Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "Security Toolbar" und Trojan-Downloader.Win32. (https://www.trojaner-board.de/46032-security-toolbar-trojan-downloader-win32.html)

mrhelpless 20.11.2007 09:49
"Security Toolbar" und Trojan-Downloader.Win32.
 
Hallo zusammen,

ich benötige mal Eure Ratschläge.

Gestern hat sich bei mir automatisch die "Security Toolbar" im IE installieren. Darauf hin haben Ad-Ware und Spypot auch "etwas" gefunden, was sie meiner meinung nicht löschen konnten. Habe danach fleissig gegoogelt und Programme wie SmitfraudFix, smitRem, AVG Anti-Spyware ausgeführt und HijackThis Einträge gefixed. Die Fehlermeldungen minimierten sich mit der Zeit und die Toolbar verschwand. Es scheinen jedoch noch Restbestände vorhanden zu sein.

Das PROTOKOLL FÜR KASPERSKY ONLINE SCANNER spükte folgendes aus:

Infizierte Objekte: Trojan-Downloader.Win32.ConHook.hl
(für zahlreiche .dat Dateien in C:\WINDOWS\system32)

Das ganze äußert sich, indem Internetseiten einfach so geladen werden (ilove, neckermann, partnersuche....)

Mit ZoneAlarm lässt sich auch nichts ausrichten.

Würde mich über jede Antwort freuen.

mrhelpless 20.11.2007 11:24
Hab hier mal ein Screenshot hochgeladen, wie die PopUp Fenster aussehen. die sich einfach so laden:

http://img517.imageshack.us/img517/3259/picee8.jpg

Nach Betätigung der Abbruch Taste werden Internetseiten von irgendwelchen skuriosen Virenscann-Anbietern geladen.

Der Trojaner den ich gestern gefunden habe heißt übrigens: loader.Zlob

Chris4You 20.11.2007 11:45
Hi,

bitte das hier abarbeiten...
http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html

chris

mrhelpless 20.11.2007 12:11
Vielen Dank für Deine Antwort. Hier die Dateien:


Logfile of HijackThis v1.99.1
Scan saved at 12:07:13, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\a-squared free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MODular SOftware\aBackup\aBackup.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative-Soundtreiber\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} /NO_DEFPS
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Google AdSense Preview-Tool - ht*p://*****.googlesyndication.*om/pagead/preview/de/preview.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - ht*p://****kaspersky.*com/kos/german/partner/de/kavwebscan_unicode.ca
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - ht*p*******security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*p****download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp****update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170499116562
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h*tp****ecurity.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h*tp://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - ht*p://ww*.ca.com/us/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00E7CEF.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\wowxpyio.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)






SmitFraudFix v2.253

Scan done at 11:59:58,29, 20.11.2007
Run from C:\Dokumente und Einstellungen\****\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End




Escan hat folgendes ergeben:

Tue Nov 20 11:35:58 2007 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Nov 20 11:35:58 2007 => Loading Spyware Signatures from new External Database [Name: C:\****\****\LOKALE~1\Temp\spydb.avs, Size: 255868].
Tue Nov 20 11:35:58 2007 => Indexed Spyware Databases Successfully Created...

Tue Nov 20 11:35:59 2007 => Key found with NULL Character: HKLM\Software\Microsoft\Windows\CurrentVersion\System !!!
Tue Nov 20 11:36:19 2007 => Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Nov 20 11:36:21 2007 => Offending file found: C:\WINDOWS\system32\process.exe
Tue Nov 20 11:36:21 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken.

Tue Nov 20 11:36:31 2007 => Offending file found: C:\Dokumente und Einstell****\****\Desktop\notepad2.exe
Tue Nov 20 11:36:31 2007 => System found infected with popuper Spyware/Adware (notepad2.exe)! Action taken: No Action Taken.

Tue Nov 20 11:36:32 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Favoriten\****\****\internet.url
Tue Nov 20 11:36:32 2007 => System found infected with ezula Spyware/Adware (internet.url)! Action taken: No Action Taken.

Tue Nov 20 11:37:34 2007 => Offending file found: C:\WINDOWS\icons
Tue Nov 20 11:37:34 2007 => System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken.


Bemerkung:

Der Eintrag hier sieht meiner Meinung nach böse aus:

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00E7CEF.dat

Chris4You 20.11.2007 13:39
Hi,

ja das ist mit Sicherheit faul:
Onlinescann (poste das Ergebniss):
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:
C:\WINDOWS\system32\__c00E7CEF.dat
C:\WINDOWS\system32\process.exe
C:\Dokumente und Einstell****\****\Desktop\notepad2.exe <- Pfad korregieren!
Die hier ist auch nicht sauber, aber wohl schon gelöscht (mit HJ-fixen):
C:\WINDOWS\system32\wowxpyio.exe
und
C:\WINDOWS\icons (das gibt es eigentlich nicht unter XP, oder setzt Du
eine spezielle SW ein um den Look von XP zu verändern (z.B. tuneup-utilities))? Schau mal was drinnen ist im Verzeichnis, sollte eigentlich ungefährlich gelöscht werden können....

