|
Trojaner, Virenbefall oder Hokuspokus ? Hallo Nutzer des Trojaner-Boards, wende mich an Euch, um einen Rat oder Hinweis über mein System (Windows XP) zu bekommen. Ich hatte vor ca. 2 Monaten einen Trojanerbefall mit "Trojan.Win32.Agent". Dieser wurde vom verwendeten "High Secure Professional" (2007 von F-Secure) umbenannt und von mir danach gelöscht (im abgesicherten Modus). Danach lief das System problemlos weiter, Prüfungen mit o.a. Schutzprogramm, wie auch das eingesetzte "Spybot" brachten keine gravierenden Meldungen. Lediglich wurde einige Cookies gefunden. Seit rund 10 Tagen jedoch treten jedoch folgende Probleme auf: 1. Bei Nutzung des Internets (über Internet Explorer 6) werden Seiten angezeigt und kurz danach erfolgt keine Reaktion. Der Windows Task Manager bringt: "Keine Rückmeldung". Dies häuft sich zunehmend. 2. Beim Hochfahren des Systems erscheinen vertikal bläuliche Streifen vor schwarzem Hintergrund. 3. Wenn das System in Betrieb ist, sind die Anwendungsprogramme (Internet, Tabellenkalkulation, High Secure Professional) von weißen horizontalen Streifen durchzogen, sodass der Text teilweise nicht mehr lesbar ist. Der Desktop ist hiervon nicht betroffen. Lässt sich aus alledem auf ein "größeres" Problem mit Trojaner o.ä. schließen ? |
Hi Gabriel7 und Herzlich Willkommen Bitte poste als erstes ein HIjackthis Logfile:daumenhoc (Link ist in meiner Signatur) |
Vielen Dank für die schnelle Rückmeldung, Anwendung von Comofix gescheitert, mit Fehlermeldung: "You can not rename Combofix as Combifix(1).Please use another name, preferbaly made aup of alpahnumeric characters" Probiere jetzt weiter... |
Zitat:
ComboFix machen wir später. Bitte deinstalliere vorerst mal ALLE gedownloadeten ComboFix Versionen:daumenhoc |
Gut hier das Logfile von HijackThis. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:12:13, on 20.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe C:\Programme\Kabel Deutschland\Common\FSMA32.EXE C:\Programme\Kabel Deutschland\Anti-Virus\FSGK32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\Kabel Deutschland\Common\FSMB32.EXE C:\Programme\Kabel Deutschland\Common\FCH32.EXE C:\Programme\Kabel Deutschland\Common\FAMEH32.EXE C:\Programme\Kabel Deutschland\Anti-Virus\fsqh.exe C:\Programme\Kabel Deutschland\FSPC\fspc.exe C:\WINDOWS\system32\Ati2evxx.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Kabel Deutschland\Common\FSM32.EXE C:\WINDOWS\system32\flcss.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\Hotsync.exe C:\Programme\Kabel Deutschland\FSGUI\fsguidll.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\StarOffice7\program\soffice.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Kabel Deutschland\Anti-Virus\fssm32.exe C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Kabel Deutschland\FSAUA\program\fsus.exe C:\Programme\Kabel Deutschland\Anti-Virus\fsav32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Kabel Deutschland\FSGUI\fsavgui.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\Wolfgang Berger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXAZCPQF\HiJackThis[1].exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Kabel Deutschland\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Kabel Deutschland\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Programme\Palm\Hotsync.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Kabel Deutschland\FSPC\fspcmsie.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{6B070B35-03BE-4E63-AE7A-F069F8878A8C}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B957CDFD-2AE7-41D5-AD89-3A4A9AAEC4A7}: NameServer = 192.168.0.1 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe -- End of file - 10303 bytes |
Bitte folgende Datein hier online scannen lassen und den Report posten bitte: C:\WINDOWS\system32\shellexp.exe en Bitte folgende Einträge fixen: O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) Wie ich gesehen habe hast du Malwarebyte scho:daumenhoc Lass es mal bitte laufen, lösche alles gefundene und poste den Report. |
Danke für die Hinweise. Eine Suche nach der Datei mit "....shellexp.exe en" im System endete mit dem Hinweis: "Die Datei konnte nicht gefunden werden". Probiere daher das Weitere aus... |
Sry fürs Einmischen ;) aber die shellexp.exe ist nach ersten Googlesuchen ziemlich eklig. Bei der Datei handelt es sich anscheined um den Sheldor-Schädling, der Backdoor-Funktionen hat. Gabriel, ich wäre mal dafür Du folgst meinen Links zu silentrunners - blacklight und combofix. Führe diese Anwendungen nach Anleitung aus und poste die Logs. |
Hier das Ergebnis von : Malwarebytes' Anti-Malware 1.11 Datenbank Version: 660 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 122883 Scan Dauer: 34 minute(s), 40 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\explorer (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
Okay soweit. Laß mal die anderen Tools nun durchlaufen und poste dann die Logs. |
Zitat:
|
Zitat:
|
Scan mit Blacklight ohne Ergebnis.... |
Scan mit Blacklight ohne Befund. |
Zitat:
Was ist denn mit den anderen Tools? Bitte die Logfiles alle samt posten! |
Combofix funktioniert, wie bereits vorhin geschildert, nicht. Ein zwischenzeitlicher Versuch mit "StarOffice" zu arbeiten ist, mal wieder, nach Absturz gescheitert. Ist hier überhaupt noch "etwas zu retten"´? oder empfiehlt Ihr mir eine Neuinstallation ? |
Wenn bei Dir sowieso schon viel am System versemmelt wurde und deswegen viele Programme nicht mehr funktionieren, wäre ein Formatieren und neuaufsetzen wohl wirklich sinnvoller. Danach hast Du auch wieder ein 100% vertrauenswürdiges System. |
Danke Dir für die ehrliche Antwort. Ich bin ohnedies verunsichert, da mit "HighProfessional" von F-Secure seit Wochen nichts gefunden wurde und vorhin mit "Malwarebytes" dann doch ein Trojaner auftauchte. Ist aus Eurer Sicht ein "größeres Problem" ? Die Hinweise "neu aufsetzen" muss ich mir durchlesen und schauen, ob ich soweit damit klar komme. Wenn ich zuvor meine eigenen Dateien (Textverarbeitung, Tabellenkalkulation, Photos, Musik) auf einen USB-Stick übertrage, besteht dann die Gefahr, dass ich einen "Virus" oder "Trojaner" mit übertrage, oder ist dies relativ gefahrlos ? |
Zitat:
Zitat:
|
Danke, ich muss mich jetzt informieren, wie am besten der Neustart funktioniert. Das mit dieser "shellexp.exe" habe ich aber nicht verstanden. Ich konnte diese doch überhaupt nicht auf meinem System finden. Was hat es damit auf sich ? |
Zitat:
a) schon gelöscht oder b) durch ein aktives rootkit versteckt Die Datei ist nun aber unerheblich. Wenn Du neu aufsetzt, wird die Systempartition ja formatiert und diese ist dann logisch vollkommen leer. Lies Dir einfach mal den Artikel zum Neuaufsetzen hier im Board durch... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board