Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Maleware wird unverschämt... (https://www.trojaner-board.de/68747-maleware-unverschaemt.html)

Groundrocker 17.01.2009 19:47
Maleware wird unverschämt...
 
Hallo zusammen.
Mein Freundin habt sich irgendwie Maleware eingefangen und ich hab selbst mit Antimaleware nichts wegbekommen.
Derzeit hat die M-Ware schon den Desktop geändert und spamt alle möglichen Webseiten (auch die wo man weiss das sie keine Werbung haben) mit Werbeblöcken zu...

HiJackthis-Log habe ich hier....
Vielen Dank im Vorraus...

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:08, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MioNet\MioNetManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MioNet\jvm\bin\MioNet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Hotkey 1.0.4\FuncKey.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Philips\Philips SPC315NC Webcam\TrayMin315.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey 1.0.4\FuncKey.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC315NC Webcam
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKLM\..\Run: [Fsunoxosivol] rundll32.exe "C:\WINDOWS\Fputoxiyalogu.dll",e
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: TrayMin315.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Avgnpr - Unknown owner - (no file)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Programme\MioNet\MioNetManager.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 6824 bytes

Groundrocker 18.01.2009 00:04
Habe vergessen zu erwähnen:

Betriebsystem ist Windows XP


:twak:

Mr.Vain 18.01.2009 00:10
Dein OS kann man aus dem Log entnehmen :rolleyes:

Bitte lade folgendes bei VirusTotal - Free Online Virus and Malware Scan
hoch
Code:
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\frmwrk32.exe
2. --> Bitte alle Toolbars unter --> Systemsteuerung --> Programme deinstallieren!

3. --> Deinstalliere Ad-Aware und ersetze es durch Malwarebytes Anti-Malware.

4. --> Führe damit einen Scan durch und Poste das Ergebniss !

5. --> Führe einen Scan mit Avira Antivir durch!

Groundrocker 18.01.2009 00:28
Danke für die Antwort...Ich denke C:\WINDOWS\system32\ntdll64.exe ist der Übeltäter...

Post von VirusTotal für ntdll64.exe:
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.73        2009.01.17        -
AhnLab-V3        2009.1.15.0        2009.01.17        -
AntiVir        7.9.0.57        2009.01.17        -
Authentium        5.1.0.4        2009.01.17        -
Avast        4.8.1281.0        2009.01.16        -
AVG        8.0.0.229        2009.01.17        Downloader.Generic8.PTP
BitDefender        7.2        2009.01.17        -
CAT-QuickHeal        10.00        2009.01.17        (Suspicious) - DNAScan
ClamAV        0.94.1        2009.01.17        -
Comodo        934        2009.01.17        -
DrWeb        4.44.0.09170        2009.01.17        -
eSafe        7.0.17.0        2009.01.15        Suspicious File
eTrust-Vet        31.6.6312        2009.01.17        -
F-Prot        4.4.4.56        2009.01.17        -
F-Secure        8.0.14470.0        2009.01.17        -
Fortinet        3.117.0.0        2009.01.15        -
GData        19        2009.01.17        -
Ikarus        T3.1.1.45.0        2009.01.17        -
K7AntiVirus        7.10.594        2009.01.17        -
Kaspersky        7.0.0.125        2009.01.17        -
McAfee        5498        2009.01.17        Downloader-ASH.gen.b
McAfee+Artemis        5498        2009.01.17        Downloader-ASH.gen.b
Microsoft        1.4205        2009.01.17        Trojan:Win32/Tibs.IS
NOD32        3774        2009.01.17        a variant of Win32/FakeInit
Norman        5.93.01        2009.01.16        -
nProtect        2009.1.8.0        2009.01.16        -
Panda        9.5.1.2        2009.01.17        -
PCTools        4.4.2.0        2009.01.17        -
Prevx1        V2        2009.01.18        Malicious Software
Rising        21.12.52.00        2009.01.17        -
SecureWeb-Gateway        6.7.6        2009.01.17        Trojan.Crypt.LooksLike.XPACK
Sophos        4.37.0        2009.01.17        Mal/EncPk-FO
Sunbelt        3.2.1835.2        2009.01.16        -
Symantec        10        2009.01.18        -
TheHacker        6.3.1.5.222        2009.01.17        -
TrendMicro        8.700.0.1004        2009.01.16        -
VBA32        3.12.8.10        2009.01.17        -
ViRobot        2009.1.17.1563        2009.01.17        -
VirusBuster        4.5.11.0        2009.01.17        -

Post für C:\WINDOWS\system32\frmwrk32.exe:

Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        -        -        -
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        SHeur2.LKF
BitDefender        -        -        -
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
Comodo        -        -        -
DrWeb        -        -        Trojan.Fakealert.3874
eSafe        -        -        Suspicious File
eTrust-Vet        -        -        -
F-Prot        -        -        -
Fortinet        -        -        -
GData        -        -        -
Ikarus        -        -        -
K7AntiVirus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
McAfee+Artemis        -        -        Generic!Artemis
NOD32        -        -        -
nProtect        -        -        -
Panda        -        -        -
PCTools        -        -        -
Rising        -        -        -
SecureWeb-Gateway        -        -        Trojan.FakeVir.LSK
Sophos        -        -        Troj/Fakevir-JL
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
TrendMicro        -        -        -
ViRobot        -        -        -
VirusBuster        -        -        -

Folgendes Problem habe ich mit den weiteren Schritten:
Ich kann keine Software deinstallieren, da ich jedesmal eine Errormeldung bekomme... Ich habe ein paar komische Toolbars entdeckt die ich gerne wegmachen würde, die mir jedoch nach dem Klick auf "Deinstallieren" ne Late von Error-Popups bringt.. ca. 20 Stück... das gleiche passiert wenn ich üner Start -> Programme -> Das gewünschte Program und dann Deinstall oder Uninstall wähle...



:pfui:

Mr.Vain 18.01.2009 00:43
Gut.
Fixe bitte noch die Dateien die du eben bei virustotal hochgeladen hast.

Lade dir Revo Uninstaller herunter.
Damit kriegst du jede Software wieder deinstalliert :daumenhoc

Wie sieht es mit den Logs von Avira Antivir und Malwarebytes aus?

Groundrocker 18.01.2009 22:34
Danke für die ANtwort..
So leider habe ich jetzt einige weitere Probleme.
  1. Anti-Maleware geht jetzt nicht mehr und lässt sich nicht mehr updaten oder installieren, da jedesmal durch ein Errorfenster abgebrochen wird.
  2. AntiVir findet zwar die erste der oben besagten Dateinen sofort nach begin des Suchlauft, wird aber jedoch unter "Keine Rückmeldung" zum Abrechen gezwungen.
  3. Ich weiss, mag eine lächerliche Frage sein, aber mit was soll ich die beiden Files fixen? Kenn mich da nicht all zu arg aus.... Sorry

Danke schonmal im vorraus und Gruße ans Board

:daumenhoc

undoreal 19.01.2009 13:39
Hallo Groundrocker.

Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  • Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  • Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  • Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Im Hauptfenster den Start Button drücken.
  • Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Deaktiviere den AVZGuard!
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Groundrocker 30.01.2009 15:23
Sorry, das ich mich erst jetzt melde, war beruflich verhindert, bzw nicht im Lande... ;)

Da Problem wurde leider immer schlimemr und ich konnte letztenendes nur noch eine Neuinstallation durchführen... Somit hat sich das Problem erledigt...

Danke trotzdem für eure Bemühungen...
:aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus:


*** Das Thema kann somit geschlossen werden ***


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131