Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Neuer Trojaner/HelperObject

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2008, 19:38   #1
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo Leute,

nun ist es auch mir passiert, trotz aller Vorsicht. Hab mir ein offenbar noch unbekanntes (?) Ungeziefer eingetreten, das als HelperObject (Browsererweiterung) sein Unwesen treibt. Ich poste hier einige Details für den Fall, dass das Virus schon bekannt ist in der Hoffung, es zu identifizieren und auszumerzen; ansonsten eben als Warnung.

Das Virus wird von NAV dzt. nicht erkannt (ein Sample habe ich an Symantec geschickt), SpyBot schlägt jedoch wegen ungewöhnlicher Registry-Änderungen nach der Installation an. Diese habe ich selbstverständlich verboten, wodurch der Schädling sich offenbar nur teilweise im System festkrallen konnte.

Der Security Task Manager (STM) zeigt folgende signifikante Einträge:



... wobei die native Bewertung von byXRijHW.dll durch den STM 92% beträgt - ich hab sie auf 100% erhöht.

byXRijHW.dll ist der einzige konstante task, die anderen haben random Namen und GUIDs. Der Programmstartüberwachungstask von byXRijHW.dll läßt sich im STM nicht killen.

Die tasks korrelieren teilweise mit Dateien in Windows/System32, jedoch hat deren Entfernung keinen Einfluß auf die Funktionalität, d.h. trotz erfolgreichem Löschen von byXRijHW.dll läuft der Task nach dem Neustart wieder, wobei die Datei gelöscht bleibt.

Hier das rezente HijackThis log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:14, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Virtual CD v9\System\VC9SecS.exe
C:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\OmniPage15.0\Opware15.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\Gtwatch.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Virtual CD v9\System\VC9Play.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WindowBlinds\WBInstall32.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\twain_32\L3U16\WATCH.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Virtual CD v9\System\VC9Tray.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: (no name) - {0720FAA0-4B29-4363-9A8A-DF866721E456} - C:\WINDOWS\system32\tuvSiheC.dll (file missing)
O2 - BHO: (no name) - {3C3D6A39-B167-4506-A377-E262402A29F5} - C:\WINDOWS\system32\byXRijHW.dll (file missing)
O2 - BHO: (no name) - {44FA716B-4F34-4D1A-9B98-0BC08272EFCD} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [Opware15] "C:\Programme\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [] C:\WINDOWS\Gtwatch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s  -f=UpdateVersion.xml -url=h**p://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CtxfiReg] CTXFIREG.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WindowBlinds] C:\Programme\WindowBlinds\WBInstall32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\L3U16\WATCH.exe

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156203291968
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe
O23 - Service: Z-SAN Service (Z-SANService) - Zetera Corporation - C:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe

--
End of file - 16806 bytes
         
... wobei ich den Eintrag

O20 - AppInit_DLLs: wbsys.dll hjoqpz.dll zspiit.dll wmrtex.dll zprkpp.dll cjejad.dll

... zuvor gelöscht habe. wbsys.dll ist WindowsBlind und harmlos; die anderen DLLs sind mir unbekannt, und auch nirgendwo auffindbar. Das Löschen hatte keinen merklichen Effekt auf den Virus/Trojaner/wasauchimmer

Der Trojaner versucht, ein Javascript auf 89.188.16.43 auszuführen, zusätzlich kommen in unregelmäßigen Abständen popups von www.blockbuster.com. Ich wäre euch sehr dankbar, wenn jemand von euch vielleicht die Malware identifizieren könnte und/oder Tips für die Entfernung hätte. Ein Sample stelle ich via UploadChannel bereit.

liebe Grüße und vielen herzlichen Dank
Cyana

Alt 15.10.2008, 20:39   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\Gtwatch.exe
         
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 16.10.2008, 10:23   #3
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

vielen Dank für deine Antwort. NAV erkennt inzwischen das Virus als Trojan.Zlob (version October 15, 2008 revision 017)

Hier die Ergebnisse der Scans:

Virus Total
Code:
ATTFilter
Datei Gtwatch.exe empfangen 2008.10.16 09:38:09 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)

Datei PsiService_2.exe empfangen 2008.10.16 09:47:11 (CET)
Status: Überprüfung Beendet
Ergebnis: 0/36 (0%)
         
mbr.exe:
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Malwarebytes' Anti-Malware 1.28
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1261
Windows 5.1.2600 Service Pack 3

16.10.2008 10:33:10
mbam-log-2008-10-16 (10-33-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 68051
Laufzeit: 7 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Backlight

Hidden items found:0
Items queued for renaming: 0

... ich mach mich mal an Combofix, da ich dafür den browser schließen muss, poste ich hier den ersten Teil der Antwort.

liebe Grüße und vielen Dank
Cyana
__________________

Alt 16.10.2008, 12:10   #4
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Im Anschluß das Combofix script - einige Einträge schreien geradezu nach einer Erklärung (?)

habe das combofix.txt hier hochgeladen

liebe Grüße und vielen Dank
Cyana

Alt 16.10.2008, 13:21   #5
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Es hat sich definitiv was getan Dank ComboFix - die verdächtige Datei taskmger.exe habe ich scannen lassen und siehe da:

