Hartnäckiger Trojaner, aber welcher und wo ?
 

Hallo,

habe gestern mit hijackthis und anderer Software einen Trojaner bekämpft. Welcher weiß ich nicht. Nur so viel ist bekannt: ich hatte unter winnt/system32/ die Dateien d05*.*, atmclk.* und dcomcfg.exe. Die habe ich alle wegbekommen sowie 3 *.tlb Dateien.
Das Icon in der unteren Leiste (roter durchgestrichener Kreis der blinkt) und der Verweis auf eine Internetseite mit Software bezogen auf amitalware ist weg. Doch scheint der Hund noch nicht ganz tot zu sein. AVG meldet ab und zu eine neue Datei die einen Virus beinhaltet. Das Ding schreibt in die winnt/temp/ ab und zu eine Datei mit dem Namen win{Zahl}{Großbuchstabe}.tmp.exe.

Außerdem hatte ich schon einmal die Datei winuqw32.dll entfernt, doch ist diese wieder da.

Gruß Hipp

mOIn hipp,
poste mal so ein Log
http://www.trojaner-board.de/showthread.php?t=17493
halte dich bitte an die Anleitung
MFG

Hallo nochdigger,

wo soll ich den LOG-Inhalt posten ? Hier als Antwort oder in der anderen Rubrik ?

Gruß Hipp

hier.

Außerdem besorgst du dir Smitfraudfix und führst es wie unter dem Unterpunkt Reinigung beschrieben aus. Danach postest du den Inhalt der Datei C:\rapport.txt


Grüße Wildone

Ich poste die Log-files hier unter der hijacker-log-rubrik.

Ich habe jetzt statt AVG das NOD32-Antivieren-Programm installiert. Der Meldet mir immer einen Trojaner. Habe bisher leider das Fenster weggedrückt. Wenn er noch einmal hochkommt, dann werde ich noch mitteilen, um was es sich handelt.

Gruß Hipp

Hallo,
ich habe dir doch gesagt du sollst das Logfile hier posten, mach das jetzt, der andere Thread wird dann in die Mülltonne wandern.
Was du außerdem machen sollst habe ich ebenfalls beschrieben, machen musst du es schon selbst.



Grüße Wildone

Hallo,

NOD32 bringt folgende Meldung:

Datei: h**p://*installare.net/a*412/a*571.php?m=1&b=779&c=3

Threat:
eine Variante von win32/Dialer.OY Troianer

Es sei zwar keine Bedrohung für meinen Computer, aber ich will das Ding weg haben. Ich möchte ein Image von meinem System ziehen, aber eines mit wenn es geht mit weißer Weste.

Aber diese Meldung gefällt mir gar nicht:

BEDROHUNG entdeckt
Datei *:\win*nt\temp\winB0DA.tmp

Threat:
Eine Variante von Win32/Dialer.OY Troianer

Versuch Datei zu erstellen durch *:\Program*me\Mozialla Firefox\firefox.exe. Die Datei wurde in die Quarantäne verschoben. Sie können dieses Fenster schließen...

Und gleich darauf das:

Datei *\Dokumente und ...\***\Lokale Einstell*\Temp\srvlah[1].exe

Auch eine Variante von dem Ding da oben.

Bitte um Hilfe......

Gruß Hipp

Gruß Hipp

Hallo,

poste jetzt hier mein hijackthis-logfile und das Ergebnis von smitfraudfix. Habe gestern schon beide laufen lassen und einiges raus geschmissen.

Bitte um Entschuldigung. Bin noch nue hier und dachte, da es eine eigene Rubrik dafür gibt bekäme ich auf die Nase. Naja, wie man es macht ist es verkehrt. Ich hoffe jetzt ist es ok so ? Oder hab ich noch etwas falsch gemacht ?



======================================
Logfile of HijackThis v1.99.1
Scan saved at 10:40:00, on 10.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\Programme\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\devldr32.exe
C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINNT\system32\SerExt.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
D:\WEB\abyssws.exe
C:\PROGRA~1\MICROS~2\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\WEB\abyssws.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
C:\WINNT\system32\HPZipm12.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Eset\nod32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
D:\Programme\hijackthis\HijackThis.exe

O1 - Hosts: zzz.yyy.xxx.3 HP000D9D02D148
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [AbyssWebServer] D:\WEB\abyssws.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll
O20 - Winlogon Notify: winuqw32 - C:\WINNT\SYSTEM32\winuqw32.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe


=================================================

SmitFraudFix v2.56

Scan done at 10:43:27,46, Sa 10.06.2006
Run from D:\Programme\smitfraudfix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\THOMAS~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Na da bin ich mal gespannt.....

Gruß Hipp

Nachtrag:

Habe NOD32 offiziell gekauft und laufen lassen, habe meine Kerio Firewall auf Vordermann gebracht und habe Spyware-Doctor gekauft und laufen lassen.
Habe die freudige (wenn auch nicht ewig dauernde) Mitteilung, dass das Mist-Ding hin ist. :kloppen::kloppen:
Mein System sieht sauber aus. Trotzdem würde ich mich freuen, wenn mir noch jemand eine Info bezüglich meiner LOGs gibt.

Grüße Hipp :D

Du hast bz.w hattest einen Backdoor in deinem System.

Diesen hier

Hier ein Auszug von Sophos, was das Ding alles kann:

Ersteres kann durch Zweiteres leicht weitere Maleware/Backdoors auf deinen Rechner holen. Zudem könnte der Trojaner bereits Systemdateien umgeschrieben haben, wodurch eine Tür praktisch immer offen steht - Sophos lässt hier gerne einiges aus.

Du magst zwar die offensichtliche Datei entfernt haben, jedoch hat diese ihren Dienst bereits getan. Dein System ist nicht mehr vertrauenwürdig, also nicht mehr in deiner Hand.

Ich kann dir nur raten, dein System komplett platt zu machen und Windows neu zu installieren (nach formatieren).

Am Wichtigsten ist es, das SP2 noch vor dem ersten Kontakt zu mInternet zu installieren (stecker vorm formatieren raus, nach Neustart zum SP2 wieder rein).

Hier gibt es eine sehr gute Anleitung dazu.

mfg,
Markus