Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seitenaufbau langsam + Trojaner bei Antivir (https://www.trojaner-board.de/68607-seitenaufbau-langsam-trojaner-antivir.html)

JerichoGW 14.01.2009 22:44
Seitenaufbau langsam + Trojaner bei Antivir
 
Moiner!

Ich habe seit eingigen Tagen das Probelm,dass mein Browser (benutze Firefox,habe aber auch schon andere Browser ausprobiert,gleiches Porblem) die Seiten nur noch langsam lädt. Habe 6000er DSL von arcor und von denen auch schon Speedchecks machen lassen. Up-/Download Raten sind okay. Ist nur der Seitenaufbau. Ich hatte vor einigen Tagen das Problem "Your system is infiected" blablabla und dem roten Kreuz unten in der Taskleiste. Das habe Ich aber nach Anleitung aus diesem Forum weg bekommen. Nun zeigt mir aber Antivir andauernd an,dass in Windows/system32 Trojaner sind.Immerwieder andere Dateien,hier ein par Beispiele:
TR/Crypt.XPACK.Gen' (der tauchte öfters auf auch nach dem löschen war der wieder da)
TR/FraudPack.grf
TR/Fakealert.QF
BDS/TDSS.adb' [backdoor]
TR/Agent.gbt.26624
TR/FakeAV.bak.2
TR/Rootkit.Gen
'TR/Agent.BNS.50688
TR/Dldr.Murlo.VN.1
TR/Dldr.Agent.bcst
Ich bitte euch um Hilfe!

Hier noch das HijackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:32, on 14.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MagicTune Premium\MagicTune.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5146 bytes


und das von Malwarebytes

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

14.01.2009 22:47:57
mbam-log-2009-01-14 (22-47-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54212
Laufzeit: 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Schonmal danke!

john.doe 14.01.2009 22:59
Hallo und :hallo:

GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

ktofl 14.01.2009 22:59
das selbe problem habe ich seit sonntag auch..
und die trojaner kommen mir auch bekannt vor. ich habe zusätzlich noch ein virus im bootsektor..
ich werde den rechner neu aufsetzen müssen

JerichoGW 15.01.2009 11:16
Das Log von Gmer ist zu groß um es zu posten. müsste es in 5 teilen posten!
Hier nur die rot-markierten Einträge! Hilft das oder muss ich wirklich das ganze Log komplett posten?

SSDT sphz.sys ZwCreateKey [0xF74DA0E0]
SSDT sphz.sys ZwEnumerateKey[0xF74F7CA2]
SSDT sphz.sys ZwEnumerateValueKey [0xF74F8030]
SSDT sphz.sys ZwOpenKey [0xF74DA0C0]
SSDT sphz.sys ZwQueryKey [0xF74F8108]
SSDT sphz.sys ZwQueryValueKey [0xF74F7F88]
SSDT sphz.sys ZwSetValueKey [0xF74F819A]

Service system32\drivers\TDSSpaxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

danke nochmal!

john.doe 15.01.2009 16:35
Ich brauche das vollständige Log. Falls es zu lang ist, dann lade es bei irgendeinem Filehoster (z.B. www.file-upload.net) hoch und poste den Link.

ciao, andreas

JerichoGW 15.01.2009 19:38
Hier ist der Link!

http://www.file-upload.net/download-1381039/gmer-Log-von-JerichoGW.txt.html

thx

john.doe 15.01.2009 19:47
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\drivers\TDSSpaxt.sys
C:\WINDOWS\system32\drivers\TDSSserv.sys
C:\WINDOWS\system32\TDSSoeqh.dll
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\TDSSbrsr.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\TDSSxfum.dll
C:\WINDOWS\system32\TDSSlxwp.dll
C:\WINDOWS\system32\TDSSnmxq.log
C:\WINDOWS\system32\TDSSsihl.dll
C:\WINDOWS\system32\TDSSrhym.log
C:\WINDOWS\system32\TDSStkdu.log
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

JerichoGW 16.01.2009 11:53
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\TDSSpaxt.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSpaxt.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSoeqh.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSoeqh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\TDSSosvd.dat" deleted successfully.

Error: file "C:\WINDOWS\system32\TDSSbrsr.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSbrsr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSriqp.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSriqp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSxfum.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSxfum.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSlxwp.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSlxwp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSnmxq.log" not found!
Deletion of file "C:\WINDOWS\system32\TDSSnmxq.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSsihl.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSsihl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSrhym.log" not found!
Deletion of file "C:\WINDOWS\system32\TDSSrhym.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSStkdu.log" not found!
Deletion of file "C:\WINDOWS\system32\TDSStkdu.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Da Ich denke,dass ERROR file not found nichts Gutes ist,hab Ich nochmal gmer durchlaufen lassen. Hier der Link des neuen LOGs:

http://www.file-upload.net/download-1382238/gmer-Log-neu-von-JerichoGW.txt.html

danke,
gruß Gunnar

Haengdichweg 16.01.2009 12:09
Zitat:
Zitat von JerichoGW (Beitrag 406145)

Da Ich denke,dass ERROR file not found nichts Gutes ist,hab Ich nochmal gmer durchlaufen lassen. Hier der Link des neuen LOGs:

http://www.file-upload.net/download-1382238/gmer-Log-neu-von-JerichoGW.txt.html

danke,
gruß Gunnar
Kopier das logfile lieber direkt hier rein.

JerichoGW 16.01.2009 14:54
geht nicht. hat 116000 zeilen und ich müsste das fünfteln.ist einfacher mit file-upload!

john.doe 16.01.2009 16:12
Zitat:
Da Ich denke,dass ERROR file not found nichts Gutes ist
Da denkst du falsch. Er ist nicht mehr aktiv. Eine deiner Maßnahmen hat ihn gekillt. Es gibt nur noch Reste.

Arbeite diese Liste ab:

1.) Starte HJT => Do a system scan only => Markiere:
Code:
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: karna.dat
=> Fix checked => Nach Neustart sollte es dir besser gehen. :)

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131