Code:
ATTFilter
Datei taskmger.exe empfangen 2008.10.16 13:12:52 (CET)
Status: Überprüfung Beendet

Ergebnis: 18/36 (50%)

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.16.0 2008.10.16 Win-Trojan/Xema.variant 
AntiVir 7.9.0.4 2008.10.16 BDS/Poison.lgz 
Authentium 5.1.0.4 2008.10.16 - 
Avast 4.8.1248.0 2008.10.15 Win32:Trojan-gen {Other} 
AVG 8.0.0.161 2008.10.16 Dropper.Generic.ACHA 
BitDefender 7.2 2008.10.16 Trojan.Crypt.BC 
CAT-QuickHeal 9.50 2008.10.16 - 
ClamAV 0.93.1 2008.10.16 - 
DrWeb 4.44.0.09170 2008.10.16 BackDoor.Poison.61 
eSafe 7.0.17.0 2008.10.15 - 
eTrust-Vet 31.6.6150 2008.10.16 - 
Ewido 4.0 2008.10.16 - 
F-Prot 4.4.4.56 2008.10.16 - 
F-Secure 8.0.14332.0 2008.10.16 Backdoor.Win32.Poison.lhq 
Fortinet 3.113.0.0 2008.10.16 PossibleThreat 
GData 19 2008.10.16 Trojan.Crypt.BC 
Ikarus T3.1.1.34.0 2008.10.16 Trojan.Crypt.BC 
K7AntiVirus 7.10.496 2008.10.15 - 
Kaspersky 7.0.0.125 2008.10.16 Backdoor.Win32.Poison.lhq 
McAfee 5406 2008.10.16 Generic BackDoor 
Microsoft 1.4005 2008.10.16 Backdoor:Win32/Poisonivy.E 
NOD32 3527 2008.10.16 probably a variant of Win32/Injector.DN 
Norman 5.80.02 2008.10.16 W32/Malware.EDZL 
Panda 9.0.0.4 2008.10.15 - 
PCTools 4.4.2.0 2008.10.15 - 
Prevx1 V2 2008.10.16 - 
Rising 20.66.32.00 2008.10.16 - 
SecureWeb-Gateway 6.7.6 2008.10.16 Trojan.Backdoor.Poison.lgz 
Sophos 4.34.0 2008.10.16 - 
Sunbelt 3.1.1727.1 2008.10.16 Trojan.Crypt.BC 
Symantec 10 2008.10.16 - 
TheHacker 6.3.1.0.114 2008.10.15 - 
TrendMicro 8.700.0.1004 2008.10.16 - 
VBA32 3.12.8.7 2008.10.16 Backdoor.Win32.Poison.lgg 
ViRobot 2008.10.16.1423 2008.10.16 - 
VirusBuster 4.5.11.0 2008.10.15 -
         
Auch der im ersten Posting im STM aufscheinende task (der 4. markierte, den ich trotz aller Tricks nicht los wurde, ist nun weg. Die performance ist merklich besser. Scheint dass ich das Ungeziefer losgeworden bin (?)

liebe Grüße und vielen Dank
Cyana


Alt 16.10.2008, 13:38   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Ausrufezeichen

Neuer Trojaner/HelperObject



Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung
__________________
--> Neuer Trojaner/HelperObject

Alt 16.10.2008, 14:05   #7
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

*ächz* das wird ein Problem bei 1.8 TB ....


liebe Grüße
Cyana

Alt 16.10.2008, 15:51   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



1800 GB?
Du musst ja nicht alle Daten löschen.
Systempartition formatieren reicht.

BTW: Wie hast Du die Daten gespeichert? Es gibt doch keine Festplatte, auf der 2 TB oder mehr passt. RAID?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.10.2008, 16:05   #9
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

yup, 2 RAIDs, 2x500GB und 2x400GB und dazu noch ein Netgear mit 600 GB. Da fragst du dich wie soviel zusammenkommen kann, ich arbeite viel mit Grafik und Konstruktion, da geht schon ein bissi was auf , und natürlich 3x backup der relevanten Dateien.

Naja, ich warte mal ab - bislang sieht es gut aus, der Rechner benimmt sich wieder völlig normal. Aber vielleicht nehm ich es zum Anlaß, mal gründlich auszumisten und alles neu aufzusetzen ... und dann wieder der Horror, die ganzen Grafiktools, email accounts und und und einrichten *stöhn* ...

jedenfalls vielen Dank für deine Hilfe - war wirklich sehr wertvoll für mich. Und den NAV trete ich raus und besorg mir was anderes

liebe Grüße
Cyana

Alt 16.10.2008, 20:24   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Naja, dann bis Du neu aufsetzen wirst, wenigstens noch etwas gründlicher vorgehen. Es fehlt noch:

- silentrunners
- das filelisting logfile
- ein aktuelles HijackThis log mit der umbenannten Datei erstellt

Mach danach noch bitte zwei Schritte, 1. mit Avenger, 2. mit sdfix:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
registry keys to delete:
HKLM\software\microsoft\active setup\installed components\{C30DF483-C579-0AAD-66FB-A023560A678E}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | taskmgr.exe

files to delete:
C:\WINDOWS\taskmger
C:\WINDOWS\taskmger.exe
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!


