Trojaner-Board - Trojaner Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner Problem (https://www.trojaner-board.de/9363-trojaner-problem.html)

Trojaner Problem

Hallo,

ich benutze WinXP und habe seit heute so einige arge Probleme. Bit Defender findet ständig irgendwelche verdächtigen Objekte oder Trojaner (hauptsächlich im Windows/system32 Verzeichnis). Diese werden auch gleich danach gelöscht,
und sind dann auch ständig wieder da. Ich benutze Bitdefender und habe mal
mit HiJackthis gescannt :

Logfile of HijackThis v1.98.2
Scan saved at 20:44:37, on 08.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Aston\aston.exe
C:\PROGRA~1\Aston\XP\internat.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\notepad.exe
C:\Dokumente und Einstellungen\claus910\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6127411
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6127411
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6127411
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=137233
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6127411
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097673940125
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

--------------------------------------------------------------------------
Summary:

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Suspect BehavesLike:Win32.ExplorerHijack
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Deleted
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Infected Win32.Worm.Korgo.K
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Deleted

Scanned files

wie man sieht auch desöfteren im Temporary Internet Files Ordner :-/
Benutze aber hauptsächlich Mozilla Firefox, der eigentlich nicht für den
Offline Mode speichert. Nur ab und zu nehm ich mal den IE falls mal was
nicht korrekt angezeigt wird o.ä.

Habe schon zig Viren / Trojaner Programme getestet, diese Dinger tauchen
immer wieder auf. Kann mir vielleicht jemand erklären wie ich eine Boot CD
erstelle mit Virenscanner drauf ?! Weil während Windows läuft scheints mir
sinnlos zu sein die Dinger zu löschen.

Viiielen Dank schonmal !

Hallo claus910

Also ich hab dei log mal durch die autuauswertung gejagt
hier sind die ergebnisse:
http://www.hijackthis.de/logfiles/94...66d956a78.html
starte deinen pc im abgesicherten modus und fixe alle einträge die als böse angezeigt werden

alle die als unbekannt angezeigt werden solltest du auch fixen es sei denn du kennst das programm.

und du must dein system updaten auf Service Pack 2

wenn du das gemacht hast dann poste hier noch mal nen log.

MFG ZERO

Hallo, claus, wo willst Du jetzt hin? In den thread, oder in Deinen Anderen?
Hier nochmal meine Antwort:
Hi claus,
lade Dir erst mal clearprog runter, setze alle Häkchen und drücke auf löschen.
Dann sind die weg:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Suspect BehavesLike:Win32.ExplorerHijack
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Deleted
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Infected Win32.Worm.Korgo.K
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Deleted

Außerdem hast du jede Menge Schrott drauf, den Du mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen mußt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6127411
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6127411
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6127411
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=137233
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6127411
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

folgende Dateien manuell löschen:
C:\WINDOWS\nsdb\hosts
C:\WINDOWS\System32\xplugin.dll

Danach wieder booten und Systemwiederherstellung wieder aktivieren.

Außerdem: Dein System ist nicht gepatcht, solltest du tun.
Ebenfalls AdAware SE runterladen und laufen lassen.
Danach bitte neues Logfile posten.

wollte mich nur kurz bedanken und werde eure Tips gleich mal testen! Ich melde mich dann morgen mit den Logs!

sry für die späte antwort. Mir hat es gereicht und ich habe inzw. Windows neu installiert. dafür habe ich jetzt ein anderes Problem... wollte SP2 installieren (benutze jetz XP Home) aber bei der Hälfte der Installation bleibt er hängen und ich muss einen Hardware Reset machen. Am Anfang meckert er auch schon rum bei der atapi.sys das er die nicht kopieren kann obwohl sie im richtigen ordner liegt...

Hatte jetzt auch ab und zu das Problem das das I-Net mal 10min ging, danach wurden alle Verbindungen gekappt. Konnte mich auch nicht neu einwählen... erst nach einem Neustart wieder.

Trojaner o.ä. wurden keine gefunden, ich finde das aber schonwieder sehr merkwürdig :/

Vielleicht weiß ja einer Rat.