Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   umfassender trojaner (https://www.trojaner-board.de/36472-umfassender-trojaner.html)

p-john 21.02.2007 13:59
umfassender trojaner
 
guten tag, hab jetzt 2 stunden lang per google und einigen foren gesucht hab aber nix gefunden dass meine probleme genauso beschreibt wies is.
als ich im internet bissl rumgesurft hab, gingen plötzlich 14trojaner meldungen von "AntiVir Guard" auf, da hab ich dann sofort alles löschen lassen, hat aber auch nix gebracht, sind immer mehr meldungen eingegangen. als dann ruhe war konnte ich nun folgendes feststellen. mein desktophintergrund wird schwarz angezeigt, kann auch per rechtsclick und eigenschaften kein bild mehr reintun weil ich da nicht anclicken kann, wenn ich aber PC herunterfahre sehe ich den normalen background für paar sekunden.
desweiteren kann ich meinen taskmanager nicht aufrufen, dazu hab ich schon was gefunden indem man per regedit irgendeinen wert von 1 auf 0 ändern soll, hab ich danach gings wieder, aber als ich neu gestartet hab gings wieder nich.
zu guter letzt is mein internet lahm geworden, mein ping beim zocken fängt an mit ca 200 und steigert sich dann kontinuierlich auf über 800.

hab schon paar mal antivir scannen lassen, hat immer 11dateien gefunden und gelöscht, das gleiche im abgesicherten modus. bringt aber alles nix, wenn ich PC neu einmach hüpfen mich sofort wieder unzählige meldungen an.
hab mal ein anderes program drüberlaufen lassen, das hat dann ca 322 infizierte dateien gefunden, mir is aufgefallen dass einiges von den temporären internetdatein befallen war, hab ich sofort alles rausgemacht und es sind shcon paar weniger geworden, doch die probleme bleiben :koch:

Franz1968 21.02.2007 14:05
Was genau hat Antivir gefunden? Was gelöscht? Welches andere Programm hast du drüberlaufen lassen?

Und last but not least: Bitte poste ein Hijackthis-Log. Wie das geht, steht hier im Unterforum "Anleitungen".

p-john 21.02.2007 14:22
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:09:31, on 21.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\kernels88.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\taskdir.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxga5me3.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\vxga5me3.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\CTPdeSrv.exe
C:\Programme\MYIE2\MyIE.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels88.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
so, das is der hijack log. per antivir gefunden hab ich
Zitat:
TR/Dldr,Tibs,HH.2
TR/Crypt.UCPM.Gem
TR/drop.Agent.ATH
TR/Dldr.Small.QU.6
das andere prog war trojancheck glaub ich. gelöscht hab ich einiges, eben das was mir immer als schädlich bei antivir angezeigt wurde

ezak 21.02.2007 14:55
Hallo p-john,

folgender Trojaner hat sich auf deinem System eingenistet:

Troj/Tibs-PU - Trojaner - Sophos Bedrohungsanalyse

Dies lässt sich an folgendem Eintrag erkennen:
C:\WINDOWS\System32\kernels88.exe

Empfehlenswert wäre eine Analyse dieser Datei bei www.virustotal.com

Da dieser Trojaner Schadcode aus dem Internet nachläd und eine Bereinigung sehr viel Zeitintensiver sein kann, dein System trotzdem danach nicht sicher ist, empfehle ich eine Neuinstallation des Systems nach der Anleitung, die du hier im Board in einigen Siganturen findest, sowie zur sofortiger Änderung deiner Passwörter.

Tut mir leid, das ich dir an dieser Stelle keine erfreulicheren Nachrichten bringen kann.

Nette Grüße
David

p-john 21.02.2007 15:03
ok, hab ich mir schon gedacht, so ne scheiße :heulen:

n paar sachen aus den eigenen dateien und nen ordner von nem spiel das ich zock sollte ich aber auf nem usbstick speichern können oder?

ezak 21.02.2007 15:08
Dokumente wie die von Word, Exel oder anderen Office Programm sollten ohne Probleme gesichert werden können, um diese dann wieder aufspielen zu können.

Bei Exe Dateien wäre ich aber sehr vorsichtig, da diese eventuell infiziert sein könnten.

Hast du Datei "kernels88.exe" einmal bei virustotal.com scannen lassen ? Wobei du um eine Neuinstallation wohl nicht herumkommen wirst, da wie von dir bereits geschrieben, AntiVir einiges an Schadcode gefunden hat.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131