Trojaner-Board - malware (reste) auf dem pc?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - malware (reste) auf dem pc? (https://www.trojaner-board.de/94352-malware-reste-pc.html)

malware (reste) auf dem pc?

hallo erstmal. als erstes wünsch ich euch einen guten rutsch ins neue jahr! :taenzer:

also, auf verdacht, dass ich ein bisschen malware auf meinem rechner habe fing ich an zu googeln und bin auch öfters mal auf diese tolle seite gestoßen.
hab mir dann die ein oder anderen ratschläge durchgelesen und die auch mal befolgt.
das wären alle temporären dateien löschen, mit dem cleaner etwas aufräumen (diverse registryeinträge gelöscht...auch von malware), eScan mal checken lassen (wurden auch ich meine 2 sachen gefunden - und gelöscht) und ad aware ist auch mal durchgelaufen und hat 4 schädlinge gefunden.

dann hab ich mal den pc im abgesicherten modus gestartet und gescannt (und nichts gefunden), nochmal normal gebootet und plötzlich tauchte ein mir unbekannter blooscreen auf (es stand irgendetwas mit boot auf dem bildschirm), der mir aber seeeehr gefaked aussah -> schnell den ausknopf gedrückt, damit nicht irgendwelche reste sich wieder verbreiten und abgesichert neugestartet, gescant...nichts gefunden. normal gestartet und dann ging über den windowskram wlan plötzlich gar nicht mehr - er hat keine netzwerke gefunden! komischerweise der dlink treiber schon :wtf:
das ganze ging dann so ein bisschen hin und her und jetzt läuft es wieder stabil.
allerdings verbraucht jetzt explorer.exe und hin und wieder der svchost.exe mehr speicher.
auch kommt beim systemstart andauernd die rundll32.exe (mal unter benutzername SYSTEM und mal unter meinem) und will mir verkaufen, dass es ein problem mit ded sci/raid controller (stimmt das so?) festgestellt hat.
das problem ist schon länger da, seit ich ein nicht mehr funktionierendes dvd-laufwerk ausgebaut habe, allerdings befürchte ich, dass es auch was infiziertes ist.

jetzt hab ich das ganze mal mit hijackthis gescannt...vllt findet ihr noch irgendwas - ich wär euch sehr dankbar!

her der log:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:56:55, on 31.12.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 SP2 (7.00.6000.16441)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\Mozilla Firefox 2\firefox.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtblfs.exe

C:\Dokumente und Einstellungen\*benutzername*\Eigene Dateien\Downloads\HiJackThis204(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141428415814

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CS2\Services\Tcpip\..\{02F8DDE2-D88A-4CC5-9F40-852F5E2C6F27}: NameServer = 192.168.2.1

O20 - AppInit_DLLs: wbsys.dll,C:\DOKUME~1\ALLUSE~1\AVP11\mzvkbd3.dll,C:\DOKUME~1\ALLUSE~1\AVP11\kloehk.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
 

--

End of file - 5372 bytes

--- --- ---

jetzt bin ich mal gespannt.

und feiert gut! :taenzer:

gruß 3rNy

edit: ganz vergessen....spybot S&D lief auch durch und hat manches gefunden & entfernt!

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Dein System ist nicht mehr aktuell. Unbedingt SP3 und weitere Windowsupdates installieren.

Ausserdem poste die Logfiles der Funde von Spybot, Adadaware und escan.

Anschließend Malwarebytes laden wie im Unterforum Anleitungen beschrieben. Poste das Logfile.

ok, ich werd dann mal updaten!

der adaware scan war nicht komplett durchgelaufen (das werd ich über nacht mal nachholen und das vollständige logfile posten).

heute nacht lief kaspersky mal komplett durch, hat aber nichts gefunden...:wtf:

hier erstmal die funde von adaware, allerdings hab ich die in quarantäne jetzt auch mal gelöscht:

Removed items:
Description: c:\dokumente und einstellungen\das_killer_p\desktop\vty-ssoc.rar::xr_3da.exe Family Name: Win32.TrojanProxy.Horst Engine: 1 Clean status: Success Item ID: 0 Family ID: 1408 MD5: 6237FD424477FF41F47010FDFDF08EE5
Description: c:\dokumente und einstellungen\das_killer_p\eigene dateien\downloads\htd-slkp.rar::xr_3da.exe Family Name: Win32.Trojan.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 936 MD5: A7018EC2FBCB7A07B8CD45C9796893C4

Quarantined items:
Description: c:\dokumente und einstellungen\das_killer_p\desktop\diverses\ws_ftp pro v9.0.exe Family Name: Win32.TrojanSpy.Banker Engine: 1 Clean status: Success Item ID: 0 Family ID: 1058 MD5: 5962fdf0e0450f6f5c094e4cb2f21f81
Description: c:\programme\messenger plus! live\scripts\sendto\_sendfile.exe Family Name: Trojan.Win32.Packer.UPX-ScramblerRCv1.x (ep) Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: e994660d1b2dd323f6b71c4739cdaa4c

den "messenger plus!" hab ich jetzt ganz deinstalliert.

von spybot hab ich kein logfile bekommen (zumindest nicht, dass ich wüsste):wtf:
nur irgendein pw geschütztes recoveryfile, was mir beim scan mit kaspersky auf die nerven ging.

den rest schicke ich nach!

