Trojaner-Board - Trojaner getarnt als wuauclt.exe?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner getarnt als wuauclt.exe? (https://www.trojaner-board.de/8437-trojaner-getarnt-wuauclt-exe.html)

Trojaner getarnt als wuauclt.exe?

Seit kurzem bekomme ich in der Taskleiste ständig die Anzeige des Symbols, das angezeigt wird, wenn XP automatisch Updates downläd - dieser Planet mit dem Windowssymbl oben links.
Allerdings erscheint, wenn ich das Symbole berühre immer nur "Updates werden gedwonloadet: 0 %"
Als ich dann eben meinen Virenscanner AVPersonal laufen lies, bakam ich die Nachricht, daß eine Datei namens !Setup.exe infiziert sei. Als ich mir diese Exe-Datei ansah, hatte sie das selbe Symbol: Das Windows-Update Symbol. Ich nehme an, daß sich der Trojaner als WindowsUpdateLoader tarnte. Ich habe die Exe-Datei gelöscht, jedoch erscheint das Symbol immernoch in der Taskleiste. Der Scanner findet jedoch keinen Virus mehr und die !Setup.exe ist auch nicht mehr da. Wieso startet das Programm dann noch automatisch bei jedem Systemstart?
Kann der Trojaner noch aktiv sein?

Die Datei !Setup.exe hat im Ordner C:/Dokumente und Einstellungen/All Users gesessen. Dort war die erwähnte !Setup.exe sowie eine Datei Uninstall.exe, die AVPersonal beide als befallen angegen hat. Leider hab ich die Dateien gelöscht und kein Logbuch angelegt, deshalb weiß ich nicht mehr, wodrum es sich genau gehandelt hat. Ich habe aber festegstellt, daß das Windowsupdatesymbol, das bei jedem Start sofort in der Taskleiste erscheint mit dem Prozess "wuauclt.exe" zusammenhängt. Bei den Prozessen (strg+alt+entf) sehe ich 2 mal diesen Prozess: einmal steht hinter dem Prozess in der Kategorie "Benutzename" mein Benutzername und bei der anderen wuauclt.exe ist dieses Feld leer. Wenn ich den Prozess, hinter dem der Name steht beende verschwindet das Symbol aus der Taskleise, jedoch startet sich der Prozess nach etwa 5 Sekunden neu und auch das Symbol erscheint erneut.
Wenn ich die Datei wuauclt.exe aus dem Ordner Windows/system32 lösche (wenn ich kurzzeitig den Prozess beendet habe), wird sie nach 5 Sekunden neu erstellt und gestartet. Könnte Hilfe gebrauchen...

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Im Moment siehts so aus:

Logfile of HijackThis v1.98.2
Scan saved at 23:18:40, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Microsoft\IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\cFosNT\cFosDNT.exe
C:\WINDOWS\System32\Xfire.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\D\Desktop\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft\IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file)
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/15fdb3a77a13245...dxIE601_de.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B991DA79-51F7-4011-98D2-1F2592E82A56} (ACNPlayer2 Class) - http://198.99.241.129/ePlayer/V3_1_0_0/ACNePlayer.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

Allerdings hab ichs auch geschafft, die wuauclt.exe zu beenden, indem ich sie durch eine selbstgeschrieben wuauclt.exe ersetzt hab. Jetzt bekomm ich aber des öfteren ne Fehlermeldung, daß ein Fehler beim ausführen einer Datei aufgetreten sei.

Hallo Moriaty.

um zu erfahren, welche Prozesse auf Deinem System laufen und ob sie richtig geschrieben sind, kannst Du hier nachschauen: www.liutilities.com. Trojaner tarnen sich zwar, verändern aber die Prozessnamen. Wenn man nicht ganz genau hinschaut, kann es passieren, dass man es nicht bemerkt.

[edit] Eine weitere Möglichkeit: Trojaner verbergen sich unter dem Namen von richtigen Prozessdateien in Ordnern, in die diese Prozessdatei nicht gehört. [/edit]

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no
file)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - ht*p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - ht*p://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht*p://207.188.7.150/15fdb3a77a1324...RdxIE601_de.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - ht*p://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {B991DA79-51F7-4011-98D2-1F2592E82A56} (ACNPlayer2 Class) - ht*p://198.99.241.129/ePlayer/V3_1_0_0/ACNePlayer.cab

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Habe bei EScan folgende Vireninfos erthalten:

File C:\WINDOWS\system32\_setuptmp.dll tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\D\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Class1.class-37c73fc9-3954e6b2.class infected by "Trojan.Java.Small.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\D\Eigene Dateien\Video\DVDZips\CLAD.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\D\Eigene Dateien\Video\DVDZips\RA_CODEC12.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\_setuptmp.dll tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Was bedeutet das denn? Wenn da immer "not a virus" vorsteht, wieso meldet der das dann? Und wie ist das mit diesem Javavirus? Soll ich die Datei einfach löschen?

Bei Hijack habe ich jetzt folgende Anzeigen:

ogfile of HijackThis v1.98.2
Scan saved at 11:30:58, on 17.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Microsoft\IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\cFosNT\cFosDNT.exe
C:\WINDOWS\system32\Xfire.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\D\Desktop\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\rsvp.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft\IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

Lösche diese Dateien manuell im abgesicherten Modus:

File C:\Dokumente und Einstellungen\D\Anwendungsdaten\Sun\Java\Deploymen t\cache\javapi\v1.0\file\Class1.class-37c73fc9-3954e6b2.class infected by "Trojan.Java.Small.a" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

Lösch am besten den ganzen Ordner C:\Programme\Gemeinsame Dateien\GMT

not-a-virus-Dateien sind keine klassischen Trojaner/Viren.
Es gibt Dateien, die stuft man als Adware bzw. RiskWare-Software ein, da sie nicht unbedingt schädlich sein müssen.