Trojaner-Board - prnet.tmp & prun.tmp - Reinigung Erfolgreich?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - prnet.tmp & prun.tmp - Reinigung Erfolgreich? (https://www.trojaner-board.de/73157-prnet-tmp-prun-tmp-reinigung-erfolgreich.html)

prnet.tmp & prun.tmp - Reinigung Erfolgreich?

Hallo erstmal :)

Also gestern musste ich feststellen, dass ein eigenartiger Prozess bei mir lief, nämlich prnet.tmp. Dieser war zudem im Autostart (unter currentVersion/run) eingetragen. Da ich die letzten Tage den Rechner eigentlich nur im Ruhezustand hatte, wurde dieser Eintrag vermutlich nie wirklich ausgeführt.

Das einzige Symptom, welches ich feststellen konnte war, dass mein Antivir 8 Guard nicht mehr aktivierbar war. Also habe ich Antivir gleich komplett deinstalliert.

Nun, in meinem Leichtsinn habe ich die Datei dann einfach mal manuell aus windows/system32 gelöscht und auch den Autostart Eintrag entfernt.

Anschließend habe ich nach der Anleitung aus dem Board einen Super AntiSpyware Scan durchgeführt. Dieser brachte noch eine "E:\SONSTIGES\SYSTEMMUELL\TEMP\PRUN.TMP" zu Tage (das Verzeichnis entspricht %temp% und %tmp%). Diese habe ich direkt von Super Antispyware Scan löschen lassen. Danach wie in der Anleitung beschrieben habe ich im abgesicherten Modus einen letzten Scan durchgeführt und dieser zeigte dann keine Meldungen mehr an.

Jetzt frage ich mich, ob mein System wohl wieder frei vom Ungeziefer ist und ob jemand anhand dieser beiden Dateinamen zuordnen kann, welche Veränderungen diese noch am System vorgenommen haben könnten.
Zu diesem Zweck füge ich hier einmal mein Hijackthis Log an, in der Hoffnung, dass mir hier jemand eine Entwarnung geben kann.

Schon einmal danke für jede Hilfe :daumenhoc

Zunächst das Super Antispyware Scan Log:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/15/2009 at 03:43 AM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3893

Trace Rules Database Version: 1841
 

Scan type       : Complete Scan

Total Scan Time : 02:08:45
 

Memory items scanned      : 523

Memory threats detected   : 0

Registry items scanned    : 5939

Registry threats detected : 0

File items scanned        : 403198

File threats detected     : 1
 

Trojan.Unknown Origin

        E:\SONSTIGES\SYSTEMMUELL\TEMP\PRUN.TMP

und hier nun das Hijackthis Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:15:57, on 15.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Java\jre6\bin\jusched.exe

D:\Programme\Rainlendar2\Rainlendar2.exe

D:\Programme\DVBViewer\DVBVCtrl.exe

D:\Programme\Hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://x.x.x/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = x

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame 
 

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download 
 

Manager\iefdm2.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - 
 

C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - 
 

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] D:\Programme\PowerDVD6\PDVDServ.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [DVBV Service Ctrl] D:\Programme\DVBViewer\DVBVCtrl.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programme\Free Download 
 

Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programme\Free Download 
 

Manager\dlselected.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://D:\Programme\Free Download 
 

Manager\dlfvideo.htm

O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programme\Free Download 
 

Manager\dllink.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 
 

Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 
 

C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
 

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207352896252

O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - 
 

http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - 
 

http://www.creative.com/softwareupdate/su/ocx/15103/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{68F57622-D9F3-4018-8732-BCB22F2605D7}: NameServer = x.routerip.x

O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - 
 

C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: DVBViewer Recording Service (DVBVRecorder) - CM & V - D:\Programme\DVBViewer\DVBVservice.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision 
 

Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - 
 

C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - 
 

C:\Programme\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Hallo User,

Wilkommen im Support-Fourm von Trojaner-Board
Bitte führe alle Schritte in der vorgegeben Reihenfolge aus
Solltes du bei einem Schritt Hilfe benötigen,oder verstehst ihn nicht,so zögere nicht zu fragen.

