Trojaner weg oder nicht?
 

Hallo leute,

ich habe auf meinem Fileserver viele Trojaner gefunden.Ich habe Ad Aware benutzt, Spyboot S&D, dann Antivir laufen lassen. Jetzt habe ich 3 Probleme mit HijackThis gefixed! Dürften die Trojaner fort sein? Antivir meldet mir immer trojaner, allerdings sind das noch die Dateien, die er unbenannt hatte, weil er nen Trojaner in Ihnen erkannt hatte.Folgende Trojanes hat Antivir gefunden:Dldr.Alchemic, Small.GL.1, Dldr.IstBa.II.12,WWBars.5, Krepper 1 ,2 und 3 sowie c. Das sind alles Namen von Antivir! BS ist Windows Advanced Server 2000.

Danke für Tipps

DaBoy

Mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:10:00, on 11.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVNetNT\avguard.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
D:\Programme\Jana2\janad.exe
C:\WINNT\System32\KHKSManS.exe
C:\WINNT\System32\llssrv.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
C:\WINNT\System32\internat.exe
D:\TRANSFER\MSSQL7\Binn\sqlmangr.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
C:\Programme\QuickTime\qttask.exe
C:\winnt\system32\videodriver.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
C:\WINNT\System32\internat.exe
D:\DATEN\MARCEL\_Burn\DNS-Client\DeeEnEs.exe
C:\Programme\Ahead\Nero BackItUp\NBJ.exe
D:\TRANSFER\MSSQL7\Binn\sqlmangr.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\Programme\Ahead\Nero BackItUp\BackItUp.exe
C:\Programme\AVNetNT\AVNetNT.exe
C:\Dokumente und Einstellungen\Test\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sagekhk.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Sage KHK Software
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.240:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: jimmyhelp.CBrowserHelper - {BA08782B-5AAB-4FC8-B291-8309DDE5092D} - C:\WINNT\xzgacxcs.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TIFF-Druckertreiber] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SfWinStartInfo] d:\sfirm\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zcvlazxom] C:\WINNT\System32\asszorax.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LLPush] C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
O4 - HKLM\..\Run: [DesktopManager] C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
O4 - HKLM\..\Run: [THGuard] C:\Programme\TrojanHunter 3.9\THGuard.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [DeeEnEs] D:\DATEN\MARCEL\_Burn\DNS-Client\DeeEnEs.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Programme\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Dienst-Manager.lnk = MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Mobile User VPN.lnk = C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sagekhk.de
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {48F22476-0F08-43D8-BAA3-83AD77BD2582} (LLInstall Class) - http://213.68.111.129/campus/download/LL7Inst.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.fiat.de/obs/include/codebase/MSSurVid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/clickyes.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE308EA-77BF-4C6F-958F-B6AC981B9694}: NameServer = 10.0.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD0DB7E5-F3E8-428D-8911-5B8C2A4A99E6}: NameServer = 10.0.0.254,10.0.0.242

Bitte befolge zunächst das:

http://www.trojaner-board.de/42731-escan-anleitung.html

und poste dann ein neues Log.


Kannst du diese Einträge von dir installierten Programmen zuordnen:

C:\WINNT\System32\DesktopManager\DesktopManagerTra y.exe
C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe

Diese Datei:
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe

scheint zu einer von dir installierten Anwendung zu gehören, allerdings weiss ich nicht, was diese Sage-Software so macht und ob dies tatsächlich dazugehören muss. Ich glaube es nicht, denke vielmehr, dass es sich um einen Teil eines Trojaners handelt:
http://securityresponse.symantec.com...ader.cile.html

Wie gesagt, erstmal E-scan laufen lassen und dann ein neues Log posten.

Diese Einträge kann ich zuordnen:

C:\WINNT\System32\DesktopManager\DesktopManagerTra y.exe

und:

C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe

Es handelt sich hierbei um eine Unternehmenssoftware wie zum Beispiel die von Lexware.

Den anderen Eintrag kann ich noch nicht zuordnen!

Ok werde mal e-scan laufen lassen, und dann nen Log erneut posten.

Wenn jetzt e-scan was findet, und die Daten löscht, dann dürfte ja dem Sys nix passieren,oder? Es werden ja keine wichtigen Daten gelöscht.

Das sollte normalerweise nicht passieren, wenn beispielsweise diese registry.exe nicht von einem Virus befallen ist, dürfte sie auch nicht gelöscht werden, Hast du denn mal nachgesehen, ob die anderen Dateien, die bei Symantec aufgeführt werden auf deinem System sind? Wiesst du genau, dass diese registry.exe dazugehört und was die macht?

Welche Dateien bei Symantec? In der Virus Datenbank?

Hm, ich frag gleich meinen Arbeitskollegen der sich mit der Sage Software besser auskennt, was die regestry.exe macht. Aber zu 99 % dürfte es harmlos sein.

Ich hatte oben einen Symantec-Link gepostet, der einiges zu dem Trojaner, der eine registry.exe erzeigt, enthält, u.a. den Hinweis, dass die Dateien

Registry.dll
Registry.exe
Rt.dll

angelegt werden. Schau mal, ob die anderen beiden bei dir vorhanden sind.

Was ist jetzt mit eScan?

Dies ist jedenfalls schonmal schädlich: O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/clickyes.cab

Fixen!

Kommt noch, bin nich schaffe

Hallo
Dein PC nicht merh dein (lese mal "The ten Immutable Laws.." in meiner Signatur). Je schneller machst du die Kiste platt, desto besser wird es für alle.