SDFix anwenden
  • Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.10.2008, 02:49   #11
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

Silentrunner und HijackThis hatte ich schon danach gemacht, die Ergebnisse sind unauffällig. Der avenger hat nix gefunden, weil ich dem taskger persoönlich den garaus gemacht habe. Momentan läuft das sdfix, allerdings schon seit stunden - hoffe es tut überhaupt noch was

Tippe gerade über das iphone als letzte verbindung zur welt *ggg*

Liebe grüsse
Cyana

Alt 17.10.2008, 08:53   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Ich hab dem Silentrunners aber noch ein Script mitgegeben, deswegen wäre es mal gut wenn Du ihn so nach Anleitung mal ausführen würdest...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.10.2008, 11:31   #13
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

SDFix läuft schon seit bald 24 Stunden - offenbar versucht es, jedes file auf dem Rechner als .exe zu testen ? .... weil wenn das noch länger geht wäre es wahrscheinlich zeitsparender gewesen, den Rechner neu aufzusetzen

listing8.cmd hatte ich ebenfalls laufen lassen - es hat kein rootkit gefunden. Und den avenger hab ich natürlich mit deinem script ausgeführt.

liebe Grüße
Cyana

Alt 17.10.2008, 12:08   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Trojaner/HelperObject - Ausrufezeichen

Neuer Trojaner/HelperObject



Zitat:
listing8.cmd hatte ich ebenfalls laufen lassen - es hat kein rootkit gefunden. Und den avenger hab ich natürlich mit deinem script ausgeführt.
Äh da bringst Du was durcheinander. listing8.cmd ist bloß ein kleines CMD Script, was die Dateien und Ordner in bestimmten Verzeichnissen auflistet und in eine Datei schreibt - die wollte ich sehen!

Wenn Du den avenger so ausgeführt hast, solltest Du auch von dem das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.10.2008, 12:21   #15
cyana
 
Neuer Trojaner/HelperObject - Standard

Neuer Trojaner/HelperObject



Hallo root24,

*schmunzel* werde ich nachholen, sobald SDFix fertig ist. Aus dem Gedächnis heraus war das Ergebnis von Avenger, dass er weder 'tasmger.exe' noch 'taskger' finden konnte. Beide files hatte ich schon zuvor entfernt bzw. in Quarantäne gestellt, nachdem sie bei VirusTotal angeschlagen hatten, und zu Symantec geschickt.

liebe Grüße und vielen Dank für deine Geduld
Cyana

Antwort

Themen zu Neuer Trojaner/HelperObject
100%, 32-bit, adobe, antivirus, bho, bonjour, central, datei gelöscht, excel, explorer, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, installation, internet, internet explorer, konvertieren, löschen, malware, mssql, netgear, neustart, pdf-datei, pdfconverter, popups, programme, schädling, security, software, symantec, system, ungewöhnlicher, virus, windows xp, windows xp sp3, xp sp3




Ähnliche Themen: Neuer Trojaner/HelperObject


  1. Neuer Rechner; Neuer Virenschutz & Windows 8 Secure-Einstellungen
    Antiviren-, Firewall- und andere Schutzprogramme - 12.10.2014 (21)
  2. Neuer Pc, neuer Anfang - Notwendige Schutzprogramme
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2013 (3)
  3. mow.exe neuer Trojaner/Bot
    Plagegeister aller Art und deren Bekämpfung - 29.05.2013 (5)
  4. neuer BKA-Trojaner? (GVU)
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (1)
  5. Neuer RAT Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 04.08.2010 (5)
  6. Neuer CiD Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (5)
  7. Neuer Trojaner????
    Plagegeister aller Art und deren Bekämpfung - 04.06.2008 (8)
  8. Neuer Trojaner? :S
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (0)
  9. Neuer Trojaner???
    Plagegeister aller Art und deren Bekämpfung - 29.12.2007 (46)
  10. Neuer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 14.02.2007 (1)
  11. neuer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2006 (6)
  12. Neuer Trojaner?
    Log-Analyse und Auswertung - 26.08.2005 (1)
  13. NEUER TROJANER: huhmgy.exe
    Plagegeister aller Art und deren Bekämpfung - 13.08.2005 (2)
  14. Neuer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (6)
  15. Neuer Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.10.2004 (5)
  16. Neuer Trojaner ???
    Plagegeister aller Art und deren Bekämpfung - 23.04.2004 (4)
  17. Neuer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 07.01.2004 (3)

Zum Thema Neuer Trojaner/HelperObject - Hallo Leute, nun ist es auch mir passiert, trotz aller Vorsicht. Hab mir ein offenbar noch unbekanntes (?) Ungeziefer eingetreten, das als HelperObject (Browsererweiterung) sein Unwesen treibt. Ich poste hier - Neuer Trojaner/HelperObject...
Archiv
Du betrachtest: Neuer Trojaner/HelperObject auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.