Trojaner-Board - Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert (https://www.trojaner-board.de/79810-browser-biegt-beim-surfen-primosearch-ab-sicherheitsseiten-blockiert.html)

Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert

Hallo Leute,

brauche das erste Mal seit geraumer Zeit Hilfe bei einem Sicherheitsproblem. Mein Browser wird entführt (folge ich bei google weiterführenden Links, lande ich häufig bei Primosearch). Beim Recherchieren, was das sein könnte, fiel mir dann auf, dass sich der Computer bei Downloads von hijackthis und MalwareBytes Anti Malware äußerst sperrig anstellt.

Aufgefallen, dass was nicht stimmt, ist mir Sonntag, als ich auf der Suche nach einem Linkchecker mit "Xenu's Link Sleuth" seit langem mal wieder ein Programm aus dem Internet gezogen habe. Vielleicht tue ich jetzt gerade dem Autor des Programmes Unrecht, und mein System war bereits vorher kontaminiert. Auf jeden Fall ließ sich Xenu installieren, aber nach dem Starten passierte - nichts.
Am Montag dann wurde das erste Mal mein Browser gehijackt (Primosearch begegnet mir beim googlen seitdem immer mal wieder), am Dienstag fiel mir auf, dass ich meinen harmlosen Lieblingseditor "Textpad" nicht mehr öffnen konnte und dass der Taskmanager Dinge zeigt, die ich zuvor noch nicht bewusst wahrgenommen hatte. Mittwoch habe ich dann angefangen, mich mit dem Thema (Google-) Links werde auf andere URL geleitet zu befassen. Auf der Suche nach solchen Programmen wie hijackthis oder MBAM musste ich dann meinen eigenen Rechner überlisten.
Jetzt sitz ich hier vor dem hijackthis Log und mir kommt die Hälfte verdächtig vor. Mag aber auch daran liegen, dass IBM den Rechnern einen Haufen Software mit auf den Weg gibt, von denen ich auch als erfahrener Anwender nicht weiß, was wichtig ist und was nicht.

Hier das hijackthis.log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:32:06, on 27.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
E:\Programme\Tools\TOMTOM home\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\TpShocks.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Tools\nokia\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.comdirect.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.lenovo.com/de/de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.33:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Tools\Adobe Acrobat Reader\Programm\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] E:\Programme\Tools\Sicherheit Virenschutz\Malware Bytes\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Terminkalender] E:\Programme\Tools\Kalender\bitwerk\Terminkalender\Terminkalender.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [TomTomHOME.exe] "E:\Programme\Tools\TOMTOM home\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Programme\Tools\nokia\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Tools\Adobe Acrobat Reader\Programm\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=h++p://www.lenovo.com/de/de
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h++p://www.burj-al-arab.com/flashcab/ipix/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146586819194
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - h++p://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h++p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F4DE277-C8CE-49D0-B82F-D8C6714B8B56}: NameServer = 192.168.178.2,192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - E:\Programme\Tools\PC-Anywhere\awhost32.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TomTomHOMEService - TomTom - E:\Programme\Tools\TOMTOM home\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

--
End of file - 12286 bytes

Ich konnte dank USB-Stick nach einigen Versuchen auch GMER installieren. Das Logfile hab ich auch, es hat aber 117 kB, deshalb habe ich es mal hierhin gelegt.

Was nicht funktioniert, ist MalwareBytes Anti-Malware durchlaufen zu lassen. Das Programm schließt sich nach wenigen Sekunden (so es sich denn überhaupt öffnen lässt). Hab ich noch nicht erlebt, sowas. Benötige Eure Hilfe. Danke.

Hallo,
erstell bitte Logfiles mit RSIT und OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Die Logfiles kannst Du auch wieder beim techdeopt hinterlegen wenn Du willst. Oder bei file-upload.net hochladen und hier verlinken.

Gerne, hier OTL1:
otl.txt

OTL2: Extras.txt

RSIT1:
RSIT-info

RSIT2:
RSIT-log.txt

Gruß,
wechselbalg

Macht es evtl. Sinn, die Festplatte auszubauen, als externe an den Zweitrechner dran zu stöpseln und dort irgendwelche Tests durchlaufen lasse?

Sorry, hab Deinen Strang übersehen - ich behandel hier auch noch andere Fälle. Ich seh mir Deine Logs mal eben an. :o

Code:

O27 - HKLM IFEO\userinit.exe: Debugger - pxkuzuwjb.exe

Der einzige Eintrag der mir auffiel. War aber nur in einem der OTL-Logs zu sehen.

