Trojaner-Board - Autorun.inf & boot.com

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Autorun.inf & boot.com (https://www.trojaner-board.de/68712-autorun-inf-boot-com.html)

Autorun.inf & boot.com

Hallo Leute,
seit heute, hab ich auf all meinen Laufwerken und meinem USB stick diese beiden datein, die boot.com liegt dabei in einem verstecktem "recycled" ordner.

Hab die Autorun-Funktion aber eigebtlich ausgestellt (mit TuneUp-Utilities).

Ich kann beide zwar löschen, aber nach wenigen Sekunden sind sie jeweils wieder da...

Ich hab von einem anderen User hier im Board ein ähnliches Prüblem gefunden, wollte aber die genannten Programme, wie ComboFix nicht einfach so anwenden...
(Thread)

Ich weis nicht ob es damit zutun hat, aber seit dem hatte ich schon 3 BlueScreens. (heute)

Wenn ich versuche Antivir - Update zu machen, sagt der auch immer, dass keine Internetverbindung aufgebaut werden kann. :(

Hoffe ihr wisst was zu tun ist XD

mfg
ani

Hallo ani & :hallo:

Diese Dateien sind ganz normal und werden auch bei nichtbenutzens der Autorun Funktion auf den Datenträger gelassen.
Falls man sie löscht. Spielen sie sich meist beim Neustart neu auf.
Wo liegt noch das Problem? :confused:

Ach verdammt, hab ich vergessen zu schreiben XD

bei uns in der schule hatte einer seinen stick drin, und sophos hatte gemeldet, das die autorun.inf... ein trojaner sei, weis die Bezeichnung nicht mehr.

seit dem ich meinen stick mal an dem laptop von der person hatte (der den trojaner eingeschleppt hat), hab ich den mist auch drauf...

lustigerweise sagt mein antivir nix dazu, also dass es ein trojaner oder so wäre.

Du meinst es spielt sich erst beim neustart drauf? wenn ich es lösche (beide datein) sind die nach ein paar Sekunden immer gleich wieder da.

mfg
ani

Sophos sind Antiviren Pakete für Server, Zentralen etc.
Kann sein dass es die autorun.inf als Trojaner ansieht da man neuerdings damit auch dateien stehlen kann (per autorun).
Ich sehe in der Hinsicht keine Gefahr, lade aber trotzdem mal diese Dateien bei virustotal hoch und falls die Scanner anschlagen poste es :)

Komische Combo aus Trojan.Win32.Autorun.AEC & DNSChanger :rolleyes:
Sieht mir schwer danach aus als wäre das ding gecryptet wurde was aber nix an der Tatsache ändert dass auf deinem Wechseldatenträger die Autorun manipuliert wurde.
Sichere alle Dateien auf den USB Sticks und Formatiere sie komplett neu !
Zusätzlich poste die Einträge in

Code:

C:\Windows\system32\drivers\etc\hosts

Öffnen mit dem Notepad/Editor.

inwiefern manipuliert?
von hand oder meinst du irgendeine software (malware...)

hier die einträge:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Hallo Animal21,

mache einen Doppelklick auf die Autorun.inf, markiere alles, kopiere es und füge hier den Text ein.

ciao, andreas

Zitat:

[autorun]
;pbnbfpwkqayjlzkgqcxssdqdwcqkuwkgrbvnshybujsmvardjtcvrfdpsclkqddwpuifdkvfhjnoirsnkjsrooybeflsennfr
shellexecute="resycled\boot.com d:"
;rjerdclldhvsspvugpfavutpevgulub
shell\Open\command="resycled\boot.com d:"
;uwwaftlwsqpw
shell=Open
;bu

hab die boot.com auch nochmal bei VirusTotal hochgeladen, hie das ergebnis: Click Me

Lass mal Alle ausgeblendeten Dateien und die Systemdateien einblenden.

Ordneroptionen --> Ansicht --> Systemdateien ausblenden (Haken weg)
" --> " --> Alle Dateien und Ordner einblenden (Punkt/Haken machen)

Jetzt such die Autorun.inf Dateien und poste bitte was drin steht.

