Trojaner-Board - Trojaner, Hijacker und andere...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner, Hijacker und andere... (https://www.trojaner-board.de/25124-trojaner-hijacker-andere.html)

Trojaner, Hijacker und andere...

Hallo Leute,
ich hatte mir gestern nacht durch einen falschen Klick einen Haufen Probleme eingehandelt.
Startseite war plötzlich eine dubiose "systemwarning.com", mein Scanner(KAV5.0) fand mehrere Trojaner auf meinem Rechner.
Trojan-Downloader Win32.Agent.acd
Trojan-Downloader Win32.Zlob.dn
Trojan-Dropper Win32.Small.akg
Auch der Scanner dürfte beschädigt worden sein, da er plötzlich seine Aufgaben nur noch fehlerhaft ausführte, ebenso die Downloads der Datenbanken.
Laut Log wurden in
C:\Windows\system32\1024\
folgende von Win32.Zlob.da infizierte Dateien gefunden:
ld9BC4.tmp
ldA6A0.tmp
ldDE40.tmp
Ein Löschen der Dateien war nicht möglich, da er diese angeblich nicht gefunden hat.
Ebenso wurde in
C:\Windows\system32\
folgende von Hoax.Win32.Renos.ak infizierte Datei gefunden und gelöscht.
wbeconm.dll
Wird die für irgendwas benötigt, oder handelt es sich dabei um einen Trojaner???
Weiters wurden zu einem späteren Zeitpunkt folgende von Win32.Zlob.do infizierte Dateien gefunden und gelöscht:
C:\Windows\system32\mssearchnet.exe
mssearchnet.exe\mssearchnet.exe
C:\Windows\system32\msvol.tlb
Ist eine dieser Dateien für den Rechnerbetrieb erforderlich und muß ich diese ersetzen?
Seitdem die ersten temporären Dateien gelöscht wurden, scheint der Virenscanner wieder ordentlich zu funktionieren, zumindestschließt er laut Protokoll seine Aufgaben wieder erfolgreich ab.
Zur Zeit läuft ein weiterer Systemcheck, der aber bis dato nichts ans Tageslicht geebracht hat.
Die Startseite wurde wiederhergestellt, das Addon, welches auf die dubiose Seite führte, habe ich gefunden und nach mehreren Versuchen* erfolgreich gelöscht.
*mehrtere Versuche deshalb, da sich die temporäre Datei zuerst gar nicht löschen lies und sich bei weiteren Versuchen selbst reproduzierte und sich in einen anderen Ordner hineinschrieb.
Erst, als ich den Dateinamen veränderte und den Eintrag aus der Registry gelöscht habe, ließ sich dieses Objekt von meinem Rechner entfernen.
In der Browserinternen AddOn-Verwaltung wird es aber nach wie vor aufgeführt, deaktiviert.
Das AddOn nannte sich HomepageBHO und der Dateiname war/ist hp78de.tmp.
Kann mir da ein Profi Tips zur Systemwiederherstellung und sicheren Wiederinbetriebnahme geben?
Danke
Kurt

Hallo,
diese Dateien werden nicht für den Rechnerbetrieb benötigt.
C:\Windows\system32\mssearchnet.exe
mssearchnet.exe\mssearchnet.exe
C:\Windows\system32\msvol.tlb

Könntest du evtl. noch ein HJT logfile posten?

Klar, hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 00:19:11, on 31.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\borland\interbase\bin\ibguard.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\borland\interbase\bin\ibserver.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Programme\CAO-Faktura\cao_faktura.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

Den Prozess C:\WINDOWS\system32\nvctrl.exe habe ich inzwischen beendet und umbenannt und danach gelöscht.
Gleichzeitig hab ich das Teil an KAV geschickt, da es, im Gegensatz zu HiJackThis nicht als Trojaner identifiziert wird.

Gruß

Kurt

[edit]
links entfernt
[/edit]

Fixe diesen Eintrag:
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing)

Ausser der nvctrl.exe kann ich nichts finden.
Läuft dein Rechner denn wieder normal bzw. schmeißt dein AVP noch Meldungen?