Fragen:

Existiert bei Dir die Datei pxkuzuwjb.exe ? Steht leider kein Pfad da, versuch die mal über die Windows-Suche ausfindig zu machen. Geschützte Systemdateien und versteckte Dateien dabei berücksichtigen
Wenn die Datei existent ist, kannst Du die bitte bei Virustotal.com auswerten lassen und hier den Ergebnislink posten?

Hi Arne,

jau, die Datei existiert in C:/windows/system32/
Sie ließ sich nur im abgesicherten Modus kopieren.
Die Dateiinfo im Windows-Explorer sagt:
"Find String (grep) Utility, die Datei hat 45 kB und sagt, dass sie vom 14.04.08 stamme.

virustotal sagt:

Zitat:

Die Datei wurde bereits analysiert:
MD5: add40079df2012dbd77b90288678b75c
First received: 2009.11.18 16:02:02 UTC
Datum 2009.11.18 21:22:50 UTC [>10D]
Ergebnisse 3/40
Permalink: analisis/a6b209bcf0838031e95fc2c04ea456f161d275d12214a9b2d444b54c60a54ba6-1258579370

hier der Link zur virustotal Ergebnisseite

Sieht so aus, als hast Du ein gutes Gespür gehabt, mehrere Virenscanner schlagen an:

Comodo 3070 2009.11.28 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.11.28 Trojan.Siggen.26748
McAfee+Artemis 5816 2009.11.28 Artemis!ADD40079DF20
NOD32 4645 2009.11.28 a variant of Win32/Kryptik.BBM
Prevx 3.0 2009.11.28 Medium Risk Malware
Sophos 4.48.0 2009.11.28 Mal/FakeAV-BT

Was mache ich da jetzt am besten?

Danke Dir.

Lad die Datei mal bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Danach den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

c:\windows\system32\pxkuzuwjb.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Mach anschließend ein Filelisting mit diesem script:

Script herunterladen, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hui, es gibt Interessantes zu berichten:
Avenger ließ sich problemlos aufspielen. Ich habe die Codezeilen allerdings nicht kopiert, sondern abgetippt, da nur noch der Zweitrechner ins Internet darf. Avenger startet den Rechner neu, bei IBM kommt dann die Authentifizierung mit Fingerprint, dann kommt "Benutzereinstellungen werden geladen", dann sofort die Meldung "Abmeldung", wie man es vom Benutzerwechsel kennt, dann "Benutzereinstellungen werden gespeichert", und dann fordert mich der Rechner wieder auf, den Finger über den Sensor zu führen (das IBM-Gegenstück zur Anmeldung bei Windows).

Bin also beim normalen Start in einer Endlosschleife gefangen. Gut, ich probiere es mal im Abgesicherten:
Windows-Anmeldung...
Benutzereinstellungen werden geladen...
Abmeldung.
... dann passiert lange nix.
-> Drücken Sie Strg+Alt+Entf, um sich anzumelden.
Scheiße. Ebenfalls Endlosschleife. Nur ohne Fingerprint-Treiber.

Den Avenger kannte unser Freund wohl schon. Schiedsrichter vermeldet: Die Partie endete Remis, und ich muss jetzt wohl ohne Windows auskommen.

Kann folgendes anbieten:
-Abgesicherter Modus mit Eingabeaufforderung (müsste wohl noch gehen, hab ich aber nicht probiert)
-Anmelden als anderer Benutzer. Glaube, ich kann mich noch als "Administrator" anmelden. Vorher war ich Benutzer "Admin" (beide haben Admin-Rechte)

Gruß,
Wechselbalg

PS1: Den Trojaner habe ich Euch hochgeladen.
PS2: Xenu's Link Sleuth wars nicht, habe den Programmierer kontaktiert. Er sagt, das Programm im Downloadbereich seines Server ist noch genau so, wie er es da hingetan habe. Und er verbreite keine Malware. Glaube ich ihm.

Deine Antwort wirft ein paar Fragen auf.

Zitat:

Den Avenger kannte unser Freund wohl schon.

Du darfst Dir den Avenger nicht als "Virenscanner" oder sowas in der Art vorstellen. Das Tool ist einfach nur ein erweiterter Löschapparat wenn man so will, er untersucht keine Dateien sondern arbeitet einfach das Script ab. Ok, der Avenger kann auch noch noch Rootkits scannen, er kann aber in dem Sinn keine Viren erkennen.

