Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zango (https://www.trojaner-board.de/58559-zango.html)

Stiffy 25.08.2008 16:08
Zango
 
Mein Problem:
Mein kleiner Bruder hat am Wochenende meinen Computer genutzt und dabei durch 4megaupload.com "Zango" installiert - danach hat er die Panik bekommen, weil er festgestellt hat, dass es wohl Spyware ist und SpyHunter installiert..... und so hab ich meinen PC dann heute vorgefunden... *schock*

was ich bisher gemacht habe:
1. SpyHunter deinstalliert
2. AdAware laufen lassen und ein bisschen was entfernt
3. Avenger ein paar Zango-Dateien löschen lassen
4. Manuell Zango aus dem Startmenü entfernt
5. RegCleaner und TweakNow RegCleaner die Registry durchsuchen lassen und ein paar Zango-Einträge gelöscht
6. CounterSpy durch "Quick Scan" Hotbar aus der Registry und einen Zango-Dienst entfernen lassen

An diesem Punkt stehe ich jetzt und habe ein HijackThis-Log machen lassen. Es wäre toll, wenn ihr euch das mal anschauen könntet und mir sagt, ob mein PC noch verseucht ist bzw. ob ich noch irgendwas machen kann, um sicher zu gehen, dass jeblicker Malware und Spyware-scheiß von meinem PC verschwunden ist.

