Bitte HiJackThis prüfen, möglicher Trojaner!
 

So, hallo zusammen.
Ich hab letztens einen Trojaner bei mir auf dem PC entdeckt durch eine Meldung von Kaspersky. Ich konnte ihn nur beschränkt durchlassen und habe am Ende festgestellt, dass ich ihn nicht weglöschen konnte, weil er sich in C:/RECYCLER verbarrikadiert hatte und durch die Kombination Total Commander+Unlocker der Trojaner jeden Löschvorgang abbrach bzw. verweigerte. So entschloß ich mich den PC neu aufzusetzen und jede Partition zu löschen, aber davor noch knapp 20 GB an Musik und Bildern auf einer Externen Festplatte zu sichern. Nach der Windows-Installation war alles wieder ganz normal und beschloß die Festplatte bei mir an den PC anzuschließen, dabei spuckte Kaspersky die gleiche Meldung wieder raus und gab mir an, dass eine verdächtige Aktivität auf der Festplatte sei, die er nicht als Virus oder desgleichen erkannt hatte. Somit fand ich in RECYCLER wieder schl.exe und auf der Festplatte war jetzt unter dem Pfad F:\CLICK\jack.exe\... ein neues Ding aufgetaucht.

Hier nun zu der HiJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:46, on 10.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\SYOS\System32\smss.exe
C:\SYOS\system32\winlogon.exe
C:\SYOS\system32\services.exe
C:\SYOS\system32\lsass.exe
C:\SYOS\system32\svchost.exe
C:\SYOS\System32\svchost.exe
C:\SYOS\system32\spoolsv.exe
C:\SYOS\system32\nvsvc32.exe
C:\SYOS\system32\RUNDLL32.EXE
C:\SYOS\RTHDCPL.EXE
C:\SYOS\system32\ctfmon.exe
C:\SYOS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\SYOS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\SYOS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\SYOS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E725C80-0215-4339-8A99-484796C8751F}: NameServer = 62.109.123.197 213.191.74.19
O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd3.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\SYOS\system32\nvsvc32.exe

--
End of file - 4034 bytes


Ich bitte um Hilfe!!!

MfG

Hallo und Herzlich Willkommen! :)

Wenn du eine infizierte Datei sicherst auf externe Festplatte und nachher wieder ins Pc steckst...ist eh klar ;)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

So, gesagt getan, hier ist das, was mr die .bat rausgehauen hat, hab natürlich jeden Eintrag rausgelöscht, der nichts mehr mit vor 6 Monatn zu tun hatte. Darunter folgt die install.txt und nochmal das HiJackThis-Logfile.

MfG

was ist "SYOS"?
und die Softwareliste v. Ccleaner scheint mir etwas zu kurz zu sein..? Vollständig gepostet? Oder zuerst mal so wenig drauf?


- Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
- Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

Hier ist der Bericht, aber es kam irgendwie war eigenartiges raus, anscheinend kannst du wohl mehr damit anfangen.

MfG

na das ist nicht ganz..viel zu kurz? etwas schief gegangen? ode das Log hast Du nicht vollständig gepostet?

Musst dich leider enttäuschen, das ist alles, was in der Log-File stand, ich hab es auch nochmal gestartet und es kam genau das gleich nochmal heraus.

MfG

EDIT: Bevor ich das vergesse zu erwähnen. FindyKill brauche ich nicht zu installieren, ich konnte es auch so von Anfang an starten und nach dem neustart stand auch kein "Nettoyage effetuee!"

Sorry, falls diese Info wichtig war...

stelle bitte mal Spyware Doctor ab (wenn nicht Kaufversion empfehle Dir zu deinstallieren)
ansonsten: Start --> Ausführen ---> "Services.msc" --> (reinschreiben ohne ""--> OK" auf "Manuell" stellen:
- versuche mal für die Zeit bis FindyKill läuft, dein Kaspersky zu deaktivieren, aber danach gleich wieder einschalten

SO, jetzt hats geklappt und er hat ein paar interessante Sachen gefunden, ich poste das einfach mal:

hi

1
- FindyKill deinstallieren:
-Doppelklicke das FindyKill-Icon auf dem Desktop.- mit Rechtsklick und als Administrator ausführen!
- Es öffnet sich ein DOS-Fenster wähle "F" + Entertaste
- im nächsten Screen die "3" + Entertaste, um die Deinstallation zu starten.
- lösche den Ordner C:\Programme\FindyKill und die Datei C:\findykill.txt manuell und leere den Papierkorb.

2.
Externe Festplatte etc bitte erneut anschließen
Lass bitte mal den Kaspersky über das System laufen (vorher updaten)--> alle Funde in Quarantäne verschieben, poste die Report-Datei

Hey.
Ich hab jetzt Kaspersky Internet Security 2010 geupdatet und rüberlaufen lassen und er hat in den verseuchetn Ordnern nichts gefunden. FindyKill wurde davor deinstalliert und die jeweils dazugehörigen Ordner wurden gelöscht.

Scheint wohl nichts mehr zu bringen...
Lohnt es sich doch lieber nochmal aufzusetzen?

ich würde zuerst noch nicht machen, da bis jetzt nichts schlimmes rausgekommen

mein Vorschlag wäre:

1.
- Downloade Dr. Web CureIt! Anleitung findest du unter folgendem Link: → *klick*
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!

2.
auch da alle Speichermedien bitte anschließen
- eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Ok, das erledige ich morgen, weil ich heute keine Zeit mehr habe, vor allem will anscheinend der Trojaner mit mir spielen. Jetzt entsteht immer wieder eine IEXPLORER.exe Fehlermeldung, wenn ich ihn ausschalte. Dann passiert es mir auch manchmal, dass die Taskleiste einfach verschwindet bzw. mit einem schwarzen Balken ersetzt wird.

So, er hat nichts gefunden; alle vier Dienste haben es nicht geschafft irgendetwas zu finden.

Das ist das einzige, was er gefunden hat, ein paar Cookies.


EDIT: Ich hab mich jetzt mal so in meinem Ordner umgeschaut und die Datei schl.exe ist jetzt in C:\RECYCLER sichtbar.