Trojaner-Board - einige online-verbindungen spinnen; vor lahmte der ie

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - einige online-verbindungen spinnen; vor lahmte der ie (https://www.trojaner-board.de/71304-einige-online-verbindungen-spinnen-lahmte-ie.html)

einige online-verbindungen spinnen; vor lahmte der ie

Seit einiger Zeit funktionieren einige Verbindungen nicht mehr richtig. Manchmal klappen Sendeaufträge (z.B. beim Online-Banking) nicht mehr, teilweise bleibt sogar die DFÜ-Verbindung hängen. Da vor ein zwei Wochen der Internet Explorer plötzlich langsamer wurde und Webseiten nicht mehr aufgebaut hat, habe ich CCleaner und Malewarebytes durchgeführt. Dabei wurde auch etwas gefunden, was ich entfernt habe, aber irgendwie bin ich mir nicht sicher, ob es weg ist.
Habe eben beide Programme nochmals ausgeführt, sie finden nichts. Daher bitte ich euch doch mal über mein Hijack-Log zu gucken.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:31:12, on 23.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\KFZR6\FordEtis\FordFSA.exe

C:\Programme\FRITZ!\IWatch.exe

C:\Programme\Microsoft Office\Office\FINDFAST.EXE

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\KFZR6\FordEtis\acugt.exe

C:\Programme\FBA32\BHaupt32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\FRITZ!\Frifax32.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Outlook Express\msimn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\TAYLOR\TPO\TPO.EXE

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Launcher] C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Ford Bank Aktuell.lnk = C:\Programme\DDL\DDL.exe

O4 - Global Startup: FordFSA.LNK = C:\KFZR6\FordEtis\FordFSA.exe

O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe

O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
 

--

End of file - 4954 bytes

Hallo HerrZinfarkt und :hallo:

Um erstmal einen Überblick zu bekommen, lädst du bitte diese 3 Dateien bei Virustotal.com hoch und lässt sie analysieren. Auch wenn dort schon stehen sollte, dass diese files schon einmal überprüft wurden. Die Ergebnisse, einschließlich der Angaben zu MD 5 etc.

Code:

C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe

C:\KFZR6\FordEtis\FordFSA.exe

C:\KFZR6\FordEtis\acugt.exe

C:\Programme\FBA32\BHaupt32.exe

Ich gehe erstmal davon aus, dass dies dein Provider ist?

Code:

address: T-Systems Business Services GmbH

address: Fasanenweg 15-17

address: D-70 771 Leinfelden-Echterdingen

address: DeTeSystem GmbH NL Koeln

address: Vor den Siebenburgen 2

address: D-50676 Koeln

address: Germany

Ich denke du solltest dein Konto im Auge haben, da das Zusammenfallen des Fensters beim Onlinebanking schon ziemlich ungewöhnlich ist. Ich erwarte, dass zumindest eines der files die du hochladen wirst ein Problem beinhaltet, dass wir im Augenblick noch nicht klassifizieren können.

Daher vorab der dringende Rat sprich mit der Bank darüber was genau passiert ist während der Transaktion, halte dein Konto im Auge.

Eine Frage habe ich noch: Ist dies ein Geschäftsrechner oder Privat?

Hallo,

es handelt sich um einen Geschäftsrechner. Ist das ein Problem?

Bin gerade nicht an dem Rechner, aber die von dir genannten Dateien sind höchst wahrscheinlich alle sauber. Alles interne Software bzw. die KMGLNC.exe gehört zum Drucker. Aber ich werde die Datein trotzdem noch überprüfen lassen.

Die Providerdaten muss ich auch prüfen. Woher hast du diese Daten überhaupt?

Ansonsten jedenfalls schon mal vielen Dank!

Ja, leider ist das ein Problem

Bei Geschäftsrechner kann ich nicht weiterhelfen aus Gründen der Haftung....

Ich denke nicht, dass alle Dateien sauber sind. Irgendwo in deinem rechner steckt ein Problem. Lade mal die Daten hoch, dann wissen wir mehr...
Dann kann ich dir einige Hinweise geben, worum es sich handelt.

Kannst du dich daran erinnern, was bei der Überprüfung gefunden wurde? hast du zufällig noch den Dateipfad? Schau doch al in die Quarantäne von Malwarebytes....

Habe alle Dateien hochgeladen und die Ergebnisse waren überall "-".
Scheinen wohl sauber zu sein. Komischerweise tritt das Problem immer erst nach einiger Zeit aus. Soll heißen, am Anfang klappt alles normal und irgendwann gehen bestimmte Verbindungen nicht mehr. Vor allem baut der IE ab diesem Zeitpunkt die Seiten nur noch sehr sehr langsam bzw. an sich gar nicht mehr auf. Es dauert 3-4 Minuten...

In der Quarantäne habe ich nichts mehr gefunden, aber ich konnte das Log-File noch auskramen:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1824

Windows 5.1.2600 Service Pack 3
 

06.03.2009 10:52:32

mbam-log-2009-03-06 (10-52-32).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 56592

Laufzeit: 2 minute(s), 40 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 2

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\__c00F024.dat (Trojan.Agent) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f024 (Trojan.Vundo) -> Delete on reboot.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xujbpnvc.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f1f0b1af.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: digeste.dll -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\xujbpnvc.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\_A00F1F0B1AF.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wpv461235549659.cpx (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Delete on reboot.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\bits.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ipdll.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\__c00F024.dat (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\system32\__c0012D62.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\__c001769.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

Okay, normalerweise sollten wir nochmal von Vorne anfangen. Ich denke, dass da jemand nach Hause telefonieren will und deshalb dein System runterbringt.
Wie du sehen wirst ist das ein Standart Text, also bitte nicht dran stören, auch wenn du das eine oder andere Programm schon hast...

Wir machen erst mal das:

Code:

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!

Download von Avenger 

Download von MalwareBytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung LESEN !!!

Download von Gmer 

Download von MBR.exe 

Download von SDFix

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen

Punkt 5.
Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um

Punkt 6.
SDFix

Download von SDFix

Punkt 5.
SDFix kommt zum Einsatz. Im Rahmen der Installation wurde das Programm im Standartpfad C:\SDFIX abgelegt. Ändere den Pfad bei der Installation nicht.
Jetzt einen Reboot, drücke im Bootvorgang bereits die F8 Taste. Du gelangst zu einem Auswahlmenü. Wähle hier abgesicherter Modus.

Suche nun den Ordner und öffne ihn. Suche nach RunThis.bat.
Klick doppelt hier drauf. Bestätige den Reinigungsprozess mit Ja (Y).- Nach der Bereinigung wirst du aufgefordert, irgendeine Taste zum Reboot zu betätigen.

Der PC wird dann wieder normal in Windows starten, jedoch setzt SDFix seine Arbeit erst mal fort. Bei erfolgter Desinfektion wirst du wieder aufgefordert eine Taste zu drücken um , wie gewohnt, auf deinen Desktop zu gelangen. Zeitgleich öffnet sich ein Report Textfile. Diesen postest du dann hier....

Weiteres kommt dann nach diesen Logfiles von mir.....

Ich habe nicht mehr von dir gehört und gehe davon aus, dass du meine Hilfe nicht mehr brauchst. Falls doch, kurze PM an mich....