ständig wiederkehrende Trojaner
 

Hallo,

ich habe folgendes Problem. Auf meinem Rechner tauchen ständig diverse Trojaner auf bzw. werden von Antivir gemeldet. Es handelt sich um folgende Trojaner:

TR/Hijacker.Gen
TR/Spy.GEN
TR/Dropper.GEN
TR/Hijack.Explor.307
TR/Rootkit.GEN
TR/Agent.wyi.1
TR/Crypt.XPACK.Gen

Ich schildere mal einen "typischen" Ablauf:

1. Der Rechner wurde direkt nach dem Start mit Antivir untersucht. Gefunden wurden:

TR/Hijacker.Gen windows/system32/rvdecb.dll
TR/Hijacker.Gen windows/system32/rvdecb32.dll
TR/Spy.GEN windows/temp/BN2.tmp
TR/Dropper.GEN windows/temp/gfc4.tmp
TR/Dropper.GEN windows/temp/kfh4.tmp
TR/Hijack.Explor.307 windows/System32/svchost.exe:ext.exe

Die gemeldeten Funde werden gelöscht. Die besagten Dateien sind nach dem Löschen auch tatsächlich verschwunden.

2. Ich führe einen Neustart durch und durchsuche den Rechner erneut. Ergebnis, keine Funde.


3. Ich gehe nun online. Nach ca. 2 min warnt mich der Avira Guard vor folgenden Funden:

TR/Dropper.GEN windows/temp/BN3.tmp
TR/Spy.GEN windows/temp/BN4.tmp
TR/Rootkit.GEN windows/system32/drivers/restore.sys

Ich gehe offline. Die Funde werden gelöscht. Bemerkenswerterweise sind Drooper.GEN und Spy.GEN wieder da, aber in anderen Dateien. Rootkit.GEN ist neu. Nach dem Löschen neuer Check und wieder keine Funde mehr.

4. Ich gehe wieder kurz online und zwar direkt auf die trojaner-board website. Nach ca. 5 Minuten meldet der Avira Guard:

TR/Hijacker.GEN windows/system32/rvdecb.dll
TR/Agent.wyi.1 windows/TEMP/luj6.tmp
TR/Crypt.XPACK.GEN dokumente und Einstellungen/LocalService/..../nws32(1).exe

Die Trojaner kommen also scheinbar immer neu aus dem Internet herunter. Unabhängig von den besuchten Websites. Es sind nicht immer die gleichen Trojaner, aber oft.

Das Betriebssystem ist Windows XP Service Pack 2, geschützt bin ich durch die Firewall Zone Alarm und durch AntiVir. Beides durch updates aktuell gehalten.

Wer weiss Rat?

Hallo,
du hast noch SP2 drauf. Das ist veraltet und stellt eine Gefahr da. ->SP3.
Hast du automatischen Update an?


* aktivieren der "Automatischen Updates", insbesondere das einspielen/installieren des "Service Pack 3 (XP)" und des "Service Pack 1 (Vista)" ist hierbei absolute Pflicht!

Instaliere dir Hijackthis und erstelle einen log. Diesen log stellste hier rein.
Diese Log-datein kannst du auch von virustotal (http://www.virustotal.com/de/) auswerten lassen und ebenfalls hier reinstellen.
Dann kann dir schon eher geholfen werden.

Ich habe den Rat befolgt und auf Service Pack 3 upgedatet.

Hier ist das Logfile von HiJackThis:

Kann damit jemand etwas anfangen?

Danke

Du hast noch den IE6 drauf->IE7!
Du kannst aus eigener Intresse mal deinen Logfile auswerten lassen HijackThis Logfileauswertung, dann siehste wie es um dein System steht. Du wirst sehr viele "ungute" Einträge finden.
Diesen Log kannst du noch bei Vi (einfach die log-datei hochladen) auswerten lassen und hier reinstellen.
Dann sollte die von einem Kompetenzler geholfen werden...

Ich surfe nicht mit IE sondern mit Mozilla FF3.

Das ist schön, dass ich "viele ungute Einträge finden werde". Aber geholfen ist mir damit leider noch immer nicht, diese zu beseitigen.

Werde aber so vorgehen. Danke

Ich poste nun mal das Ergebnis meiner Lofile-Auswertung von Hijackthis:

schädlich, nicht bekanntes Programm

O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

äußerst schädlich, nicht bekanntes Programm

O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe

sowie einige ubekannte Programme ohne Wertung.

