Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner in Massen (https://www.trojaner-board.de/20658-trojaner-massen.html)

paniklady 10.08.2005 13:10
Trojaner in Massen
 
Hallo @ all,

es hat den Anschein als hätte ich ein riesiges Trojanernest auf meiner Festplatte sitzen.
Bemerkt habe ich es erstmals als mein Internet-Explorer die Seite about:blank aufrufen wollte. Dachte ich kriege das vielleicht auf die Reihe und habe mich hier durch Forum gelesen. Doch leider habe ich es nicht geschafft :mad: In regedit habe ich die Startseite auf meine alte geändert, doch mittlerweile ist der Explorer verändert (die Google Ansicht ist verschwunden - keine Ahnung wie) und die Startseite interessiert ihn auch nicht.
Escan hat mich nicht weiter gebracht. Spy Sweeper zeigt mir aktuell folgende Meldungen:
atlfy.exe - Analayse unbekannt
javand32. exe - ...
ippm.exe - ...
ieja.exe - ...
iexd.exe - ...
ipcon32.exe - ...
ntwg32.exe - ...
atlbc32.exe - ...
sdkwo.exe - ...
netza.exe - ...
crppre.exe - ...
ipig32.exe - ...
netod32.exe - ...
addzt32.exe - ...
Alle mit Analyse unbekannt.

Werde noch total irre.

Hier mein Log von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:53:47, on 10.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\locator.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\atlfx.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\MRZ-ME~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {D4A99041-BBC8-A963-8327-6E17563E936B} - C:\WINDOWS\system32\atlkt32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ipxe.exe] C:\WINDOWS\system32\ipxe.exe
O4 - HKLM\..\Run: [atles.exe] C:\WINDOWS\system32\atles.exe
O4 - HKLM\..\Run: [ntxn.exe] C:\WINDOWS\system32\ntxn.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [atlfx.exe] C:\WINDOWS\system32\atlfx.exe
O4 - HKLM\..\RunOnce: [javaud32.exe] C:\WINDOWS\javaud32.exe
O4 - HKLM\..\RunOnce: [ippm.exe] C:\WINDOWS\system32\ippm.exe
O4 - HKLM\..\RunOnce: [ieja32.exe] C:\WINDOWS\system32\ieja32.exe
O4 - HKLM\..\RunOnce: [iexq.exe] C:\WINDOWS\iexq.exe
O4 - HKLM\..\RunOnce: [ipcn32.exe] C:\WINDOWS\system32\ipcn32.exe
O4 - HKLM\..\RunOnce: [ntwg32.exe] C:\WINDOWS\ntwg32.exe
O4 - HKLM\..\RunOnce: [atlbc32.exe] C:\WINDOWS\atlbc32.exe
O4 - HKLM\..\RunOnce: [sdkwo.exe] C:\WINDOWS\system32\sdkwo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appmi32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Bitte sagt jetzt nicht dass ich neu aufsetzen soll !!! Habe soviiiiiiiiel drauf.
Bin nicht weiter erfahren :-(

Ach eins noch:
Das Sicherheitstool von Microsoft konnte ich nicht runterladen. Hat mich immer wieder auf so eine absurde Seite weitergeleitet.
Das selbe bei T-Online. Musste den Popupblocker deaktivieren. Dann hat er mir about:blank aufgerufen, und nach längerem Downloaden hat er dann die aufgerufenen Seite gezeigt.
Wenn ich vorher bei T-Online e-mail aufgerufen hatte ging das ohne dass ich den Popupblocker deaktievieren musste.

Vielen Dank für eure Hilfe.

heli2005 10.08.2005 18:00
wird wohl dieser sein Trojan.Win32.Agent.BI
ist leider ein Backdoor,das heisst neu aufsetzen
www.trojaner-board.de/showthread.php?t=12154

Wormbo18 10.08.2005 23:59
Du hast da ein Problem. Na ja, mehrere.

C:\WINDOWS\system32\atlfx.exe
C:\WINDOWS\system32\atlkt32.dll
C:\WINDOWS\system32\ipxe.exe
C:\WINDOWS\system32\atles.exe
C:\WINDOWS\system32\ntxn.exe
C:\WINDOWS\system32\atlfx.exe
C:\WINDOWS\system32\ippm.exe
C:\WINDOWS\system32\ieja32.exe
C:\WINDOWS\system32\ipcn32.exe
C:\WINDOWS\javaud32.exe
C:\WINDOWS\iexq.exe
C:\WINDOWS\ntwg32.exe
C:\WINDOWS\atlbc32.exe

C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe

Die oberen halte ich für gefährlich.
Den in der Mitte, vielleicht.
Die unteren, keine Ahnung. Überprüf es mit AntiVir, oder einem anderen aktuellem Prog.

Führe auf jeden Fall eine Datensicherung von deinen Daten aus. Ich weiß ja nicht ob das System danach noch läuft, und Haftung übernehm ich auch nicht.

DRUCKE NACHFOLGENDES AUS DAMIT DU ES ZUR HAND HAST:

Lege deine XP CD ein und starte Windows neu. Lasse von der CD booten.
Starte die Wiederherstellungskonsole von Microsoft mit der "R-Taste". Sollte da aber auch stehen.
Melde dich im System an, mit "1" und "Enter". Passwort: Einfach "Enter" drücken. Normalerweise!!!

Jetzt steht da c:\windows tippe jetzt nachfolgendes:
(Nach jedem Absatz mit ENTER bestätigen)
delete javaud32.exe
delete iexq.exe
delete ntwg32.exe
delete atlbc32.exe

Die ersten 4 sind hoffentlich weg. Jetzt wollen wir in den ordner c:\windows\system32
tippe ein:

cd system32
delete atlfx.exe
delete atlkt32.dll
delete ipxe.exe
delete atles.exe
delete ntxn.exe
delete atlfx.exe
delete ippm.exe
delete ieja32.exe
delete ipcn32.exe

exit

jetzt wird windows neu gestartet, die cd kann raus.
überprüfe dein system, mit einem antivirus. und schicke nochmal die Logfile von HiJack!

Hast du noch fragen, dann frag!

Haui45 11.08.2005 00:11
Ich frage noch mal: Wie stellst du die Integrität des Systems wieder her?

@paniklady
Setz' das System nach der bereits geposteten Anleitung neu auf, alles andere ist Blödsinn und führt zu nichts.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131