Trojaner-Board - Sehr eigenartig

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sehr eigenartig (https://www.trojaner-board.de/7323-sehr-eigenartig.html)

Hallo miteinander

Könnte mir vielleicht jemand weiterhelfen ich habe folgende Probleme

Seit kurzer zeit fahren zwei Programme hoch die ich vorher nicht hatte sie lauten class oder so die vorher nicht hochgefahren sind

2. ich komme nicht in meine Sysedit rein bzw. bekomme keinen zugriff
3.habe mit dem Programm Antivir die Meldung der Wurmes TR/Dldr.PurScan.B.1
4.Im Ordner ACMru (reg) habe ich komische einträge dir mir nichts sagen (0006_regulär/bridge.dll)

Im großen und ganzen läuft mein Rechner ohne Probs aber es kommt mir schon ein wenig spanisch vor was seit kurzer zeit dort passiert

Mal nen Scann gemacht vielleicht hilft das jemanden weiter

Logfile of HijackThis v1.98.2
Scan saved at 10:59:28, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\WINDOWS\System32\xvshost.exe
I:\WINDOWS\System32\ctfmon.exe
I:\Programme\AVPersonal\AVGUARD.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\WINDOWS\system32\ntvdm.exe
I:\WINDOWS\regedit.exe
I:\T-ONLINE\BSW4\ToDuCAlC.EXE
i:\progra~1\intern~1\iexplore.exe
I:\PROGRA~1\WINZIP\winzip32.exe
I:\Dokumente und Einstellungen\Saint the Brain\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f1manager.de/login.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [System Update] I:\WINDOWS\System32\lgzrv.exe
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] lssass.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] xvshost.exe
O4 - HKLM\..\Run: [NeroCheck] I:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [CB3C8ACC] I:\WINDOWS\System32\htlsobpoml.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lssass.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xvshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] lssass.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] xvshost.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE8A1F8B-099C-48CF-834A-A88BF9C5D056}:

Würde mich über antwort freuen :confused:

Elster

Hallo Elster,

auch bei dir liegt vieles im argen. Du hast min. ein aktiven Backdoor Trojaner auf dein System. Eine Bereinigung durch Virenscanner wäre imho unzureichend. Setzte dein System zu deiner eigenen Sicherheit neu auf und sichere es entsprechend dieser Anleitung VOR der ersten I-net Verbindung ab, siehe hier: http://www.trojaner-board.de/showpos...54&postcount=2

Um dir die Gefährlickeit von Backdoor Trojaner zu verdeutlichen, siehe hier:
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Könntest du mir bitte diese Datei gezippt an meine Mail Addy cidre_troja@yahoo.de schicken:
I:\WINDOWS\System32\xvshost.exe

Ich fürchte, die Antwort wird dich nicht wirklich freuen, denn auf deinem System laufen aktive Trojanische Pferde und Würmer. :( Das es deswegen kompromittiert ist, kann ich dir ehrlicherweise nur das empfehlen:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html)
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Wenn du eine Reparatur versuchen willst (was ich nicht rate), besorge dir E-Scan und update ihn wie hier beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Beende die Prozesse:

xvshost.exe
lgzrv.exe
lssass.exe
htlsobpoml.exe

Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Fixe mit HJT:

I:\WINDOWS\System32\xvshost.exe
O4 - HKLM\..\Run: [System Update] I:\WINDOWS\System32\lgzrv.exe
O4 - HKLM\..\Run: [Microsoft Update] lssass.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] xvshost.exe
O4 - HKLM\..\RunServices: [CB3C8ACC] I:\WINDOWS\System32\htlsobpoml.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lssass.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xvshost.exe
O4 - HKCU\..\Run: [Microsoft Update] lssass.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] xvshost.exe

Starte in den abgesicherten Modus, lösche die in deisen Einträgen angegebenen exe-Dateien und lass E-Scan durchlaufen (s.o.).

Starte neu in den normalen Modus, aktivieren die Systemwiederherstellung und poste ein neues Log.

Besser: Abarbeiten der 11 Punkte.

