Trojaner-Board - I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV (https://www.trojaner-board.de/18586-i-net-spinnt-comp-spinnt-trojan-lowzones-trojan-killav.html)

I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV

Hallo!

Ich bin neu hier, hab mir wohl was recht nettes eingefangen und bräucht dringend hilfe... sonst geht bald gar nix mehr.

Also - ich hab XP Professionel, Norton Antivirus und Microsoft AntiSpyware installiert.

Folgende Probleme:
Das Internet geht mittlerweile nur mehr selten nach einem Neustart - soll heißen: die Einstellungen ändern sich ständig. Entweder macht er endlose Wahwiederholungen ohne erfolg, oder die Verbindung steht jedoch sagt er "seite nicht gefunden".
Norton Antivirus muss ich auch immer manuell aktivieren.

Es laufen ne menge seltsamer prozesse von denen ich denke dass sie nicht sein sollten (msmsgs?, ccapp?; b1.exe + 416.exe).

Ich bekomme hin und wieder eine Viruswarnmeldung von norton anti virus: "Norton AntiVirus hat einen Virus auf ihrem Computer gefunden. Objektname C:\Dokumente und Einstellungen... \416[2].exe, Virenname Trojan.KillAV, Aktion: Die datei konnte nicht repariert werden".
Davon allerdings gleich mehrere, datein werden isoliert, können nicht gelöscht werden, und das zeigt er mir für einige datein an (wie schon gesagt 11.exe, b1.exe usw)

Außerdem bin ich beim herumprobiern wie ich die dinger loswerde auf zwei datein in den temporary internet files gestoßen, die sich nicht löschen lassen. (auch nicht im abgesichterten modus!!).
Im temporary internet files ordner:
http://static.windupdates.com/prompts/a376ab73/a776a174.js
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

Diese toolbar ist eine adware die ich ebenfalls nicht loswerde: Adware.Istbar

Bitte helft mir - wie kann ich die Trojaner entfernen?

(Ausführen - regedit hab ich schon versucht - den ordner hklm finde ich aber nicht)

LG Conny
_____________
Anm.
Aktive Links editiert!

LG Cidre
S-Mod TB

Hallo Samtpfoterl,

erstelle zunächst mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es.
Beachte die Hinweise!

Ich hoff ich hab das hingekriegt wie du es wolltest....

Logfile of HijackThis v1.99.1
Scan saved at 17:09:38, on 04.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\crssrs.exe
C:\WINDOWS\System32\crssrs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\11.exe
C:\DOKUME~1\CONNY\LOKALE~1\Temp\b1.exe
C:\DOKUME~1\CONNY\LOKALE~1\Temp\sxe4.tmp
C:\Downloads\Sonstiges\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mausiq.at.tc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mausiq.at.tc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A-Online
R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKLM\..\RunServices: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - HKCU\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKCU\..\Run: [qzkw] C:\PROGRA~1\COMMON~1\qzkw\qzkwm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at/
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {1D9EFA3B-4E85-41A8-9092-14012CD447C9} (NetCamPlayerWeb Control) - ]http://82.135.68.120:1024/img/NetCamPlayerWeb.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - https://java.sun.com/update/1.4.2/jinstall-1_4_2_05-windows-i586.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{152258F2-5AA1-401A-B7E0-873F8316A50F}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE2FB42-E499-4742-8B61-B5724A882786}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Downloads\hp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: MySql - Unknown owner - C:/Downloads/hp/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

LG Conny

Hallo,

beende den Prozess crssrs.exe im Task-Manager (bitte nicht den Prozess csrss.exe beenden!).
Überprüfe dann die Datei C:\WINDOWS\System32\crssrs.exe online bei http://virusscan.jotti.org/de und poste das Ergebnis.

wenn ich zuerst den prozess beende gibt es die datei nicht mehr in windows/system32.... jedenfalls find ich sie nicht. Übrigens hab ich gleich zwei von diesem prozess laufen - irgendwie komisch oder?

Die Dateien sind vorhanden.

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Du kannst auch einfach die Pfade bei "jotti" reinkopieren.

BTW: Wenn du schon dabei bist, verwende bitte den http://www.trojaner-board.de/images/buttons/edit.gif-Button und "entschärfe" die Links so, wie es in der HjT-Anleitung beschrieben ist.

OJE OJE.... das sieht ja ganz toll aus *seufz*

Datei: crssrs.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: YODA, EXPRESSOR

AntiVir Worm/SdBot.85630.2 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.RBot.8E442851 gefunden
ClamAV Keine Viren gefunden
Dr.Web BackDoor.IRC.Sdbot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/SDBot.8BD3-bdr gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden
mks_vir Win32.4 gefunden (mögliche Variante)
NOD32 Keine Viren gefunden
Norman Virus Control W32/Spybot.LFK gefunden
VBA32 Backdoor.Win32.SdBot.gen gefunden

Und wegen den links... ich würd ja gern - aber ich weiß ned wie (in der anleitung hab ich dazu nix gefunden)

Zitat:

Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden

War ja klar :rolleyes:
Setz dein System neu auf und beachte unbedingt diese Anleitung.

Zitat:

Zitat von Samtpfoterl

Und wegen den links... ich würd ja gern - aber ich weiß ned wie (in der anleitung hab ich dazu nix gefunden)

Dann hast du die Anleitung nicht gelesen, denn da steht wortwörtlich:

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!

neu aufsetzen wollt ich ja vermeiden... das letzte mal is nämlich nicht lang her ... aber bleibt mir wohl nix anderes übrig. Gibts keine möglichkeit das loszuwerden? Was mach ich damit ich nicht in ein paar wochen wieder nen trojaner oben hab?

Danke jedenfalls.

Achja, .. das hab ich echt überlesen - allerdings hab ich das mit dem hakerl beim "link automatisch umwandeln" weggeben versucht, wurde aber nicht übernommen.

LG Conny

so.. jetzt hats endlich geklappt

Sichere dein System, so wie es in der Anleitung beschrieben ist, ab und du wirst in Zukunft von Malware verschont bleiben.

BTW: Punkt Nr. 11 ist auch sehr wichtig ;)

hallo

habe auch ein ähnliches problem
sobald ich ins internet steige erhalte ich nach wenigen minuten eine meldung, dass eine datei (re11.reg) mit dem trojan.lowzones!reg infiziert ist. danach wird mein nortonav autoprotect deaktiviert und lässt sich nicht mehr aktivieren, genau dasselbe wie bei meiner e-mailprüfung, die ausgeschaltet ist.
nach dieser meldung erscheinen dann auch immer dateien, wie eine windows.exe im rar-format und einige dateien wie hiderunpexed.exe und dergleichen

habe zwar versucht mittels xoftspy den wurm zu löschen, er kommt allerdings immer wieder, obwohl erfolgreich entfernt worden ist.

kann mir bitte jemand helfen? ich weiß mir keinen rat

danke,
majandrah