Trojaner-Board - Trojaner an Board

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner an Board (https://www.trojaner-board.de/30410-trojaner-board.html)

Trojaner an Board

:aplaus:
so...nun habe ich euch gefunden !!!! habe einen netten
kleinen trojaner !!! wie gehe ich am besten vor ???
habe davon nicht sehr viel ahnung!!! es scheint ein
trojaner.win 32.startpage.adh zu sein!!! aber alle
programme zeigen was anderes an..........da komme ich
durcheinander !!

mein PC
winXP.....kaspersky-AV....A2...spybot S&D......ad-aware !!!
kaspersky-antihacker!

vlg Sabine

Hallo,
poste mal ein HijackThis Log wie hier beschrieben.

Grüße Wildone

:daumenhoc
okay............das werde ich dann mal machen!!
danke dir !!! dachte ich mir fast schon....das
muesst ihr erstmal haben!!! aber der ist wahrscheinlich
sehr schwer zu eliminieren .:balla:
danke.......bis spaeter !
vlg Sabine

Hallo,
habe da schon so einen Verdacht was das ist. Und verschone mich bitte mit mehreren Satzzeichen hintereinander, da reagiere ich ganz allergisch drauf. Wenn du das mit dem Log noch in den nächsten fünf Minuten hin bekommst schaue ich es mir gleich an.

Grüße Wildone

danke dir!

bin leider auf arbeit und kann es erst nachmittags machen.
aber dein verdacht interessiert mich schon mal .

vlg Sabine

Zitat:

Zitat von Wildone

sorry. mit den satzzeichen ist eine schlechte angewohnheit.

hier kommt mein HJT
hoffe, habe es richtig gemacht´.

Logfile of HijackThis v1.99.1
Scan saved at 07:46:27, on 07.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\NVATray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINDOWS\twain_32\C6U14K\WATCH.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\SABINE~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [ussshreg] C:\PROGRA~1\ULEADS~1.0\Ussshreg.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Windows & Internet Cleaner Pro] C:\Programme\NeoImagic Computing\Windows & Internet Cleaner Pro\WICleaner.exe /Startup
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [Sbbd] "C:\PROGRA~1\PPPATC~1\mmc.exe" -vt yazb
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} -
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9748797C-E957-4FE5-A2BB-BEC64E4020AD}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: urqpnkl - urqpnkl.dll (file missing)
O20 - Winlogon Notify: wincqt32 - wincqt32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Guten Morgen,

Arbeite mal diese Anleitung ab. Dann erstelle bitte ein neues Log.
Da sind noch einige Sachen in Deinem Log, die mir unbekannt sind und eine Überprüfung wert sind.

Gruß Mellosun

danke dir.
werde ich machen.wieso ist eigentlich der*abgesicherte modus* so
wichtig, das wollte ich immer schon einmal wissen.lerne ja immer gerne
dazu.

vlg Sabine

Weil im abgesicherten Modus nur ein bruchteil von Treibern, Programmen gestartet wird als im Normalen XP Betrieb! Dadurch ist es leichter und einfacher, an XP Einstellungen, böse Software usw. zu ändern bzw. zu entfernen.
Beim normalen XP betrieb, wird einen sehr oft der Zugriff auf bestimmte Datein verwehrt, weil sie in Gebrauch sind und von einem Prozess verwendet werden der im abgesicherten Modus nicht gestartet wird!

Gruß Mellosun

alles klar.........das leuchtet ein. danke !

vlg Sabine

sorry .
habe noch eine frage. bei smitfraudfix gibt es 7 exe´s......muesste ich jede
entpacken?oder nur eine bestimmte?
vlg Sabine

Nachtrag:

Nachdem du die Anleitung abgearbeitet hast:

Lade und Update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html

Lade Dir bitte ewido , Update es und Scanne Dein System damit. Poste danach bitte den Bericht.

Alles weitere folgt dann!

Gruß Mellosun

EDIT:

ZITAT:

sorry .
habe noch eine frage. bei smitfraudfix gibt es 7 exe´s......muesste ich jede
entpacken?oder nur eine bestimmte?
vlg Sabine

schau hier da steht alles.

danke..alles roger...ad-aware und spybot hatte ich und den
ewido gerade geladen! werde mich dann an die arbeit machen.....wird
etwas laenger dauern.

vlg Sabine

Hallo,

unabhänigig davon, dass der Rechner ziemlich "belastet" ist, hast Du einen Backdoor Trojaner auf dem System

Zitat:

O20 - Winlogon Notify: wincqt32 - wincqt32.dll (file missing)

Link, wird nur knapp beschrieben, aber mit all dem anderen würde mir das reichen ein Backup meiner Daten zu machen und den Rechner dann neu aufzuspielen.

Hallo Mellosun :)

Gruß

Schrulli

ach du schreck.........hoert sich uebel an.
okay. da ich laie bin, wie mache ich ein backup ?habe das noch nie machen
muessen.....schwitz.....bin in diesem falle wahrscheinlich selbst schuld...was
man bei solchem ungetier ja meist hat.
soll ich trotzdem die programme alle laufen lassen im abg.modus?oder hat das
keinen sinn mehr?
:teufel1: vlg Sabine

Zitat:

Zitat von Schrulli

Hallo,

unabhänigig davon, dass der Rechner ziemlich "belastet" ist, hast Du einen Backdoor Trojaner auf dem System

Link, wird nur knapp beschrieben, aber mit all dem anderen würde mir das reichen ein Backup meiner Daten zu machen und den Rechner dann neu aufzuspielen.