Sicherheitshalber beide killen mit
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\wowxpyio.exe
C:\WINDOWS\system32\__c00E7CEF.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Poste dann ein neues HJ-Log und ein Silentrunner-Log:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

mrhelpless 20.11.2007 14:36
Zitat:
Zitat von Chris4You (Beitrag 305784)
Hi,

ja das ist mit Sicherheit faul:
Onlinescann (poste das Ergebniss):
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
chris
Konnte nur die eine Datei scannen lassen:

Datei process.exe empfangen 2007.11.20 13:57:59 (CET)
Ergebnis: 7/32 (21.88%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.20.1 2007.11.20 Win-AppCare/PrcViewer.53248
AntiVir 7.6.0.34 2007.11.20 -
Authentium 4.93.8 2007.11.20 -
Avast 4.7.1074.0 2007.11.19 -
AVG 7.5.0.503 2007.11.20 -
BitDefender 7.2 2007.11.20 -
CAT-QuickHeal 9.00 2007.11.20 -
ClamAV 0.91.2 2007.11.20 -
DrWeb 4.44.0.09170 2007.11.20 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.3.5311 2007.11.20 -
Ewido 4.0 2007.11.19 -
FileAdvisor 1 2007.11.20 High threat detected
Fortinet 3.11.0.0 2007.11.20 Misc/PrcViewer
F-Prot 4.4.2.54 2007.11.19 -
F-Secure 6.70.13030.0 2007.11.20 -
Ikarus T3.1.1.12 2007.11.20 -
Kaspersky 7.0.0.125 2007.11.20 -
McAfee 5166 2007.11.19 potentially unwanted program PrcViewer
Microsoft 1.3007 2007.11.20 -
NOD32v2 2672 2007.11.20 Win32/PrcView
Norman 5.80.02 2007.11.19 -
Panda 9.0.0.4 2007.11.20 Application/Processor
Prevx1 V2 2007.11.20 -
Rising 20.19.10.00 2007.11.20 -
Sophos 4.23.0 2007.11.20 -
Sunbelt 2.2.907.0 2007.11.20 -
Symantec 10 2007.11.20 -
TheHacker 6.2.9.134 2007.11.19 Aplicacion/Processor.20
VBA32 3.12.2.5 2007.11.19 -
VirusBuster 4.3.26:9 2007.11.19 -
Webwasher-Gateway 6.0.1 2007.11.20 -



Zitat:
Zitat von Chris4You (Beitrag 305784)
Die hier ist auch nicht sauber, aber wohl schon gelöscht (mit HJ-fixen):
C:\WINDOWS\system32\wowxpyio.exe
und chris
is gefixt

Zitat:
Zitat von Chris4You (Beitrag 305784)
C:\WINDOWS\icons (das gibt es eigentlich nicht unter XP, oder setzt Du
eine spezielle SW ein um den Look von XP zu verändern (z.B. tuneup-utilities))? Schau mal was drinnen ist im Verzeichnis, sollte eigentlich ungefährlich gelöscht werden können....chris
ja- ist ne SW fü Design-Styling



Zitat:
Zitat von Chris4You (Beitrag 305784)
Sicherheitshalber beide killen mit
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
chris
Habe nur die __c00E7CEF.dat ins Script einfügen können. sonst Fehlermeldung.


Zitat:
Zitat von Chris4You (Beitrag 305784)
Poste dann ein neues HJ-Log und ein Silentrunner-Log:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip
chris
Here it is:

Logfile of HijackThis v1.99.1
Scan saved at 14:24:15, on 20.11.2007


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\a-squared free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\****************\****************.exe
C:\Programme\MODular SOftware\aBackup\aBackup.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative-Soundtreiber\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} /NO_DEFPS
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com/pagead/preview/de/preview.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt****ww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - ht****/security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ht****download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htt****update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170499116562
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt****security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - htt****download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - htt****.ca.com/us/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer = 192.168.2.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Chris4You 20.11.2007 15:39
Hi,

das hier ist Absicht?
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
und
C:\Programme\****************\****************.exe

Programme die aus den pers. Einstellungen oder von einem Temp-Verzeichnis gestartet werden, haben ein "gewisses" Risikopotential ;o)...

Das hier kenne ich nicht, sollte aber Ok sein (wenn Du es kennst):
4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe

So, der Silentrunner hat noch was ertappt, Trojan.Winfixer.Process:
C:\WINDOWS\system32\mljgg.dll
Bitte online prüfen lassen und ggf. killen lassen!

chris

mrhelpless 20.11.2007 23:35
Zitat:
Zitat von Chris4You (Beitrag 305803)
Hi,

das hier ist Absicht?
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
und
C:\Programme\****************\****************.exe

Programme die aus den pers. Einstellungen oder von einem Temp-Verzeichnis gestartet werden, haben ein "gewisses" Risikopotential ;o)...
chris
mhh. mir war nicht klar, dass das nicht okay ist. war aber auch eher unbewußt.

Zitat:
Zitat von Chris4You (Beitrag 305803)
Das hier kenne ich nicht, sollte aber Ok sein (wenn Du es kennst):
4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe
chris
jou. das ist mein backup programm. also okay.


Zitat:
Zitat von Chris4You (Beitrag 305803)
So, der Silentrunner hat noch was ertappt, Trojan.Winfixer.Process:
C:\WINDOWS\system32\mljgg.dll
Bitte online prüfen lassen und ggf. killen lassen!

chris
Habe die Datei mit Su-per Anti-Spyware gelöscht. zumindest hoffe ich das sie wirklich weg ist.

Habe nochmal eine hijack.txt in den anhang gepackt. Bisher treten auch keine Sympthome mehr auf. Denke der Rechner ist jetzt clean. Kann ich noch irgendwas machen um eventuelle Infektionen zu checken?

Vielen Dank schonmal für Deine Hilfe. Kann heute schon viel besser schlafen :daumenhoc

Chris4You 22.11.2007 08:38
Hi,

HJ-Log ist sauber, vielleicht noch mal Silentrunner laufen lassen und Log posten...
Systemwiederherstellung bereinigen:
Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen (der Trojaner wurde ev. mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

mrhelpless 25.11.2007 11:18
Hallo,

ich habe die Punkte mit der Systemwiederherstellung ausgeführt. Im Anhang befindet sich der Logfile.

Chris4You 26.11.2007 07:38
Hi,

sieht gut aus...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19