Hallo,

seit ca. 3 Tagen öffnet sich in regelmäßigen abständen ein pop up vom Internet Explorer mit werbung. (Ohne das ich den Internet Explorer überhaupt auf habe).
Trojan er dieser Art sind mir bekannt jedoch kann ich ihn nicht lokalisieren bzw beheben.

In dem Task-Manager tauchen dann immer Prozesse mit random namen auf wie z.b. x8P3Fdk4.exe (Irgendwie so etwas) Jedoch bringt das beenden des Prozesses keine hilfe.
Habe mehrere solcher *.exe'n in dem Windows "Temp" ordner gefunden und gelöscht. Jedoch scheint es als würde das nicht viel bezwecken da der Trojaner meiner meinung nach einfach neue exe'n mit solchen Namen erstellt.

Bereits ausprobierte Programme:
-Adaware
-Spybot
-CWShredder
-Hijackthis

Benutze HijackThis schon länger und kenne mich etwas damit aus, bei der auswertung habe ich nichts verdächtiges entdeckt, falls aber jemand die log-file haben möchte, sagt mir bitte bescheid.
Nicht mal eine Windows Systemwiederherstellung hat etwas bezwecken können ;s

Gegooglet hab ich auch schon, jedoch bin ich auch nicht weiter fündig geworden.
Hat jemand von euch Erfahrung damit gemacht oder weiss eine effektive Lösung?

Vielen Dank im vorraus.

EDIT:
Bei folgendend HijackThis einträgen bin ich mir nicht sicher:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

Hi,

probiere mal Silentrunner aus:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Schau Dir auch mal das Hosts-File an:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Dann solltest Du ggf. noch mit einem Rootkitscanner arbeiten oder
combofix von der Leine lassen (dort läuft dann GMER mit)
ade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Silent Runner Log:

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided)
-> {HKLM...CLSID} = "HelperObject Class"
\InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll" ["TechSmith Corporation"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]



Hosts-File:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



ComboFix:

ComboFix 08-03-05.3 - Marcus 2008-03-06 11:58:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.308 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcus\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Internet Explorer\setupapi.dll
C:\WINDOWS\msettings.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-06 bis 2008-03-06 ))))))))))))))))))))))))))))))
.

2008-03-05 23:51 . 2001-08-18 20:00 2,178,131 --a--c--- C:\WINDOWS\system32\dllcache\shvlres.dll
2008-03-05 23:26 . 2008-03-05 23:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 19:20 . 2008-02-27 19:20 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-08 22:00 . 2008-02-08 22:00 166 --a------ C:\key.shm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-06 10:55 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\foobar2000
2008-02-29 15:25 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\OpenOffice.org2
2008-02-26 22:15 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Skype
2008-02-26 21:15 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\skypePM
2008-02-26 19:32 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-11 00:57 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Tibia
2008-02-08 20:16 28,224 ----a-w C:\WINDOWS\system32\b12sLitK.exe
2007-12-13 18:21 68,608 ----a-w C:\Dokumente und Einstellungen\Marcus\nax.exe
2007-12-11 17:01 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 02:43 13312]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Iolo Macro Magic.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Iolo Macro Magic.lnk
backup=C:\WINDOWS\pss\Iolo Macro Magic.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Marcus^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Marcus\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMFBoxMonitor]
--a------ 2007-05-08 02:00 1482752 C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2002-08-29 02:43 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:06 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Plus]
--a------ 2002-12-04 04:32 11776 D:\Programme\ICQPlus\vplus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
C:\WINDOWS\System32\LXSUPMON.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-04-12 18:42 77824 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-11-12 15:48 21760296 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
--a------ 2003-05-05 08:57 143360 C:\Programme\Analog Devices\SoundMAX\Smtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 12:03 36975 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 15:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R1 SSHDRV82;SSHDRV82;C:\WINDOWS\System32\drivers\SSHDRV82.sys [2006-04-13 20:58]
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe [2006-08-21 17:57]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\System32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-05 23:00:01 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2007-11-02 08:01:41 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-04 09:00:03 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-04 10:00:01 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-06 11:00:01 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 12:00:01 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 13:00:01 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 14:00:01 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 15:00:05 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 16:00:01 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 17:00:01 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 00:00:02 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 18:00:01 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 19:00:02 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 20:00:02 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 21:00:02 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-05 22:00:08 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-03-03 01:00:01 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-02-11 02:00:01 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-01-19 03:01:44 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-02-03 04:01:45 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2008-02-01 05:01:00 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2007-11-11 06:01:00 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\System32\b12sLitK.exe
"2007-10-29 07:01:38 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\System32\b12sLitK.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 12:00:32
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-06 12:01:06
ComboFix-quarantined-files.txt 2008-03-06 11:00:58

Hi,

sieht nach Backdoor aus (sind die Logs vollständig?)...

C:\WINDOWS\system32\b12sLitK.exe
C:\Dokumente und Einstellungen\Marcus\nax.exe
->http://www.prevx.com/filenames/2253570002695900477-0/NAX.EXE.html

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:\WINDOWS\system32\b12sLitK.exe
C:\Dokumente und Einstellungen\Marcus\nax.exe

Poste die Ergebnisse mit Filename!

Die Jobs (C:\WINDOWS\Tasks\At23.job) sehen alle seltsam aus, prüfe was dort gestartet werden soll (ist die: b12sLitK.exe), lösche sie allesamt...

chris

Hi,

Ja die log file müsste vollständig sein.. Wieso?


habe die jobs sowie C:\WINDOWS\system32\b12sLitK.exe gelöscht!

Das ergebnis von virustotal der C:\Dokumente und Einstellungen\Marcus\nax.exe Datei:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - HEUR/Malware
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Heuristic: Suspicious Self Modifying File
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Heuristic.Malware
weitere Informationen
MD5: 54717c088aa8e5b0e91490ee8afd5827
SHA1: 2fbcee86b1f638f49d58dd1e1adb095c90903c38
SHA256: 4e56b0169d9fa8ae37bceb9e313c1eee4b9304e5beb8754763ff59c04b356a72
SHA512: d343ba6f7eb6b5e0e36555e43d346c97d0f747d2b89cd7c223affdb1eb134de2 794847133e72a1698f6e91a8be6784fa58a401f03847a5e24aa251e4f63269f1




Komischerweise kamen die werbungen heute schon gar nicht mehr, jedoch denk ich das immernoch etwas auf dem pc ist.

Vielen, vielen Dank erstmal!

Gruß

Hi,

die logs sehen etwas kurz aus...

Noch aufräumen:
CCleaner - CCleaner 2.0
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.
Alle temporären Daten löschen lassen.

Java updaten:
Deine Javasoftware ist veraltet,
Download jre-6u4-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u4-windows-i586-p.exe”

Combofix entfernen:
Start->Ausführen, dann combofix /u reinschreiben und OK drücken...

chris

okay CCleaner hab ich durchlaufen lassen bis nichts mehr kam..

combofix entfernen:
"combofix" konnte nicht gefunden werden. stellen sie sicher, dass sie den namen korrekt eingegeben haben und wiederholen sie den vorgang.

der is wohl schon entfernt^^

Die werbungkam schon ein paar tage nicht mehr,

vielen vielen dank mal!!