Wie gehe ich nun vor um diese Programme zu entfernen? Um warum wird Antivir damit nicht fertig?

Hallöchen!:)

Du solltest deinen Internet Explorer dennoch immer auf dem aktuellsten Stand halten, da die Windowsupdates über ihn aktualisiert werden. Deswegen sollte der auch auf keinen Fall deinstalliert werden!



Dazu solltest du aber wissen, dass diese Logfileauswertung nicht immer korrekt ist, d.h., er übersieht Dinge oder wertet auch mal falsch aus. Du kannst es ja dennoch mal damit versuchen.

Hier fehlen wichtige Buchstaben! Da kann man schon von ausgehen, dass das Malware ist. Versuch mal bitte Malwarebytes Antimalware.

An die Kompetenzler: Wenn ich hier einen Fehler mache, bitte sagen!

Na dass macht mir ja nicht gerade Mut. Wozu dann der Aufwand?


Kann ich tun. Ist Malewarebytes denn "besser" als AntiVir oder warum wird AntiVir trotz Erkennung und Löschung der Trojaner damit nicht fertig?

Naja, "besser" kann man vielleicht nicht sagen. Es scheint etwas gründlicher im Systemscan zu sein.

Halte dich bitte genau an die Anleitung, verschiebe das Gefundene in die Quarantäne und denke daran, dass enstandene Logfile hier zu posten!

Aufwand?
Vllt. ist ja noch was zu retten...,vielleicht.
Sollte in deinem Sinne sein.

Lade dir mal folgendes Tool und starte es -> F-Secure Blacklight.
Poste im Anschluss den Inhalt des Reports.

Hi Robsen84! :)

Denkst du, Neuaufsetzen wäre hierbei die bessere Lösung?

Edit: Sorry für die Einmischung, werde nur noch stille Leserin sein....

Im Zweifel ja.:party:
Vorher sollte, aber soviel wie es nur geht bereinigt werden.

Dann mache ich das mal und melde mich wieder.

Allerdings hätte ich Malewarebytes doch auch gleich rüberjagen können ohne das ganze Procedere mit Hijackthis und dem Posten des Logfiles hier oder?

Naja, DASS würde ich gerne vermeiden. Wozu denn die diversen Programme und Sicherheitsvorkehrungen (AntiVir, ZoneAlarm, Malewarebytes, Hijackthis etc.) das ständige Posten von irgendwelchen Auswertungsfiles, wenn es am Ende doch nur heißt: Totalkahlschlag?

Sorry bin gerade echt frustriert (nicht über die Ratgeber hier, sondern mein Problem).

Ich spreche aus eiener Erfahrung->Rootkit
Neuaufsetzten hilft nur dann etwas, wenn dein System einigermassen sicher ist.
Es gibt Schädlinge die du durch das Formatieren nicht restlos weg bekommst.
Wenn dein System bereinigt ist kannst es Neuaufsetzen. Gehe dabei genau nach der Anleitung vor.

Antivir etc. schlagen bei vielen Fällen nur noch an, aber sind ab da an Machtlos.

Nachdem nun habe drüberlaufen lassen hier das Ergebnis:

Beim Beheben der Probleme kam folgende Meldung:

Der Rechner wurde dann neu gestartet.

Während ich das hier tippe poppt im 2-Sekunden Takt der Avira-Guard auf und meldet diverse Trojaner. :headbang:

Nachtrag: Ich habe nun auch F-Secure Blacklight drüber laufen lassen, aber hier wurde nichts gefunden.

Neues von der Front:

Heute morgen habe ich den Rechner im abgesicherten Modus gestartet und noch einmal mit Malewarebytes gescant:

Gefunden wurde also "Rootkit.Agent".
Nach dem von Malewarebytes geforderten Neustart (normaler Modus) folgte direkt ein erneuter Scan:

Und Siehe da: Rootkit.Agent ist noch immer vorhanden. (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati8waxx )

Was nun? Gibt es ein Tool?