Es wäre wirklich sehr, sehr net!!!

~~~~~~~~~~~~~~~~~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:01, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Meine Programme\AntiVir\AdAware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI\WebPAM\jetty\extra\win32\Wrapper.exe
C:\MEINEP~1\AntiVir\AVG\avgwdsvc.exe
C:\Meine Programme\Sonstiges\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\MEINEP~1\AntiVir\AVG\avgrsx.exe
C:\Meine Programme\Internet\CounterSpy\SBAMSvc.exe
C:\Programme\ATI\WebPAM\_jvm\bin\java.exe
C:\MEINEP~1\MULTIM~1\CODEC-~3\Stormser.exe
C:\MEINEP~1\AntiVir\AVG\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Browser Mouse\lwbwheel.exe
C:\Programme\KeyMaestro\Multimedia Keyboard\MMKeybd.exe
C:\Meine Programme\AntiVir\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\MEINEP~1\AntiVir\AVG\avgtray.exe
C:\Programme\KeyMaestro\Multimedia Keyboard\MEDIACTR.EXE
C:\Meine Programme\Internet\CounterSpy\SBAMTray.exe
C:\PROGRA~1\KEYMAESTRO\ONSCRE~1\OSD.EXE
C:\Programme\KeyMaestro\Multimedia Keyboard\MMUSBKB2.EXE
C:\Meine Programme\Internet\K9\K9.exe
C:\Meine Programme\Internet\MIRC Sysreset\mirc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Meine Programme\Internet\Mozilla Firefox 3\firefox.exe
D:\Programme\- AntiVir\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\Iinternet Explorer Pro\iepro.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Meine Programme\AntiVir\AVG\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: InlineSearchHandleHotKey - {B6FFE2AE-4D12-451F-B457-FE6125FFB1CF} - C:\Programme\Internet Explorer Inline Search\InlineSearch.dll
O3 - Toolbar: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\lwbwheel.exe
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Programme\KeyMaestro\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Meine Programme\AntiVir\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\MEINEP~1\AntiVir\AVG\avgtray.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Meine Programme\Multimedia\Codec - Storm\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [SBAMTray] C:\Meine Programme\Internet\CounterSpy\SBAMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Launch K9.lnk = C:\Meine Programme\Internet\K9\K9.exe
O8 - Extra context menu item: Download with GetRight - C:\Meine Programme\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MEINEP~1\TEXTVE~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Meine Programme\Internet\GetRight\GRbrowse.htm
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Iinternet Explorer Pro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Iinternet Explorer Pro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MEINEP~1\TEXTVE~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Meine Programme\AntiVir\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Meine Programme\AntiVir\AdAware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI WebPAM (ATIWebPAM) - Unknown owner - C:\Programme\ATI\WebPAM\jetty\extra\win32\Wrapper.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\MEINEP~1\AntiVir\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\MEINEP~1\AntiVir\AVG\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Meine Programme\Sonstiges\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Meine Programme\Internet\CounterSpy\SBAMSvc.exe
O23 - Service: Stormser - ???? - C:\MEINEP~1\MULTIM~1\CODEC-~3\Stormser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8137 bytes

cosinus 26.08.2008 17:53
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\Programme\Iinternet Explorer Pro\iepro.dll
C:\MEINEP~1\MULTIM~1\CODEC-~3\Stormser.exe
3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Stiffy 26.08.2008 20:00
Ersteinmal natürlich VIELEN, VIELEN DANK!!!!!!

Hier die Ergebnisse:


------------------ Virustotal ------------------

C:\MEINEP~1\MULTIM~1\CODEC-~3\Stormser.exe
Code:
Ergebnis: 1/36 (2.78%)

F-Secure | 7.60.13501.0 | 2008.08.26 | Suspicious:W32/ConHook!Gemini
ich weiß was das ist ^^ ist eine Video-Codec, den ich seit Jahren verwende...
das andere war eine Internet Explorer Erweiterung, die ich gerade deinstalliert habe, da ich eh nur noch Mozilla nutze


------------------ MBR ------------------

Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

------------------ Blacklight ------------------

No hidden Items found

Code:
08/26/08 19:20:26 [Info]: BlackLight Engine 1.0.70 initialized
08/26/08 19:20:26 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/26/08 19:20:26 [Note]: 7019 4
08/26/08 19:20:26 [Note]: 7005 0
08/26/08 19:20:30 [Note]: 7006 0
08/26/08 19:20:30 [Note]: 7011 3556
08/26/08 19:20:30 [Note]: 7035 0
08/26/08 19:20:30 [Note]: 7026 0
08/26/08 19:20:30 [Note]: 7026 0
08/26/08 19:20:32 [Note]: FSRAW library version 1.7.1024
08/26/08 19:25:05 [Note]: 7007 0

------------------ Malwarebytes Anti-Malware ------------------

Vollständiger Scan hat sich bei der desktop.ini aufgehängt.
Hab dann nur mal nen schnellen Scan gemacht. Der hat 15 infizierte Objekte gefunden.

Code:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

20:55:42 26.08.2008
mbam-log-08-26-2008 (20-55-42).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42742
Laufzeit: 4 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\srv.coreservices (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\srv.coreservices.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a057a204-bacc-4d26-c39e-35f1d2a32ec8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a057a204-bacc-4d26-c39e-35f1d2a32ec8} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\Zango@Zango.com (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.74.0 (Adware.Zango) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA (Adware.Zango) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSA.dat (Adware.Zango) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAAbout.mht (Adware.Zango) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAau.dat (Adware.Zango) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSAEula.mht (Adware.Zango) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZangoSA\ZangoSA_kyf.dat (Adware.Zango) -> Quarantined and deleted successfully.
C:\Programme\MegauploadToolbar\megauploadtoolbar.dll (Trojan.BHO) -> Quarantined and deleted successfully.

------------------ Filelisting ------------------

File-Upload.net - listing.txt

hab gerade schon selbst einen Ordner entdeckt, der da gar nicht hingehören, und zwar bei den Anwendungsdaten: WeatherDPA
kann man den einfach löschen oder reicht das nicht?


------------------ Combofix ------------------

habe ich bisher nicht gemacht, da ich die "CCleaner Systembereinigung" nicht gerne durchführen würde.
Ich habe dieses Tool bei meinem Laptop einmal laufen lassen, als dieser Probleme hatte, und danach haben Programme nicht mehr funktioniert und meine Schnellstartleiste war weg. Musste einen neuen User erstellen, um das Problem zu lösen.
Irgendwie vertraue ich dem Tool nicht wirklich - entschuldigung.
Geht es denn auch ohne das Tool? Und muss ich diese Sachen mit dem Wiederherstellungspunkt machen, die auf der Combofix-Seite stehen?
(kann ich die Autostart Funktion danach wieder aktivieren??)

cosinus 26.08.2008 21:39
Den CCleaner kannst Du bedenkenlos einsetzen. Ich hab ihn schon auf Dutzenden PCs installiert und benutzt gehabt, ohne jemals irgendwelche Probleme danach. Stell ihn so ein wie in der CCleaner Anleitung beschrieben ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19