Puhh erst mal vielen dank für die schnelle hilfe :aplaus:

emm ja :heulen: alles wieder neu machen urg.....

na ich werd mal die repvorschläge probieren wenn das zu schwer wird werd ich wohl neu aufsätzen müssen

aber wollen tuhe ich das wirklich nicht gerne da ist nen halber tag weg

na ich wird den neuen scann hier noch mal reinschreiben

see all
Elster

ja mal nen auszug von escann

File I:\WINDOWS\System32\xvshost.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

File I:\WINDOWS\System32\NortonScn.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000753.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000754.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000755.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000778.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000781.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000782.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000783.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000784.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000785.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000790.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000810.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000813.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000822.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000823.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000824.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000825.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP10\A0000868.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP17\A0001145.exe infected by "TrojanProxy.Win32.Bobax.c" Virus. Action Taken: File Deleted.
File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP3\A0000444.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP32\A0003303.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP32\A0003307.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP46\A0005523.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP46\A0005545.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP46\A0005588.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP46\A0005589.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP6\A0000643.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\System Volume Information\_restore{03FF1765-7F50-44ED-85A3-0F8B91C3C255}\RP9\A0000711.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File I:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09O01KF8\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.fa" Virus. Action Taken: File Deleted.

File I:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LRVIK803\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.fa" Virus. Action Taken: File Deleted.

File I:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LRVIK803\bridge[1].cab infected by "TrojanSpy.Win32.Briss.g" Virus. Action Taken: File Deleted.

File I:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TXWUZ0P6\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdvWare.MediaTickets.b" Virus. Action Taken: File Renamed.

ach dazu noch ein bericht zur netzwerküberprüfung

2 Freigabe(n) auf dem Computer vorhanden.
Ergebnisdetails

Zugriff: F - Vollzugriff, R - Lesen, W - Schreiben, D - Löschen, X - Ausführen, C - Ändern

Wertung Freigabe Verzeichnis Freigabe-ACL Verzeichnis-ACL

ADMIN$ I:\WINDOWS Administrative Freigabe VORDEFINIERT\Benutzer - RX, VORDEFINIERT\Hauptbenutzer - RWXD, VORDEFINIERT\Administratoren - F, NT-AUTORITÄT\SYSTEM - F

I$ I:\ Administrative Freigabe VORDEFINIERT\Administratoren - F, NT-AUTORITÄT\SYSTEM - F, VORDEFINIERT\Benutzer - RX, Jeder - RX

wohl gemerkt ich habe nur mich als admin und unter den vorgesehenen einstellungen taucht auch nur 1 benutzer auf mmm

Zitat:

Könntest du mir bitte diese Datei gezippt an meine Mail Addy cidre_troja@yahoo.de schicken:

Diese Datei wird von F-Secure Anti-Virus und Kaspersky Anti-Virus eindeutig als Backdoor.Rbot.gen identifiziert!

Zitat:

* Starten von Distributed-Denial-of-Service (DDOS) Attacken mittels ICMP, SYN und UDP.
* Umleiten von TCP- und SOCKS4-Verkehr.
* Remote Login-Shell.
* Herunterladen, Hochladen, Löschen und Ausführen von Dateien.
* Einrichten eines HTTP- und TFTP-Fileservers.
* Stehlen von Kennwörtern (einschließlich PayPal-Kontodaten).
* Speichern gedrückter Tasten.
* Aufnehmen von Bildschirmabbildungen.
* Aufnehmen von Webcam-Abbildungen und Videos.
* Auflisten und Beenden von Prozessen.
* Öffnen und schließen von Sicherheitslücken.
* Port-Scan für Schwachstellen auf anderen remoten Computern.
* Senden von E-Mails gemäß Angaben des Remote-Users.
* Löschen der DNS- und ARP-Cache-Speicher.
* Herunterfahren des Computers.

Quelle: http://www.sophos.ch/virusinfo/analyses/w32rbotgr.html

Ein Neuaufsetzen deines Systems ist also unumgänglich!

Zitat:

Eine Bereinigung durch Virenscanner wäre imho unzureichend.

Siehe http://oschad.de/wiki/index.php/Virenscanner

btw: Hast du dir Links auch mal durch gelesen?

jop habe ich jetzt durchgelesen mmm :balla:
ok werde dann mal alles neu machen sch...

danke für die coole beratung und das schnelle helfen

hoffe mit dem neugerichteten rechner nicht mehr so viel ärger zu bekommen
werde mich mal an die 11 punkte die zu berücksichtigen sind dran machen

mfg Elster

Hi,

habe lssass über über regedit -> suchen"lssass" ausfindig gemacht
und den Eintrag gelöscht. Dann neu gebootet und lssass tauchte als Task
nicht mehr auf. Somit konnte auch die lssass.exe gelöscht werden.

Alles wird gut.

CU
Hebisteg