Das sieht nicht gut aus. Stell dich schon einmal gedanklich auf das hier ein:
http://www.trojaner-board.de/51262-a...sicherung.html

Lies das hier: http://www.trojaner-board.de/68318-r...ht=disinfector

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP.
Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

ciao, andreas

edit: sorry war grad am posten, werd ich gleich machen

hab 4 laufwerke (2Hdds, eine in 3 teile partitioniert)
C:

Zitat:

[autorun]
;xqjqwtkhadyfbhhpdkujkwctgbah
shellexecute="resycled\boot.com c:"
;qrouimyyrhhuue
shell\Open\command="resycled\boot.com c:"
;rumdsttuwrhhwgexmifltdsbnwhmpxuuedhnrniyggxsavznbiintzlvvjqvxdcyykxevdmm
shell=Open
;wcvxusprmqvskmhbzgsmbkpwmuth

Zitat:

[autorun]
;hjalxsvbemlbcalyyzpeuacixnbduwxzpcklxntekzhhgcckbbae
shellexecute="resycled\boot.com e:"
;zichtczzxirxrlnmzfjqgvcyrzpovkqtpdbamotovnzmicxkfvmugbfshxariqgptdlozwydnlyfswfeyytywqwwzfvdesghqz
shell\Open\command="resycled\boot.com e:"
;noboowz

Zitat:

[autorun]
;dtxnmwrhsvesdnuakunekcbneibvzpakxkuezvweohwmrszbia
shellexecute="resycled\boot.com f:"
;bcyeufeaenaohjmejkwvoigsifusxaqnjanubuedozacvjvcvao
shell\Open\command="resycled\boot.com f:"
;ckhbphfxxxhnxiivrjutysrsoesebstxewarjxbcvqrynfipnrprpmpc

USB Laufwerk:

Zitat:

[autorun]
;lkelkwqxtvehnwjjajlcw
shellexecute="resycled\boot.com k:"
;avebyrfnaoyhpcjjsjcexnzkggoqovolyzcofdxomufxcyrmrmfdllrovvyleszipgo
shell\Open\command="resycled\boot.com k:"
;rwgjgmpkdlnpixwolynochlwcsnva
shell=Open
;asigtoseoiadenpmykqjgepaq

Auf C und D is ein OS installiert, die beiden andern sind nur daten-Partitionen und dann halt noch der usb-stick (übrigens U3-stick, falls das was tut...)

Ich verweis dich hiermit zu john.doe's post :)

ok hab ich gemacht, was sollte jetzt anders sein?

die autorun.inf's sind immer noch da und sehn immer noch so kryptisch aus :<

Möchtest du eine Reinigung versuchen auch wenn eine Neuinstallation sicherer ist?

ciao, andreas

würd schon gern erstmal versuchen des system zu reinigen, eine neuinstallation kostet immer so viel zeit und drumherum...

mfg
ani

edit: da is 2 os habe, bringt da eine neuinstallation überhaupt was?, das ganze wäre ja auf der anderen platte immernoch drauf

Glaub mir, eine Reinigung kostet erheblich mehr Zeit.

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Gmer sagt:
Text-Datei

Ein Bild

Poste bitte ein aktuelles HJT-Log.

ciao, andreas

Hier:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:31, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\Programme\Avira\Avira Premium Security Suite\sched.exe
D:\Programme\Avira\Avira Premium Security Suite\avguard.exe
D:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
D:\Programme\FolderSize\FolderSizeSvc.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\oodag.exe
D:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\oodtray.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Microsoft IntelliType Pro\itype.exe
D:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
D:\Programme\GIGABYTE\GEST\gest.exe
D:\Programme\DAEMON Tools Pro\DTProAgent.exe
D:\Programme\Spamihilator\spamihilator.exe
D:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Everest Ultimate 4.x\everest.exe
D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
D:\Programme\GIGABYTE\GEST\GSvr.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [OODefragTray] D:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [GEST] D:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] D:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [itype] "D:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Spamihilator] "D:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Programme\Everest Ultimate 4.x\everest.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] D:\Programme\TaskSwitchXP\TaskSwitchXP.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DE62BD9-0AB5-4B2A-AFDC-F8B3237F7E7F}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.198,85.255.112.138
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Folder Size (FolderSize) - Brio - D:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - D:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: LVCOMSer - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8323 bytes

mfg
ani

:eek: Umleitung in die Ukraine ist auch noch da. Du machst hoffentlich kein Internetbanking? Oder hast z.B. Ebay-Konten?

Starte dein zweites BS und poste von dem auch ein HJT-Log. Bitte ändere alle http in htp in den HJT-Logs. Klicke bei deinem ersten Log auf Editieren und ändere es dort auch. Sonst gibt es Ärger.

ciao, andreas

mach gelegentlich ebay...

Ukraine? lol

HJT gibts glei im edit

edit:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:42, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\GIGABYTE\GEST\GEST.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htp://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CB81B20-789B-4231-BE61-9453D902F6DC}: NameServer = 85.255.116.51,85.255.112.96
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.51,85.255.112.96
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CB81B20-789B-4231-BE61-9453D902F6DC}: NameServer = 85.255.116.51,85.255.112.96
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.51,85.255.112.96
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7087 bytes

Zitat:

Ukraine? lol

Du lachst? Schau hier: 85.255.113.198 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren

Du kannst deinen eigenen Standort überprüfen, wenn du folgende Seite aufrufst:
Wie ist meine IP-Adresse?