Den Eintrag der BHO hab ich inzwischen gelöscht, wie die nvctrl.exe.
Über die Dateisuche hab ich auch noch den Eintrag im Recent-Ordner gelöscht, ebenso den Eintrag: NVCTRL.EXE-325F48B7.pf

Ansonst läuft mein System wieder normal, auch KAV zeigt zur Zeit keine anormalen Verhaltensweisen.
Ob das nach dem Neustart so bleibt, hoffe ich einfach mal.
Sicherheitshalber hab ich mir die von euch empfohlenen Tool Adaware, cwshredder und spybot runtergeladen und installier mir die mal.
Als nächste Sicherheitsmaßnahme fliegt der IE in hohem Bogen raus. *hmpf*
Ich hoffe, das wars dann erst mal.

Gruß und danke
Kurt

:daumenhoc
Dann hoffen wir mal das es dabei bleibt

Naja, ich hab auch die Registry noch manuell anhand dieser Anleitung http://www.sophos.de/virusinfo/analyses/trojzlobbc.html durchforstet und bereinigt, da regCleaner nicht alles gefunden hatte.
Die Explorer.exe werde ich von einem anderen Rechner kopieren und die bestehende damit überschreiben.
Damit denke ich, habe ich mein möglichstes getan, wenns dann nicht geht, bleibt mir sowieso nur noch format:\C :o
Trotzdem Danke für die Unterstützung!

Gruß

Kurt

Dann wünsch ich dir mal viel Erfolg dabei.
Und nen guten Rutsch ins neue Jahr.

Jo, vielen Dank, dir auch einen guten Rutsch!

KAV hat heute geantwortet, es war tatsächlich ein neuer Trojaner!

Hello.
Malicious software was found in the attached file.
Trojan.Win32.Agent.il
It's detection was included in the next update.
Please update your base nomore later.
Thank you for your help.
-----------------
Regards, Leonid Khovansky
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky

Attachment: nvctrl.exe

Also, ich hab KAV nun auf die neueste Version geupdated und auch den *.wmf-Patch eingespielt, die Scanoptionen auf die erweiterten Datanbanken eingestellt und einen Scan durchgeführt.
Bei 187.903 Dateien und 928 gescannten Scripts wurde nichts verdächtiges mehr gefunden.
Die Datenbanken wurden natürlich vorher auf den neuesten Stand gebracht.
Auch Spybot und Adaware geben grünes Licht, also nehme ich mal an, daß die Bereinigung gelungen ist, insbesondetre, da seit dem Befall und den Scans eine Reihe von Systemneustarts lagen.

Gruß

Kurt

Dann hoffen wir mal das es dabei bleibt :)
Guten Rutsch ins neue jahr.

Deine Wünsche in Ehren, sie scheinen sich aber nicht zu erfüllen. :balla:
Gestern ließ ich noch einen Onlinescan bei Trendmicro durchführen, wobei ein Trojaner (Trojan SE *****) gefunden und gelöscht wurde.
Gwitzt durch die Vorfälle habe ich dann noch anschließend KAV über die Platte laufen lassen, wobei dieser dann Win32.Zlob.db gefunden hatte, und zwar getarnt mit dem Dateinamen eines Backups:
backup-20051231-001626-767.dll
Hab ich löschen lassen.
Aber nun meine Frage:
Beide Trojaner scheinen nicht aktiv gewesen zu sein, da im HJT-Log keinerlei verdächtige Einträge auftauchten, zumindest sind mir keine aufgefallen.
Der zweite könnte sich auch selbst reproduziert haben, als Trendmicro den ersten löschte, oder?
Hier nochmal ein Auszug aus dem letzgültigen HJT-Log:

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpos...57&postcount=1

danke
GUA
[/edit]

*hmpf*

@GUA:

Als ich es gepostet habe, war es nicht verlinkt.

Logfile of HijackThis v1.99.1
Scan saved at 14:41:16, on 01.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\borland\interbase\bin\ibguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\borland\interbase\bin\ibserver.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://de.trendmicro-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

Noch ein(e) Nachtrag/Frage:
Legt HiJackThis im Ordner "backups" eine Programmbibliothek mit variablem Namen ab?
Hab soeben wieder eine "backup-20051231-164642-724.dll" im Ordner "backups" gefunden, KAV erkennt aber keinen Schadcode.

Gruß

Kurt

hallo,

also deine frage kann ich dir nicht beantworten,aber wenn du willst mach doch mal Hier einen Onlinescan.
und poste mal das ergebniss.

gruß