Nachtrag:
Folgende Infos zu meinem Freund Rootkit.Agent gefunden:

Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\ Windows\ System32) erzeugt folgende Dateien:

* \ drivers\ runtime.sys
* \ drivers\ ip6fw.sys
* \ drivers\ netdtect.sys
* wsys.dll
* ws2_32.dll

* \ drivers\ runtime.sys
* \ drivers\ ip6fw.sys
* \ drivers\ netdtect.sys
* wsys.dll
* ws2_32.dll

Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner Im Temporary-Verzeichnis (Temp) kann weiters folgende Dateien erzeugen:

* svchost.exe
* imapi.exe

* svchost.exe
* imapi.exe

Der Schädling Win32/Rootkit.Agent.DP Trojaner erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw]
* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect]

* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw]
* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect]

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Trojaner überlagert die Routine: IEXPLORER.EXE .

E-Mail Nachrichten
Das vorrangige Ziel der sich durch E-Mail Nachrichten verbreitenden Würmer ist, einen anderen Computer zu infizieren. Das erreichen sie durch die Erzeugung und das Abschicken von E-Mail Nachrichten. Die erzeugten E-Mail Nachrichten enthalten generell den Wurmcode, es kann aber auch vorkommen, dass selbst der Anwender des angegriffenen Computers über die in der Nachricht angegebenen Bezugsadresse ihn herunterlädt. Manche Würmer können E-Mail Nachrichten mit den verschiedensten Parameter generieren und abschicken.

Der Schädling Win32/Rootkit.Agent.DP Trojaner generiert zur eigenen Verbreitung E-Mail Nachrichten und schickt seinen eigenen Code darin weiter.
Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mail Nachrichten verbreitenden Viren, bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurmcode weiterzuschicken. Fallweise werden die gefundenen Adressen auch zur Ausfüllung der Absenderfelder verwendet, um die Origin der Nachricht zu verfälschen.

Der Schädling Win32/Rootkit.Agent.DP Trojaner durchsucht die Dateien mit folgender Erweiterung nach E-Mail Adressen:

* adb
* asp
* dbx
* eml
* fpt
* Vollständige Liste...

* adb
* asp
* dbx
* eml
* fpt
* htm
* inb
* mbx
* php
* pmr
* sht
* tbb
* txt
* wab
* zurück...

Der Aufbau der zusammengestellten E-Mail Nachrichten sieht wie folgt aus:
Das Feld Absender

Der Absender wird vom angegriffenen Rechner gesammelt, bzw. wurde von früher angegriffenen Rechnern gesammelt.

Angriff über das Internet
Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Das Schädlingsprogramm Trojaner versucht, sich an die Web-Adresse: 63.216.0.5 anzuschließen.

Das Schädlingsprogramm Trojaner lädt Code von den folgenden Web-Adressen herunter und führt sie durch:

* 208.66.194.241
* 66.246.252.213
* 67.18.114.98

* 208.66.194.241
* 66.246.252.213
* 67.18.114.98

Hintertür
Die Viren, Würmer öffnen immer häufiger eine Hintertür auf dem infizierten Rechner. Dadurch können sie voll und ganz die Kontrolle über den Computer übernehmen, der Angreifer kann auf dem Computer machen, was er will: Er kann Anwendungen laufen lassen, Anwendungen stoppen, Dateien herunterladen, Passwörter, Zugriffscode entfremden

Die heruntergeladnen (Download) Dateien werden unter folgenden Bezeichnungen gespeichert:

* C:\ WINDOWS\ systwm32\ <random>_exception.nls
* C:\ WINDOWS\ Temp\ ldrnt.bin
* C:\ WINDOWS\ Temp\ <random>.exe

* C:\ WINDOWS\ systwm32\ <random>_exception.nls
* C:\ WINDOWS\ Temp\ ldrnt.bin
* C:\ WINDOWS\ Temp\ <random>.exe

Die vom Computer gesammelten Informationen werden an die Adresse: h**p://208.66.195.169:3154/post.cgi übermittelt.


So wie es aussieht hast du dir folgendes eingefangen: http://www.sophos.de/security/analys...w32rbotde.html Klick für info.

Du kannst die infizierten Daten per www.virustotal.com auswerten lassen.
Programm-Leiste -> Suchen -> usw..
Allerdings nur um sicher zu gehen.



Danach bitte folgendes:
1. Sofort die Verbindung zum Internet kappen.
2. Keine Daten retten!
3. Neuaufsetzen und anschliessend alle Kennwörter ändern.
http://www.trojaner-board.de/51262-a...sicherung.html Gehe dabei genau nach der Anleitung vor. Halte dein System immer auf dem neusten Stand, auch den IE, zb.