Dann kopiere die IP hier rein: utrace - IP-Adressen und Domainnamen lokalisieren

ciao, andreas

p.s.: Ich habe dich schon vorgewarnt, jetzt ist es amtlich:
http://www.trojaner-board.de/51262-a...sicherung.html

Lies nocheinmal den anderen Thread. Er hat dreimal installieren müssen, da er sich selbst immer wieder infiziert hat. Damit die Neuinstallation nicht sinnlos ist, stecke den USB-Stick an und lasse Combofix laufen. Poste das Log. Ändere nach der Neuinstallation alle deine Kennwörter.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

sorry, andreas

Boah, dat glaub ich jetzt nicht, der Schweinehund legt selbst ComboFix lahm. Wir müssen erst den Rootkit killen, damit wir den Autostart bereinigen können.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

D:\WINDOWS\system32\gaopdxmrwltfub.dll

D:\WINDOWS\system32\drivers\gaopdxppxnsvdk.sys

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

avenger:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "D:\WINDOWS\system32\gaopdxmrwltfub.dll" not found!
Deletion of file "D:\WINDOWS\system32\gaopdxmrwltfub.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "D:\WINDOWS\system32\drivers\gaopdxppxnsvdk.sys" not found!
Deletion of file "D:\WINDOWS\system32\drivers\gaopdxppxnsvdk.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

mfg
ani

Ich bin kurz vorm Aufgeben. Mache bitte nocheinmal ein Log mit Gmer. Bitte nicht neustarten. Der mutiert.

ciao, andreas

Nettes Bild.

Lass MbAm im Quickmodus laufen: http://www.trojaner-board.de/51187-a...i-malware.html

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1659
Windows 5.1.2600 Service Pack 3

16.01.2009 21:55:25
mbam-log-2009-01-16 (21-55-22).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54670
Laufzeit: 2 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\drivers\gaopdxjenawpyo.sys (Trojan.Agent) -> No action taken.
D:\WINDOWS\system32\drivers\gaopdxlxylkmrm.sys (Trojan.Agent) -> No action taken.

darf ich fragen was du beruflich machst?

Zitat:

darf ich fragen was du beruflich machst?

Ja, du darfst fragen. :)

Kontrolliere, ob die autorun.inf noch da sind. Hast du auch alles bereinigen lassen? Dort steht No action taken.

ciao, andreas

haha, vergessen zu klicken XD

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1659
Windows 5.1.2600 Service Pack 3

16.01.2009 22:05:35
mbam-log-2009-01-16 (22-05-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54670
Laufzeit: 2 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\drivers\gaopdxjenawpyo.sys (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\drivers\gaopdxlxylkmrm.sys (Trojan.Agent) -> Quarantined and deleted successfully.

So ist besser.

Kontrolliere, ob die autorun.inf noch da sind.

ciao, andreas

p.s.: Kann es sein, dass du ComboFix zweimal gestartet hast?

hab keine gefunden, die windoofsuche ebenfalls nicht

soll ich so ein anderes analyse ding drüberlaufen lassen?

mfg
ani

edit: ja, weil ich wiedermal nich richtig gelesen hatte, ist das schlimm?

Ja. http://www.trojaner-board.de/51871-a...tispyware.html

edit: Ja. Weil im Log nicht zu erkennen war, was gelöscht wurde und das ist wichtig. Offensichtlich hat er doch alles erwischt. Ich konnte mir schlicht nicht erklären was abläuft.

Zitat:

Zitat von john.doe (Beitrag 406419)

Ja, du darfst fragen. :)

*hust*Und fragst du noch?:)

Der superAntiSpyWare scan läuft zwar noch, aber bisher hat er 2 sachen gefunden:
- Trojan.BotNet/Dropper
- Rootkit.Agent/Gen-GAOPDX

mfg
ani

SuperAntiSpyware:

Zitat:

SUPERAntiSpyware Scan Log
htp://ww.superantispyware.com

Generated 01/16/2009 at 11:55 PM

Application Version : 4.24.1004

Core Rules Database Version : 3713
Trace Rules Database Version: 1688

Scan type : Complete Scan
Total Scan Time : 01:31:17

Memory items scanned : 459
Memory threats detected : 0
Registry items scanned : 6344
Registry threats detected : 0
File items scanned : 233757
File threats detected : 4

Trojan.BotNet/Dropper
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\TEMP\TMP1.TMP.VZR
D:\QOOBOX\QUARANTINE\D\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\TMP1.TMP.VIR

Rootkit.Agent/Gen-GAOPDX
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXIQPXMPHC.SYS

Adware.Tracking Cookie
K:\System\Apps\b4a0be64-438c-423f-8b79-3507b93aa737\Data\User\Cookies\daniel@2o7[1].txt

mfg
ani

Kannst du bitte noch das ComboFix-Log posten, bei dem die Funde zu sehen sind.

ciao, andreas

meinst du das vom ersten mal:
ComboFix

mfg
ani

Das ist das vom zweiten Mal, auf dem keine Löschungen zu sehen sind. Mit dem hast du mich total in die Irre geschickt.

ciao, andreas

hab mit dem SuperAntiSpyware im abngesicherten modus jetzt nochmal gescannt und es wurde nix gefunden, kann jetzt sicher davon ausgehen, dass alles ok ist, oder?

mfg
ani

PS: das andere log ist in einem meiner posts noch...

