Hallo , ich hab seit 4 Tagen ein spezial Problem , meine Firewall (Outpost 1.x Free) meldet ca. alle 5 - 10 min. einen Verbindungsversuch von svchost auf die Wahnwitzigsten Adressen z.b. a.relaunch.focus.de,ak.tfag.de,cdn.valueclick.com um die drei häufigsten zu nennen.

Meine bisherige Vorgangsweiße Antivirus Kaspersky findet nichts.
Ad-Aware und Spybot finden nichts.
Hijackthis logfile ist auch in Ordnung.
Googeln -> Erfolglos
Windows ist up2date ich bin mittlerweile echt ratlos weil ich mir Sorgen mache
einen Trojaner oder ähnlich eingfangen zu haben.

Bitte um Eure Hilfe !
DANKE

Hi,
erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Logfile of HijackThis v1.99.0
Scan saved at 19:16:19, on 15.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\bcmwltry.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\TVgenial\TVgenial.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\test\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft

Internet Explorer bereitgestellt von Mir
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

/waitservice
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame

Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky

Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft

ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: GetRight - Tray Icon.lnk =

D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search -

res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight -

D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite -

res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser -

D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten -

res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -

res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} -

C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten -

{A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe

(HKCU)
O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} -

C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -

http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -

http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) -

http://messenger.zone.msn.com/binary...t.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:

NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky

Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum -

C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. -

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

*correcture* ich habe aufgrund dieses durcheinanderen postings nicht den Troj/Delf-BZ gesehen.
er hat backdoor funktionalität.
dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

was weißt denn auf diesen trojaner hin ?

na an O4 - Global Startup: GetRight - Tray Icon.lnk =

getright ist ein downloadmanager der bei mir im tray liegt, oder tarnt sich das ding ? wie kann man sich das einfangen ?

Zitat:

Zitat von Chris14

na an O4 - Global Startup: GetRight - Tray Icon.lnk =

Wo hast Du denn gelesen, dass das ein Starteintrag für Trojaner ist?

Gruß
Yopie

@Chris14
bitte vertraue nicht auf die automatische Auswertung, v.a. nicht, wenn es um die Erkennung von spezifischer Malware geht...
Im Zweifelsfall eScan o.ä. zu Rate ziehen.

mfg Haui

moment mal...
kann es sein das ich mich irre? argh...
ich habe mich geirrt. das kann ja garnet sein...
sorry für meine 2. fehlanalyse..

dann nehme ich das ganze zurück mit dem backdoor^^
lag daran, dass du das log so komisch gepostet hast und ich wiedermals auf autom.log vertraut hab (das ding erkennt solche krummen logs natürlich nicht, und hält alles dann für verschiedene trojaner.. nargh, noch ein grund, darauf nicht zu vertrauen)

aber ok..
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diesen eintrag:
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:


3.dateien löschen
-lösche natürlich alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

@haui45 & yopie thx für die korrektur. bisher habe ich mich teils eben auf den autom.log verlassen und dann nachgeprüft, ob es der wahrheit entspricht.diesmal habe ich den 2.part übergangen. nya noch ein grund, nicht mehr darauf zu vertrauen.

Zitat:

Zitat von Chris14

.. und ich wiedermals auf autom.log vertraut hab

Vertrauen sollte man darauf nie, es kann höchstens Anhaltspunkte bieten. Ich hab den Eindruck, dass es leider mit zunehmender Datenbasis zu immer schlechteren Ergebnissen kommt.

Gruß
Yopie

bist dir sicher das es gut ist 017 zu fixen,dann hab ich doch keinen dns mehr oder ?? schön langsam bin ich ein wenig verzweifelt escan läuft aber mals,aber findet nix.zwischenzeitlich hat meine firewall kurz gestreikt und prompt hatte ich die datei bla.exe auf c:\ ich google grade, aber ich denk das hilft mir vl. weiter ?

Nein, den O17-Eintrag solltest du nicht fixen
Das Log schaut sauber aus, jedoch wäre es schön, wenn du mal eines ohne die ganze Absätze posten könntest, dann schau ich's mir nochmal an.

Zitat:

....Firewall kurz gestreikt und prompt hatte ich die datei bla.exe auf c:\

Überprüfe die Datei mal mit deinem AV oder bei http://virusscan.jotti.dhs.org

hier nochmal mein logfile, keine ahnung was da vorhin schief gangen ist.
also kaspersky sagt das mein pc sauber ist.

Logfile of HijackThis v1.99.0
Scan saved at 19:16:19, on 15.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\bcmwltry.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\TVgenial\TVgenial.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\test\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Mir
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
/waitservice
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binar...ot.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\KasperskyAnti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich kann im Log nichts gefährliches entdecken.
Den MessengerPlus würde ich deinstallieren, aber das hat nichts mit deinem Problem zu tun.
Hast du diese "bla.exe" überprüft? Ergebnis?
Du kannst ja mal mit eScan scannen, für den Fall, dass dein Virenscanner schon "zerschossen" wurde.
Hast du schonmal die Verbindungen deines PC's nach außen geprüft, z.B. mit TCPView oder netstat (Win-Taste+R -> "cmd" -> "netstat -?" für Hilfestellung)