Trojaner-Board - Probleme mit Internet Conection (trojaner?!?!?)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit Internet Conection (trojaner?!?!?) (https://www.trojaner-board.de/7382-probleme-internet-conection-trojaner.html)

Probleme mit Internet Conection (trojaner?!?!?)

Jungs, ich habe da mal ne Frage.
Vor ein paar tagen ging mein Internet sehr sehr seeeeeehr langsam, da hab ich meinen Anbieter angerufen, dann haben die mir gesagt das mein Upload total ausgenutzt ist, obwohl ich nicht mal ein programm offen hatte, nichtmal den explorer, also sagte der mir, das es sehr wahrscheinlich ein wurm oder ein virus ist.

2 tage später habe ich dann AVG Antivirus runtergeladen (legaler Lizenez :P) der hat mir 6 trojanische pferde gefunden, 3 von den 6 waren im RUN ordner, hab ich die halt gelöscht und der hat sie geheilt (das prog) nachdem geht alles sauber nur..... ----> Mein Counter-Strike hat n scheiss Ping, das war nie so. Und ich denke es isn Trojaner oder so was in der art, also bitte ich euch um hilfe.
hab den Log, bitte schaut mal rein.

----- LOG -----

Logfile of HijackThis v1.98.2
Scan saved at 19:53:11, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winsysi.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\ssqwgnd.exe
C:\WINDOWS\VM_STI.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\PROGRA~1\Steam\Steam.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duvanjske-rose.ch/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe
O4 - HKLM\..\RunServices: [nvviddrv32] ssqwgnd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [ati control panel] atiphexx.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [nvviddrv32] ssqwgnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Ich danke schon im voraus...
und bitte um schnelle hilfe !!!!

noch ne frage: Kann es sein das des so ist, weil ich win xp pro draufgeschmissen hab, auf nen win xp home abgestimmtem pc ?

Es liegt vor allem zuerst mal daran, dass dein Windows überhaupt nicht gepatched ist und daher schon längst beseitigte Sicherheitslücken aufweist.
Du hast mehrere Trojanische Pferde laufen, die einem Angreifer alle Möglichkeiten gaben/geben, dein System zu manipulieren
Kleine, aber repräsentative Auswahl deiner Gäste:

http://www.sophos.de/virusinfo/analy...2agobotaa.html
http://www.sophos.de/virusinfo/analy...2agobotnv.html
http://www.sophos.com.au/virusinfo/a...w32rbotht.html

Dein Rechner ist kompromittiert und ich kann ganz ehrlich nur die komplette Abarbeitung folgender Schritte empfehlen:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org (dies wöchentlich wiederholen)
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Wenn du trotzdem reparieren willst (NICHT zu empfehlen!) patche zuerst dein System, sonst hat alles andere keinen Sinn.

Besorge dir dieses Programm, update wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Deaktiviere die Systemsteuerung:

http://www.systemwiederherstellung-d...indows-xp.html

Beende diese Prozesse:

ssqwgnd.exe
VM_STI.EXE
lsas.exe
atiphexx.exe
winsysi.exe
dllcon.exe

Fixe mit HJT:

C:\WINDOWS\System32\ssqwgnd.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\winsysi.exe
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe
O4 - HKLM\..\RunServices: [nvviddrv32] ssqwgnd.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [ati control panel] atiphexx.exe
O4 - HKCU\..\Run: [nvviddrv32] ssqwgnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Boote in den Angesicherten Modus, lösche die in den Einträgen aufgeführten exe und dll-dateien, lass E-scan wie beschrieben durchlaufen, boote in den normalen Modus, aktiviere die Systemwiederherstellung, poste ein neues Log.

Ich empfehle allerdings DRINGEND die alternative Abarbeitung der 11 Punkte.

Ja hallo hab etwa das gleiche problem..
aber mache regelmässige Updates..
will nich so gerne neu aufsetzen.. hier die infos

Logfile of HijackThis v1.98.2
Scan saved at 03:01:55, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dj-Micky\Eigene Dateien\hijackthis_198\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.habbohotel.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095856668727

ehm ja was kann ich machen ?

Hallo Dj-Micky,

- Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online laut Anleitung: Thread-6083

- Dann bitte die Systemwiederherstellung deaktivieren

- Fixe mit Hijack This im abgesicherten Modus folgende Einträge und die mit (*) gekennzeichnet sind, wenn Du sie nicht kennst/brauchst:

C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\winsysi.exe
(*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.habbohotel.ch/
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
(*) O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) -
http://www.ea.com/downloads/rtpatch/EARTPX.cab

- Beende diese Prozesse:

VM_STI.EXE
winsysi.exe

- Überprüfe nun mit dem eScan Dein System.

- Boote in den normalen Modus, aktiviere die Systemwiederherstellung, poste ein neues Hijack This Logfile und teile uns mit welche Viren welchen Namens auf Deinem Rechner gefunden wurden.

SD

Ja wie mache ich das im abgesicherten Modus ?
Kann ich den nicht auch so löschen ? obwohl.. er kommt auch dann wieder wenn ich ihn lösche..

@djmicky
hier findest du wie du in den abgesicherten modus kommst
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
wenn du es wirklich vom system löschen möchtest, dann bleibt dir kein andere weg erspart.
chaosman

Ja okay ich werde es versuchenn
aber ich kann mit eScan nur scannen er kann ja nix reparieren ich muss ihn kaufen? :S

- Beende diese Prozesse:

VM_STI.EXE
winsysi.exe

- Überprüfe nun mit dem eScan Dein System.

- Boote in den normalen Modus, aktiviere die Systemwiederherstellung, poste ein neues Hijack This Logfile und teile uns mit welche Viren welchen Namens auf Deinem Rechner gefunden wurden.

Und dann ist das schon gelöscht oder wie ?

Leider ist die neueste Version des E-Scan nur noch zum Scannen zu verwenden, bisher hat sie auch automatisch desinfiziert. Man muss die gefundenen Schädlinge also dann noch per Hand entfernen.

ja schon
aber wie ?

Ich habs schon paarmal auch durch hijacker (oder so) gelöscht.
Ging nicht kam immer wieder beim systemstart..
darum frage ich was ich machen könnte sonst wäre das nicht so ein drama

Lösch die Dateien im abgesicherten Modus und fixe anschließend die Einträge in HijackThis.

@ djmicky

ich übernehme den Tip von Cidre zum löschen der Viren, die mit eScan gefunden werden. Bei deaktivierter Systemwiederherstellung, muss im abgesicherten Modus folgendes getan werden:

Cidre zitiert: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (siehe - Thread)

Nun bitte die Systemwiederherstellung aktivieren und in den normalen Modus booten.

Erstelle ein neues Hijack Logfile und poste es.

SD

und dann sollte das gelöscht sein ? :S
aber wenns immer wieder kommt .. dann gibt es sicher etwas anderes das es den backdoor wieder aktiviert..

aber ich kanns ja mal versuchen.

Yeah scheint weg zu sein..
Ich prüfe dann nochmal mit dem Antitrojaner..
Aber der abgesicherter Modus bringts voll !
Wieso kann es nur dort gelöscht werden ? :S