Die Funde sehen für mich eher nach Fehlalarmen aus.
xr_3da.exe (Stalker Patch)
ws_ftp pro v9.0.exe (sieht nach seriöser Software aus)
http://www.chip.de/downloads/WS_FTP-..._12999121.html

Hast du dir den Patch von Stalker runterladen? Wenn ja, woher?

ja den hatte ich mal für einen freund geladen, der keinen internetanschluss hat.
hab wohl vergessen den von meiner platte zu löschen :stirn:
die quelle weiss ich allerdings nicht mehr, meine aber es wäre eine größere gamer seite gewesen wie "4 players".

das ftp programm brauch ich eh nicht mehr - von daher so oder so nichts verloren! ;)

aber diese rundll32.exe nervt echt. hatte da einen fehler im startpost gemacht. die ist vom bzw für den "scsi/raid host controller". wundert mich halt sehr, dass die gerne mal den benutzernamen nach belieben wechselt.
wenigstens ist seit dem kaspersky scan die speicherauslastung wieder im normalen bereich - wieso auch immer. :confused:

ist es eig. normal, dass svchost.exe über port 135 ins netz geht? ist meines wissen nach doch ein von RATs bevorzugter port oder irre ich?

spybot lief jetzt gerade nochmal durch, hat aber absolut nichts gefunden.

rest folgt.

svchost.exe ist lediglich ein allgemeine Windows Systemdatei die durch dll ausgeführt wird. Dahinter kann auch ein reguläres Programm stecken. Sperre mal den Port 135 und schaue ob irgendeine Software nicht mehr funktioniert.

Malwarebytes ausführen, wie ich dir geschrieben hatte.

ja, dass svchost.exe ganz normal sein kann weiss ich auch, aber der port hat sich im negativen zusammenhang mal im kopf gespeichert.
jetzt weiss ich nur nicht wie ich den port schließen soll. weder bei der fritzbox noch bei kaspersky hab ich eine einstellung finden können einen speziellen port zu schließen.
soll ich dafür extra ein programm installieren? wenn ja, welches kannst du empfehlen.

hab malwarebytes auch mal im "schnellen" scan durchlaufen lassen...puh....der hat ordentlich was gefunden!

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5435
 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180
 

01.01.2011 16:47:35

mbam-log-2011-01-01 (16-47-16).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 249435

Laufzeit: 1 Stunde(n), 3 Minute(n), 11 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 5

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 9

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B} (Adware.Adrotator) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{E0EC6FBA-F009-3535-95D6-B6390DB27DA1} (Adware.EZlife) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BA40A1-74F2-52BD-F411-04B15A2C8953} (Trojan.Ertfor) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
 

Infizierte Verzeichnisse:

c:\dokumente und einstellungen\administrator.*benutzername*\anwendungsdaten\Dealio (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\administrator.*benutzername*\anwendungsdaten\Dealio\res (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\administrator.*benutzername*\anwendungsdaten\Dealio\temp (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\res (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\temp (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\res (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\temp (PUP.Dealio) -> No action taken.
 

Infizierte Dateien:

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.

c:\dokumente und einstellungen\all users\anwendungsdaten\sysreserve.ini (Malware.Trace) -> No action taken.

c:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken.

c:\dokumente und einstellungen\administrator.*benutzername*\anwendungsdaten\Dealio\temp\wtff-14704.log (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\temp\wtff-14622.log (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\res\widgets.xml (PUP.Dealio) -> No action taken.

c:\dokumente und einstellungen\*benutzername*\anwendungsdaten\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml (PUP.Dealio) -> No action taken.

entferne das gerade einfach mal mmit malwarebytes.
dachte mir, dass es u.u. sinnvoll das SP3 erst zu installieren, wenn alles sauber ist! nicht, dass es noch zu komplikationen kommt.
oder soll ich das trotzdem einfach installieren?

so, hab malwarebytes nochmal im abgesicherten modus komplett scannen lassen.
einen vorteil hat das ganze ja: bei der ganzen scannerei kommt man nochmal dazu zu lesen :applaus: und langsam versteh ich auch die logfiles ein wenig!

naja, hier mal das logfile (allerdings sind die funde mittlerweile alle neutralisiert):

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5435
 

Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 6.0.2900.2180
 

01.01.2011 18:45:24

mbam-log-2011-01-01 (18-45-13) die zweite.txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 510271

Laufzeit: 1 Stunde(n), 23 Minute(n), 41 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\programme\mozilla firefox 2\extensions\search@searchsettings.com\components\searchsettingsff.dll (PUP.Dealio) -> No action taken.

c:\programme\mozilla firefox 2\extensions\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c}\components\dealiotoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

c:\programme\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.

c:\programme\search settings\kb128\searchsettings.dll (PUP.Dealio) -> No action taken.

c:\programme\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.

c:\programme\smart projects\isobuster\patch.exe (Malware.NSPack) -> No action taken.

c:\WINDOOF\system32\Ri.ocx (Trojan.Agent) -> No action taken.

Komplett Scan im normalen Modus ist ausreichend. Die Funde hättest du mit Auswahl entfernen, beseitigen sollen. Bitte nochmals ausführen und Funde entfernen. Anschließend nochmals Logfile posten.

ok, ich dachte im abgesicherten könnte nicht schaden.
ich hab die dinger auch mit malwarebytes entfernt, nur hab ich das logfile als erstes erstellen lassen, damit das schonmal sicher ist.
über nacht lief mal ad aware komplett durch und hat noch einiges gefunden und auch entfernt.
nur gibts von dem scan komischer weise kein logfile! :wtf:

sp3 und diverse sicherheitupdates sind installiert und jetzt läuft das system wieder stabil. nur das problem mit der rundll32.exe (scsi/raid host controller) ist noch da.

malwarebytes starte ich jetzt nochmal komplett.