Zitat:

kann jetzt sicher davon ausgehen, dass alles ok ist, oder?

Ja, jetzt haben wir die Voraussetzungen geschaffen, dass die anstehende Neuinstallation nicht nutzlos sein wird. Du hast da etwas Fieses das zudem noch ganz neu ist.

SUPERAntiSpyware.com - Definition Update History

Hier wird das Thema Botnet einfach und verständlich erklärt: Brennpunkt: Botnetze

Es gibt sogar ein Video: Bot-Netze

ciao, andreas

aahh

ich dachte jetzt, da es sauber ist, brauch ich keine neuinstallation...

edit: wollte meinem kumpel was per stick geben, kann ich davon ausgehen, dass er den virus nicht bekommt?

NEIN, kannst du nicht!

Bei einem anderen Fall hatte ich mit dieser Erklärung Erfolg:

Zitat:

Eine Entfernung ist schon möglich, nur besteht die Möglichkeit, dass ein Mensch Zugang zu deinem Rechner hatte/hat. Was der gemacht hat oder gerade tut ist nicht feststellbar. Da liegt das Problem.

Den Schädling haben wir gekillt, aber ob und was der Mensch gemacht hat, kann dir keiner sagen.

ciao, andreas

kann gar keiner an meinem rechner gewesen sein

an meinem rechner muss man pw eingeben und wenn der stick in der schule dransteckt, bin ich immer auch dabei, sonst hab ich Sperre drin...

bzw hab ja einen u3 stick mit passwort...

:<

also kann ich ihm nix rüberschicker oder wie würdest du das beurteilen?

Mit Zugang meine ich nicht, dass er vor deinem Computer saß, sondern das er mittels Software sich Zugang verschafft hat. Hier steht mehr: Remote Access Service ? Wikipedia

Der Stick sollte sauber sein.

ciao, andreas

Den Link habe ich mir nicht genau angesehen, der hier ist besser: Remote Administration Tool ? Wikipedia

ciao, andreas

hallo leute, seit vorgestern habe ich anscheinend das gleiche problem, also, dass wenn ich auf LW C zugreifen will, ein autostart ausgeführt wird.
gehe ich über den browser komme ich auf C, sehe jedoch keine autostart.inf

nun habe ich jedoch in der commandozeile das ding auf LW C gefunden und auch gleich mal geöffnet

drin steht das:

Zitat:

[autorun]
;edphnlwcrfcoikcfxdudztlyztjvvrjvzhyh
shellexecute="RECYCLER\S-9-3-60-100029881-100006963-100032566-2385.com c:\"
;etojjoquqbiiexueizmifef
shell\Open\command="RECYCLER\S-9-3-60-100029881-100006963-100032566-2385.com c:\"
;rcjivwevomzvmadqxsatazykrqaywkvaxaozoniejubsjxhmossmthhtwtmhekrqdgluquxptxqecukuymfpvurpus
shell=Open

ist meine einzige festplatte, also eine andere ist nicht infiziert.

wie soll ich nun genau vorgehen, um das ganze los zu werden?

achja und mein antivirusprogramm lässt sich nich mal mehr installieren, da ich mein windows neu installiert hatte. das sagt die setup.exe wurde manuell verändert.

grüße
tobias

*EDIT* hab auch grad versucht McAfee Stinger drüberlaufen zu lassen da kommt die meldung

Zitat:

Stinger maybe infectet

Scheisse! SCHEISSE!!
Ich hab den Mist schon mindestens 4 Wochen drauf, und mache sehr viel (!) Onlinebanking und ebay!
SO eine Sch*****!!!
Und ich hab immer die Autorun.inf und die "Recyled" gelöscht, dachte mir nichts weiter dabei.
Nur als das blöde Ding immer wieder auf dem USB-Sick drauf kam wurde ich stutzig.
Unter der Recycled versteckt sich übrigens eine "Info.exe".
Das blöde ist, man kann ja auch kein System neu machen!
Denn wenn der sich sofort immer wieder auf USB-Sticks kopiert
wird der das auch bei DVD-s machen, die man brennen will.
Aber wenn man neu aufsetzen will, wie will man dann backup machen??

Mist
Kann mit dem OnlinkeBanking irgendwas passieren????

mfg
Murdock