Zitat:

-Anmelden als anderer Benutzer.

Ist das jetzt nur eine Vermutung oder hast Du es ausprobiert?

Zitat:

PS2: Xenu's Link Sleuth wars nicht, habe den Programmierer kontaktiert. Er sagt, das Programm im Downloadbereich seines Server ist noch genau so, wie er es da hingetan habe. Und er verbreite keine Malware. Glaube ich ihm.

Wer soll das sein, um welches Programm handelt es sich da? :confused:

ok, habe jetzt auch probiert, mich mit dem User "Administrator" anzumelden. Gleiche Endlosschleife wie bei "Admin".

Xenu ist ein Programm, um eine (in der Regel die eigene) Homepage auf broken links zu scannen. Man kann es seit ewigen Zeiten direkt beim Programmierer runterziehen. Xenu hatte ich letztes Wochenende installiert und es ließ sich anschließend nicht starten. So fiel mir das erste Mal auf, dass was nicht stimmt. Xenu war aber nicht der Übeltäter, sondern nur das erste Opfer.

Aber ich muss etwas beichten: mir ist eben erst eingefallen, dass ich bei meinen Versuchen, Malwarebytes zum Laufen zu bringen, auch MBR vom Desktop aus gestartet hatte. Kanns sein, dass sich evtl. MBR und Avenger nicht vertragen und die Endlosschleife evtl. daher kommt?

Nö, MBR und Avenger vertragen sich. Mir ist da nichts bekannt, dass beim Einsatz dieser beiden Tools es dann zu Endlosschleifen kommt, ich glaube eher das liegt am Löschen der Datei pxkuzuwjb.exe.

Ich hätte da mal ne Idee, besorg Dir mal eine Live-CD (Bart, Knoppix oder PartedMagic) und kopier irgendeine harmlose *.exe-Datei (zB notepad.exe) umbenannt nach
c:\windows\system32\pxkuzuwjb.exe

möglicherweise will der Rechner noch diese pxkuzuwjb.exe starten, weil die aber weg ist, kommt gleich das Abmelden. Von daher will ich mal wissen was passiert, wenn er diese Datei in Form einer umbenannten harmlosen Datei vorfindet ;)

uff - nachdem ich mir eine Dockingstation besorgt habe, konnte ich den Rechner mit alternativem Betriebssystem booten (ist einer ohne CD-ROM. Und die Versuche, ihn mit dem USB-Stick zum Laufen zu bringen, haben schön Zeit gekostet - ohne Resultat, versteht sich...).

Sodele, habe notepad als pxk_sonstwas getarnt und siehe, der Rechner bootet (zu 3/4 jedenfalls), dann geht das Notepad auf und zeigt mir die userinit.exe als Textfile. Der Rechner ist also der felsenfesten Überzeugung, dass diese pxk-virusdatei gebraucht wird und dass userinit.exe mit (oder in?!) diesem Programm geöffnet gehört. Mit unserer Notepad-Fälschung geht das natürlich schief, aber ich sitze vor einem immerhin so weit geladenen Windows, dass ich über Start -> ausführen -> explorer ein betriebsbereites System vor mir habe. Und als wäre nix gewesen, begrüßte mich in dem "von Hand" geladenen Desktop das Logfile vom Avenger. Hier isses:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\pxkuzuwjb.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ja, und wo die Kiste wieder reagiert, komm ich auch problemlos an das gewünschte Listing aus listing8.

Lässt sich evtl. durch einen Registry-Scan feststellen, wo diese pxk-Datei aufgerufen wird?

Ja das lässt sich feststellen. Ist aber ein rel. unbekannter Schlüssel, ganz schön gemein von den Autoren da was hin zu platzieren. Andererseits find ich das echt grässlich in Windows, wie viele verschiedene Möglichkeiten es gibt, Programme systemweit automatisch zu starten :mad:

Der Eintrag war dieser hier:

Code:

O27 - HKLM IFEO\userinit.exe: Debugger - pxkuzuwjb.exe

"Übersetzt" für die Registry sollte das dieser Schlüssel sein:

Code:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Du müsstest dort wahrscheinlich einen Schlüssel (Ordnersymbol) mit dem gleichen Namen der Datei (pxkuzuwjb.exe) finden.
Wahrscheinlicher ist aber, dass da im Schlüssel "userinit.exe" ein Wert namens Debugger mit dem Inhalt 'pxkuzuwjb.exe' existiert. Diesen löschen. Du kannst die Registry doch öffnen oder?