!

Könntest du das bitte editieren und meinen Namen rausnehmen?

Ansonsten, vielen Dank!!!

Gruß, GErrit

OK, ich Trottel hatte den namen selbst dringelassen. Kann ein mod oder Admin den mal rausnehmen? (im ersten Code des Posts #24) Danke!