Während unserer Reinigungphase nur Programme installieren und Scans durchführen, die wir anordnen.
Während der Bereinigung alle externen Medien, wie USB-Sticks, externe Festplatten und Flash-Karten an den Rechner anschließen!

Führe bitte Malwarebytes Anti-Malware
aus,und bereinige dein System,danach poste den Log.
Hier findest Du eine ausführliche und bebilderte http://www.trojaner-board.de/51187-a...i-malware.html

Führe bitte den CCLEANER aus und bereinige dein System !
Hier findest Du eine ausführliche und bebilderte http://www.trojaner-board.de/51464-a...tml#post333092

Danke für die Antwort :dankeschoen:

Habe beides nach Anleitung ausgeführt. Hier das Log vom MAM:

(Ich vermute mal es ist ein Fehlalarm, weil ausgerechnet nur in mIRC Dateien was drin sein soll. Habs trotzdem mal gelöscht, da es eh nur Sicherungsdateien waren.)

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2138

Windows 5.1.2600 Service Pack 3
 

16.05.2009 10:37:14

mbam-log-2009-05-16 (10-37-10).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|Z:\|)

Durchsuchte Objekte: 498502

Laufzeit: 1 hour(s), 42 minute(s), 52 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 28
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

D:\Programme\NNScript\backup\mirc.exe (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\373SAV~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\373SAV~1\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\373SAV~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\7\MIRC.EXE (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\KOPIEV~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\KOPIEV~1\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\KOPIEV~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\MIRC\NONAME~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\MIRC\NONAME~2\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\MIRC6T~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\NNSAVE~2\MIRC.EXE (Backdoor.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\NNSAVE~2\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

D:\Programme\Mirc Sicherung\NNSAVE~2\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\NNScript\backup\mirc.exe (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\373SAV~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\373SAV~1\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\373SAV~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\7\MIRC.EXE (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\KOPIEV~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\KOPIEV~1\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\KOPIEV~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\MIRC\NONAME~1\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\MIRC\NONAME~2\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\MIRC6T~1\MIRC.EXE (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\NNSAVE~2\MIRC.EXE (Backdoor.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\NNSAVE~2\SCRIPT\DLLS\DMU.DLL (Trojan.Bot) -> No action taken.

E:\Sonstiges\Images\Alt D\Mirc Sicherung\NNSAVE~2\SCRIPT\DLLS\SYSTRAY.DLL (Trojan.Bot) -> No action taken.

Combofix

Führe bitte Combofix aus.
Downloade es dir von hier:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wichtig !! Speichere ComboFix auf dem Desktop

-Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.(Später nicht vergessen es wieder einzuschalten)

-Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird

Danach

HijackThis

Führe bitte das HijackThis aus,und poste den Log.
Hier findest Du eine ausführliche und bebilderte http://www.trojaner-board.de/51130-a...ijackthis.html

Hy

nur schnell eine Frage

Wurden die Funde von Malwarebytes auch gelöscht ???

Code:

D:\Programme\Mirc Sicherung\7\MIRC.EXE (Backdoor.Bot) -> No action taken.

Was sind Backdoors

Zitat:

Zitat von Larusso (Beitrag 436159)

Hy

nur schnell eine Frage

Wurden die Funde von Malwarebytes auch gelöscht ???

Code:

D:\Programme\Mirc Sicherung\7\MIRC.EXE (Backdoor.Bot) -> No action taken.

Was sind Backdoors

Hallo Larusso,

nein,MWB löscht diese datei nicht...
Der User soll erst Combofix laufen lassen,und nach combofix soll er die datei bei VT hochladen !

:uglyhammer:

Was mbam löscht die nicht

und google sollte helfen
nur ein Beispiel
MIRC.EXE
Zu VT lässt man keine Datein hochladen die schon erkannt werden

Und bei den Backdoors wird dir CF auch nicht viel weiter helfen aber gut

Zitat:

Zitat von Larusso (Beitrag 436177)

Ja ich habe die gleich löschen lassen, stand ja auch so in der Anleitung :)
Allerdings gehört die mirc.exe halt eigentlich zu dem IRC Client mIRC, den ich ja auch absichtlich bei mir installiert habe.

