Trojaner-Board - Wer kennt das und weiß wie man es wieder los wird ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wer kennt das und weiß wie man es wieder los wird ? (https://www.trojaner-board.de/23953-kennt-weiss-man-los.html)

Wer kennt das und weiß wie man es wieder los wird ?

Hallo,
habe seit heute diesen Plagegeist am Hals und weiß nicht, wie ich den wieder loswerde. Ad-aware, SpyBot und AntiVir helfen nicht bzw. finden nichts.
Auch in den üblichen Windows StartUps steht nichts. Trotzdem aktiviert sich dieses Ungetüm bei jedem Windows (XP) Start.
Sieht so aus als ob sich diese Anwwendung über irgendwelche Registry-Einträge generiert, startet und anschließend wieder von der Platte löscht.
Hier ein Screenshot:

http://www.netbucks.de/adspam.jpg

Hat jemand eine Idee ?

Danke, dm924

hallo,

bitte mal ein HJT logfile posten.

gruß

Hallo,
danke für die schnelle Reaktion. Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:44, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Crazy Browser\Crazy Browser.exe
D:\Downloads\2005-08-17\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D410A84-BD57-43F9-8D93-B8819D212B77}: NameServer = 85.255.115.62,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76DB540-EE2D-4EFE-A50E-58C444AB3668}: NameServer = 85.255.115.62,85.255.112.71
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe

Hallo,

tja im moment seh ich direkt nix...
ich muss nun mal genauer gucken...
aber mal warten wer sich noch so meldet...
lieber ne meinung mehr als zu wenig...

gruß

hallo,
die beiden O17-Einträge fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D410A84-BD57-43F9-8D93-B8819D212B77}: NameServer = 85.255.115.62,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76DB540-EE2D-4EFE-A50E-58C444AB3668}: NameServer = 85.255.115.62,85.255.112.71
ist ein ukrainischer Server....
cacatoa

Hallo,
habe die beiden Einträge entfernt, hilft aber nichts. Kommt nach wie vor.
Hier nochmal mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 08:52:43, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
D:\Downloads\2005-08-17\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe

Trotzdem danke.

Morgen,

ich habe genau das gleiche Problem und weiß langsam nicht mehr weiter!!

Hier das HJT-Logfile:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\twain_32\PUSH650C.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Werner\LOKALE~1\Temp\Rar$EX00.093\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eukv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eukv.com
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: PUSH650C.lnk = C:\WINDOWS\twain_32\PUSH650C.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{2568625C-38DB-42C7-903A-A24E22CBC097}: NameServer = 85.255.113.110,85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB369722-4915-4D04-996D-A014B602B6BB}: NameServer = 85.255.113.110,85.255.112.105
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: fsbwsys - Unknown owner - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Habe das Log bei hijackthis.de durchschaun lassen... die Auswertung zeigt mir aber nichts böses an!!

Hoffe das noch jemand eine Idee hat!

Habe da auch noch ein zweites Problem:

Wenn ich im IE auf Google gehe und dort etwas suche dann findet er ganz normal viele Ergebnisse. Wenn ich nun aber auf einen gefundenen Link klicke kommt etwas komplett anderes wie z.B. ebay mit dem Suchbegriff von Google... Das Problem besteht im Firefox z.B. net!!

mfg

tobbe

[edit]
werbung nur mit vorheriger genehmigung :kloppen:
[/edit]

Habe genau dasselbe Problem, mit jedem Systemstart ist diese Leiste wieder da und kein Scanner konnte sie entfernen. Falls jemand rausbekommt wie man das Teil entfernt, wäre ich sehr dankbar wenn er es postet, falls ichs rausbekomme poste ich natürlich auch :)

Hi,
nachdem ich den ganzen Mittag an dem Mist hing hab ich es hiermit wegbekommen, nachdem ich die gefundenen Dateien Renamed habe.
http://www.europe.f-secure.com/exclude/blacklight/index.shtml

Hi,

super ! Klappt tatsächlich. Endlich bin ich diesen Wahnsinn los !

Vielen Dank auch !

:bussi:

Hallo,
also ich möchte eure Euphorie ja nicht bremsen, aber bei Rootkitbefall empfehle ich das System neu aufzusetzen. Ein Rootkit frisst sich so tief ins System das ist nicht mehr beseitigbar. Hier ist ein super Artikel zum Thema Rootkit, ist für euch aber wohl zu technisch. Also hier eine Anleitung wie ihr beim Neuaufsetzen vorgehen solltet.

Grüße Wildone

Zitat:

Zitat von easy17

Ich habe das Programm Spy Axe gekauft, laufen gelassen und bin alle meine Computerprobleme die erst durch Spy Axe geschaffen worden waren losgeworden.

Na, merkst du was? Das ist wirklich das Dümmste was man machen kann. :headbang:
Genau darauf warten diese Verbrecher doch. Das ist so als ob du einem Einbrecher, der munter in deiner Wohnung herumwühlt noch extra Geld zahlst, damit er später wieder aufräumt (mir ist auf die Schnelle kein bessserer Vergleich eingefallen :o ).
Also meine Bitte an die andere Betroffenen: Kauft das Programm auf keinen Fall!

Jup auch bei meinem Kunden ist es weg!! Kann mir aber mal jemand sagen wo, wie man sich den Mist eingefangen hat?? :koch:

Klar wäre es bei dem Rootkit immer besser das System neu aufzusetzen aber das is nunmal sone Sache :) Mein Kunde hat da soviele Progs etc. drauf das es ca. 5-6h dauert das alles wieder ans laufen zu bekommen...

Weiß auch net warum der sich schon wieder was eingefangen hat... hat eigentlich soweit alle Schutzmaßnahmen aktuell... naja shit happens :blabla:

Danke nochmal :crazy:

mfg tobbe