GMER meldet versteckten Service, wahrscheinlich Trojaner
 

Hallo Gemeinde,

ich habe einen hartnäckigen Trojaner oder Virus auf dem PC, unter XP SP2.

GMER meldet

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] muyigxtbw

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

Eine zugehörige Dll bfzbrenk.dll wurde von AVG als Trojaner I-Worm/Generic.CKH erkannt und unschädlich gemacht.

Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll

Der Trojaner bewirkt, dass er beim Einloggen wahllos irgendwelche IP`s aufruft und wahrscheinlich versucht sich über Port 445 dort zu verbreiten, im Log steht z.B.

svchost.exe:432 TCP XXX.XXX.XX.XX:4730 29.121.219.4:445

Kennt jemand das Problem oder weiß die Lösung?

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Danke, aber das wollte ich gerade vermeiden. Der PC läuft sonst perfekt. Man muss doch die Ursache beseitigen können. Ich kann den Trojaner mit dem residenten Schutz unschädlich halten, aber das ist keine Lösung.

Hijack und AVG meldet keine Auffälligkeiten.

Siehst Du :)
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum
das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Danke, das Tool werde ich versuchen. Neuaufspielen ist die letzte Möglichkeit. Ich habe noch einen 2. Rechner im Heimnetzwerk auf dem der Trojaner auch drauf ist, dann müsste ich gleich 2 Rechner neu bespielen. :(

Poste mal bitte das komplette gmer logfile.

Hallo BataAlexander,

das sieht so aus.

Das Tool hat nichts gemeldet, aber Anti-Malware hat was gefunden

Also ich konnte jetzt mit Umstellung der Berechtigungen über regedit die Einträge zu dem Trojaner in der Registry löschen. Ich hoffe dass es so bleibt. Anti-Malware und GMER meldet dazu nichts mehr.

Aber kann mir jemand sagen, was die ntoskrnl.exe mit dem TCPIP-System zu tun hat?

AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Irgendwas muss noch drauf sein. Ständig wird über svchost versucht einen Trojaner zu downloaden was AVG glücklicherweise unterbindet.

svchost.exe:1548 TCP XXX.XXX.XXX.XXX:2336 85.121.243.7:9234

Was ist svchost:1548 ? :killpc:

Ich springe mal kurz ein für den, der meine Kommentare so mag. :D

Anleitung Avenger (by swandog46)

Lade dir das Tool Gurkenhobel und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo john.doe,

danke dir! Er hat nichts gefunden, ich hatte ja schon alles entfernen können.

Trotzdem klinkt sich wahrscheinlich ein Trojanerdownloader rein, sobald ich über pppoe und Windowsfirewall im Netz bin.

Das DSL-Log meldet:

und der residente Schutz von AVG

1.) Poste bitte ein aktuelles Gmer-Log.

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hier ist das Gmer-Log

Man lese in sämtlichen Foren etwas über Conficker / Downadup / Kido und man liest immer, dass ein vertrauenswürdiges System* regelmäßig nur durch neuinstallieren zu erreichen ist (gildt sinngemäß für alle Backdoor Programme, bei denen dritte alles auf meinem Rechner machen könnten)

Hier etwas anderes zu raten, muss schon in den Ausfall einer 24h Produktionskette begründet sein, sorry.

*vertrauenswürdiges System: Hier würde ich Online Banking machen.

Alex

PS: Hier wäre eine "Lösung" für Dein Problem.

Hallo BataAlexander,

habe ich eben durchlaufen lassen, meldet keine Infektion.

Dann liegt es an Dir: Mit dem System weiterarbeiten in dem Wissen alles ist sauber. Oder aber doch neun installieren.

Wichtig:

- Installiere immer alle Sicherheitspatches
- Wähle Starke Passwörter
- verhalte Dich wie im Strassenverkehr, defensiv!

Alex

Danke Alex,

ich werde erst alle Möglichkeiten nutzen, denn Neuinstallation ist immer eine Kapitulation.

Wird Zeit, dass man die Programmierer dieser Trojaner ordentlich bestraft und sie nicht mit ein paar Stunden gemeinnützige Tätigkeit davonkommen!

NB3000

Neuinstallation ist nicht Kapitulation!

Neuinstallation ist verstehen!

Versuche Dir vorzustellen, Dein Rechner sei Softwarebezogen wie ein Glass Milch.
Der Code besteht aus 0 und 1. Du willst die "bösen" 1 und 0 loswerden. Du denkst, Du oder eine beliebige Software Deiner Wahl können das.

Nimm das Glass Milch, schütte es in eine Badewanne. Das Glas Milch ist immer noch da. Allerdings sind sehr viele "böse" Wasserteilchen um es herum.

Was würdest Du tun um ein Glas leckere Milch zu trinken?

a) Die Wanne leertrinken
c) Die Milch aus dem Wasser fischen
b) Die ein neues Glass einschütten

Das ist zwar ein schwaches Gleichnis, aber ich hoffe Du verstehst, worum es geht.

Nach einem Befall mit einem Trojaner sollte man seinem System nicht mehr trauen. Und wer will schon mit einem System arbeiten, dem man nicht vertrauen kann?

Ein kleines Beispiel:

Herr X schreibt einen Wurm bzw. Trojaner, der sich verbreitet und eine Hintertür öffnet. Der Trojaner(Variante.a) wird irgendwann von den Virenscannern erkannt, hat sich aber schon weit verbreitet. Überall Alarm und Entfernungsorgien. Der Autor des Schadprogrammes weiß dies natürlich auch, also schreibt er sein kleinen Freund neu, nur diesmal anders, damit er nicht mehr erkannt wird (neue Kompilierung und eventuelles verschlüsseln). Anschließend wird er auf bereits infizierten Maschinen hochgeladen und ausgeführt. Nun wütet der Trojaner(Variante.b) fröhlich durchs Internet und infiziert wiederum andere Computer. Und weil Herr X so freundlich war auf einer Seite den Quellcode des Trojaners(Variante.a) zu veröffentlichen, haben Herr A-W und eventuell auch Frau Y und Z den Quellcode abgeändert oder weil ihnen langweilig war, den Trojaner in andere Sprachen übersetzt, bzw. Nachgeschrieben. Nun gibt es den Trojaner von Variante a-z und a1-z1 vielleicht sogar in Variante q3z6, wenn jemand ganz mutig war ; ). Und selbst wenn Virenscanner Heuristikscans besitzen, heißt es nicht, das auch alle erkannt werden.

Nicht zu vergessen, auch Virenscanner und Firewalls können ihre Schwachstellen haben.

Hallo Alex,

verstehe schon. Ich war auch schon versucht alles neu zu machen, aber ich warte erst mal ab. Ich habe jetzt etliche Sicherheitsupdates installiert, einen Haufen Software deinstalliert und gesäubert, die Scanner melden nichts mehr.

Den PC habe ich jetzt über 6 Jahre ohne eine Störung am laufen gehabt, ohne Virenscanner und sonstwas. An fing das, als ich vor 2 Monaten T-Online 6.0 statt AVM zur Einwahl genutzt habe und dann plötzlich Werbeeinblendungen kamen. Nach Ablauf der 30 Tage Installation von Kaspersky kam dann die Sache mit dem Trojaner hier, der sich bei pppoe-Verbindungen eingeklinkt hat. Seit dem beschäftige ich mich mit Virenbekämpfung. :schmoll:

Gruß NB3000