Hallo Mellosun :)

Gruß

Schrulli

Guten morgen Schrulli

Das hab ich garnet gesehn......oder nicht erkannt als den Backdoor?

@Sabine3355

Wenn du Neuafsetzen tustr, brauchst du die Programme natürlich nicht laufen lassen.
Ein Backup erstellst du. z.b mit True Image von Acronis. Wobei bitte keine ausführbaren Datein gespeichert werden sollen. Am besten nur Dokumente wie Word, Musik oder Fotos.

Eine sehr gute Anleitung zum neuafsetzen findest du in meiner SIG!

Sorry, das ich den Backdoor nicht erkannt habe!

Gruß Mellosun

kein problem............wie sieht es aus mit tools von symantec? da soll es sehr gute
geben zum entfernen .

vlg Sabine

Zitat:

Zitat von Sabine3355

kein problem............wie sieht es aus mit tools von symantec? da soll es sehr gute
geben zum entfernen .
vlg Sabine

Wenn wir hier schon von Neuaufsetzen sprechen, dann sind die Removal-Tools überflüssig. Abgesehen davon können die sowieso nicht funktionieren.
Sichere nur relevante Daten, Dokumente etc. und keine auführbaren Dateien. Ein Imageprogramm eigenet sich da recht schlecht für, da es ja ein Image der kompletten Partition bzw. Festplatte erstellt und somit kein gezieltes Auswählen bestimmter Dateitypen möglich ist.

Was meinst du mit Tools?

Zum Entfernen von Schädlingen?

Das Problem:

Wenn du einen Backdoor Trojaner in Deinem System hast, kannst du diesen zwar entfernen, aber ein Backdoor hat die Fähigkeit, an Deinem System so rumzuschrauben, das Dritte Zugriff auf Deinen Rechner haben.
Sprich:
Hätte ich ( was ich nicht kann ) so einen Backdoor geschrieben, du den auf Deinem System bekommst, dieser von Dir ausgeführt wir, habe ich die möglichkeit, mich in Dein System einzuklinken ohne das du es merkst. Du wirst diese Veränderungen, die der Backdoor gemacht hat, nie zurück verfolgen können und demnach auch nicht Rückgängig machen können.

Wenn ich nun Zugriff auf Deinen Rechner hab, kann ich nicht nur anderen Schädlichen Code bei Dir ausführen, ich kann auch Datein speichern, die Verboten sind ( z.B. Kinderpornografie ) und diese dann über Deinen Rechner weitergeben. Mich würden sie dann nicht dran bekommen, sondern Dich, weil die Datein von Deinem Rechner aus verbreitet wurden.

Dies ist ein schlimmes Beispiel aber daran erkennst du, wie schlimm eigentlich so ein Backdoor ist und nur das Neuaufsetzen eine sichere Lösung ist!

Gruß Mellosun

:teufel2:
alles roger....also neu aufspielen USW.
werde mich mal da reinfinden und es in den naechsten
tage machen, oder machen lassen.ich glaube ,das lasse
ich lieber jemanden machen, der mehr ahnung hat als ich!
das heisst ja auch, ich MUSS alle programme erst auf CD
brennen......denn da habe ich sehr viele.....oder ?

danke euch fuer eure hilfe. melde mich dann wieder.

vlg Sabine

Alle Programme auf CD brennen?

Die sollten Dir doch auf CD vorliegen!

Keine Ausführbaren Datein....heiß: Ein Program, was du Installieren willst, ist eine Ausführbare Datei!
Wo hast du die Programme her, die du auf CD brennen willst?

Gruß Mellosun

habe mich vielleicht falsch ausgedrueckt. ich meinte die
programme, wie kaspersky........paintshop.....t-online usw!
aber ich verwechsle das mit format c?

vlg sabine

Die Programme sollten Dir ja als Original CD vorliegen, richtig?
Dann kannst du sie auch nach der Installation von XP wieder Installieren.

Kleiner Tip:

Installiere XP, Installiere alle nötigen Treiber über die Treiber CD. Installiere SP2, Update es. Die Updates kannst du Dir vorher laden. z.B von Winfuture. Da gibts die sogenannten Updatepacks. Da sind alle Update drin, seit SP2. klick fürs neuste Updatepack.
Sichere Dein System nach Anleitung richtig ab!
Installiere dann Dein AV Programm, Update es.
Installiere ein Backup Programm z.B. Acronis True Image.
Erstelle dannach ein Vollständiges Backup und speichere es auf einer anderen Festplatte, Partition oder auf DVD!
So hast du, sollte wieder sowas passieren, ein Backup zur Hand, was in sieben Minuten zurück gespielt ist und du so wieder ein sauberes Windows hast!

Erst jetzt Online gehen!

Installiere dann Deine nötigen Programme.

Ist erstmal etwas viel Arbeit aber dann bist du ziemlich sicher. Und nimm Firefox oder Opera zum Surfen, falls du es noch nicht enutzen solltest. Genauso solltest du über ein allternatives E-Mail Programm nachdenken. z.B. Thunderbird ist zu empfehlen. Alles sicherer als die von Microsoft zur Verfügung gestellten Programme.

Gruß Mellosun

Nachtrag: Natürlich kannst du einzelne Dateien und Ordner mit True Imgage sichern. Wird aber Frickelei, wenn Programme und sonstige Daten auf einer Partition liegen. Aber das wärs ja so oder so geworden, sofern du dir noch ein paar Dateien sichern willst. Erstell praktischerweise einen Backup-Ordner, in den nur Datenbestände und keine Programme! kommen, und mache hiervon ein Backup.

Gruß