Ich habe auf Combofix aufgrund der letzten Antworten in diesem Thread erstmal nicht ausgeführt.
Habe aber eine mirc.exe (aus der MAM Quarantäne) mal bei VT hochgeladen und da kam folgendes bei raus:

Code:

AntiVir        7.9.0.168        2009.05.15        -

Antiy-AVL        2.0.3.1        2009.05.15        -

Authentium        5.1.2.4        2009.05.15        W32/Renamed_mIRC.gen!Eldorado

Avast                4.8.1335.0        2009.05.15        -

AVG                8.5.0.336        2009.05.15        -

BitDefender        7.2                2009.05.16        -

CAT-QuickHeal        10.00        2009.05.15        RiskWare.mIRC.6.03 (Not a Virus)

ClamAV        0.94.1        2009.05.15        -

Comodo        1157                2009.05.08        not-a-virus.Client-IRC.Win32.mIRC.603

DrWeb        5.0.0.12182        2009.05.16        -

eSafe        7.0.17.0                2009.05.14        Win32.mIRC-based

eTrust-Vet        31.6.6508        2009.05.16        -

F-Prot        4.4.4.56        2009.05.15        W32/Renamed_mIRC.gen!Eldorado

F-Secure        8.0.14470.0        2009.05.15        Client-IRC.Win32.mIRC.603

Fortinet        3.117.0.0        2009.05.16        IRC/Client

GData        19                2009.05.16        -

Ikarus        T3.1.1.49.0        2009.05.16        not-a-virus:Client-IRC.Win32.mIRC

K7AntiVirus        7.10.735        2009.05.14        Non-Virus:Client-IRC.Win32.mIRC.603

Kaspersky        7.0.0.125        2009.05.16        not-a-virus:Client-IRC.Win32.mIRC.603

McAfee        5616                2009.05.15        potentially unwanted program IRC/Client

McAfee+Artemis        5616        2009.05.15        potentially unwanted program IRC/Client

McAfee-GW-Edition        6.7.6        2009.05.15        -

Microsoft        1.4602        2009.05.16        -

NOD32        4080                2009.05.15        -

Norman        6.01.05        2009.05.16        -

nProtect        2009.1.8.0        2009.05.16        -

Panda        10.0.0.14        2009.05.15        Bck/MIRCBased.BI

PCTools        4.4.2.0        2009.05.15        Backdoor.IRCBot

Prevx        3.0                        2009.05.16        -

Rising        21.29.52.00                2009.05.16        -

Sophos        4.41.0        2009.05.16        -

Sunbelt        3.2.1858.2        2009.05.16        -

Symantec        1.4.4.12        2009.05.16        -

TheHacker        6.3.4.1.326        2009.05.15        Aplicacion/Riskware.mIRC.6.03

TrendMicro        8.950.0.102        2009.05.15        -

VBA32        3.12.10.5        2009.05.16        BackDoor.IRC.based

ViRobot        5.15.1737        2009.05.15        Trojan.Win32.IRCFlood.1790465

VirusBuster        4.6.5.0        2009.05.15        -

Sehr GUT

ComboFix ist nur den Kompetenz-Team erlaubt ;)

Ich würde dem ganze trotzdem nicht vertrauen und dein System neu aufsetzten

Ist der Sichereste Weg und auch in VT Log steht des öfteren Riskware

Backdoors können sich nämlich im Hintergrund einen Zugang über IRC verschaffen und dort die Anweisung des Authors ausführen

Für IRC gibt es sichere Software wie zb Chatzilla bei FF oder auch miranda ;)

Denk mal drüber nach :daumenhoc

Ja du hast da sicher recht. Aber ich scheue schon sehr das neu Aufsetzen :/

Auch ich kann mich irren ;)

ich habe mal einen Kompetenz-Team-Mitglied gebeten sich deiner anzunehmen

bitte warte auf seine Anweisungen :daumenhoc

Zitat:

Zitat von Larusso (Beitrag 436201)

Auch ich kann mich irren ;)

ich habe mal einen Kompetenz-Team-Mitglied gebeten sich deiner anzunehmen

bitte warte auf seine Anweisungen :daumenhoc

Ok :dankeschoen:

Hmm, kam wohl doch keiner mehr. :heulen: