Trojaner-Board - bitte um Hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bitte um Hilfe (https://www.trojaner-board.de/30883-bitte-um-hilfe.html)

Hi, ich bin in großer NOT, bzw mein PC.
Seit gestern is das Teil von 4 sachen befallen. Zuerst hab ich gar nicht bemerkt, dass ich etwas eingafengen hab. Der Rechner bootete nicht immer. Dann gib es und ich bin ins internet gegangen. Dann kam dieses 60sek. Teil. Also hab ich mir nix dolles bei gedacht und shutdown -a ausgeführt. Danach wollte ich einen online scan und den von antivir laufen lassen, um dann das entsprechende removel tool anzuwenden. aber dabei stürzte mein pc ab. nach rebooten und erneuter einwalh ins netz bimmelte antivir ständig mit folgenden sachen:
WORM/Poebot C 1
TR/Proxy Agent CV 9
WORM/Poebot 233472
WORM/Rbot 183296 8
desweiteren kam eine Fehlermeldung vom system, dass meine firewall nicht funktioniert. diese ist AUS! und geht nicht mehr...:mad:
Einige Seiten lassen sich nicht öffnen oder nur sehr langsam. Hotmail geht gar nicht.
Wenn ich jetzt einen online virus scan mach möchte, kommt folgende fehlermeldung:
Iexplore
The RPC server is unavailable, Class ID {9BA05972-F6A8-11CF-A442-00A0C90A8F39

Wenn ich Antivir öffnen möchte kommt auch folgendes nettes Fenster:
E R R O R
The application module
C:\....... avcenter.exe
cannot be found or has been destroyed. The control center cannot be started. Please check your installation.

Wenn ich aus dem netz möchte hilft nur noch stecker ziehen, denn wenn ich es über disconnect versuche, kommt nur ein info feld über die geschwindigkeit und den traffic...

Meine frage ist nun, wie man diese tollen Dinger weg bekommt, ohne formatieren zu müssen, da ich viele Daten habe, die ich brauche. Sind diese Daten befallen? Sind die würmer/trojaner gefährlich?

Schuld an dem Angriff bin sicher ich, weil ich meinen PC wenig mit updates flege. Nur Antivir wird erneurt (automatisch). Wie kann ich ohne viel Aufwand IE usw auf dem neuesten stand halten?

bitte helft mir weiter, ich bin echt am ende...
Vielen Dank!
Alex

Hi

son problem hatte ich au mal. da durfte ich mein PC neuaufsetzen,weil es ein Backdoor war

mach aber zuerst mal einen HJT-Logfile.die profis werden dann schaun,was es zu tun gibt.

http://www.trojaner-board.de/showthread.php?t=17493

ich kann die datei nicht ausführen. auch nicht wenn ich sie umbenenne. sobald sie auf dem rechner ist meldet antivir:
die datei ist mit TR/CRYPT.U.Gen befallen.
Was soll ich tun??

hab die datei mal vom usb stick ausgeführt. GEHT!!

Logfile of HijackThis v1.99.1
Scan saved at 1:27:15 PM, on 7/26/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\Isass.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
H:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=0&prtr=4407001&ctry=00000409&os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: SpeedUpMyPC.lnk = C:\Program Files\SpeedUpMyPC\speedupmypc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {637BB540-6ABA-11D4-901D-00D0090CB3BC} (FMClass Class) - http://www.flashants.com/codebase/fmplayer.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ich komm einfach nicht weiter. Ich finde keinerlei Sachen über diese Würmer bzw. Trojaner. Kann mir bitte jemand helfen. Oben steht das log file. Vielleicht kennt sich jemand damit etwas meh aus als ich.

Ich schätz auch hier ist Hopfen und Malz verloren. Dein System ist völlig ungepatcht, Sp2 plus weitere Updates fehlen.
Hier hilft nur noch ein Neuaufsetzen, die Infektion wurde Dir ja schon bestätigt.

@aaalllkkk,

bei dir im System ist ein "alter" Bekannter, namens "OPTIX-PRO"!
Daher mein Rat, NEUINSTALLATION!

Wird dieser BackdoorTrojaner ausgeführt, kontrolliert ein Dritter dein System.
Du kannst dabei nur noch zusehen, wie dein Monitor an und aus geht, dein Rechner hoch und runterfährt....CD-Laufwerke auf und zu gehen usw. usw.

Nutze zum Neuaufsetzen den Link in meiner Signatur..:daumenhoc

Gruß
Daniel

SCHEIßE! Aber danke für die Tipps!
Frage, wenn ich den Rechner offline nutze, passiert doch erstmal nichts, oder? Kann ich meine Dateien (keine Programmdateien) kopieren? Oder sind diese jetzt auch mit riegendetwas infiziert, was später einem 3. den Zugriff ermöglicht?

Gruß Alex

Zitat:

Zitat von aaalllkkk

Richtig, verseuchte Rechner nimmt man zuerst vom Netz, damit nicht noch andere befallen werden. Du kannst und solltest noch relevante Daten sichern, aber möglichst keine ausführbaren, um ganz sicher zu gehen.

Zitat:

Zitat von aaalllkkk

wenn ich den Rechner offline nutze, passiert doch erstmal nichts, oder?

Offline kann erstmal nichts passieren, sichere deine Daten, (so wie du festgestellt hast! ;) ) keine ausführbaren Dateien/Programme (also keine *.exe / *.com)
Musik, Videos, Dokumente sind kein Problem..

Zitat:

Kann ich meine Dateien (keine Programmdateien) kopieren? Oder sind diese jetzt auch mit riegendetwas infiziert, was später einem 3. den Zugriff ermöglicht?

siehe oben.

Gruß
Daniel

EDIT: fast die gleichen Worte wie Cosinus! :party:

Also das wären: Textdateien, Bilder, Songs, Videos usw...

Wie kann ich denn meinen Rechner in Zukunft ohne viel Aufwand sicher halten?

Zitat:

Zitat von aaalllkkk

Also das wären: Textdateien, Bilder, Songs, Videos usw...

Wie kann ich denn meinen Rechner in Zukunft ohne viel Aufwand sicher halten?

Sicherheitskonzept. Sowas hier. Virenscanner sind nur Ergänzung.

meine herren,

Im sorry if i write englisch, but my german writing is nicht gut.

About the trojan. it is removable. Its made by brain and called brain codec.

just do ctrl-alt- delete short and close down all de files in the brain dir but close it down with whole tree, then empty the brain dir. keep doing this until its gone, even if you get an error that someone is using the file.

make sure that file explorer is open in the brain dir

thats one.

if any one is using opera, clean out your cache4 dir totaly

then when you did that go to regedit and make an search of brain en delete the key

then search in regedit for the map msconfig en clean out that also after you checked msconfig in the run display first

empty the recycle bin en restart and you will be fine again.

It did on my pc

greeting and good luck

teenbeat

Hello teenbeat...

The thread is from date 27.07.2006, and isnt the last :lach:

But thanks for the nice instruction, anybody it may to apply.

(Sorry, my english isnt better then ur german ;) )

Nice to meet you again, Bye :huepp:

Hi Teenbeat!
I'm sorry, but unfortunately your instruction ist useless because the system from the TO was unpatched (missing SP2) AND compromised with the optix pro backdoor. Only way to get a trustworthy system is to re-install it from the original Windows-CD after formatting the system partition. :kloppen: