Zurück   Trojaner-Board > Sicherheit > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: mehrere Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen.

Antwort
Alt 28.04.2009, 15:31   #1
Hibiskuss
 
mehrere Trojaner - Standard

mehrere Trojaner



Hallo,

ich habe leider ein riesen Problem mit meinem Laptop und da ich hier schon mal vor einiger Zeit eine super Hilfe bekommen habe, hab ich gehofft ihr könntet mir vielleicht nochmal weiterhelfen.
Das Problem ist, das vor ca. nem Monat AntiVir beim Scan auf den Trojaner TR/Crypt.ZPACK.Gen gestoßen ist, aber irgendwie hab ich da nicht wirklich reagiert, weil mir verschiedene meinungen im Netz suggeriert haben, das es sich dabei um eine Kleinigkeit handelt (hab ich ntl liebend gerne geglaubt -.-)
Inzwischen scheint sich das ganze jedoch ausgeweitet zu haben - heute hat AntiVir auch noch diesen Trojaner TR/Waledac.29937.1, sowie auch ein "ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Inject.YG" entdeckt.
Sehr erschrocken habe ich dann natürlich sofort wie gefordert die Anti-Malware laufen lassen, ein Hijackthis.Log-File erstellt und hoffe jetzt auf eure Hilfe...

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2053
Windows 5.1.2600 Service Pack 3

28.04.2009 15:53:33
mbam-log-2009-04-28 (15-53-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 150584
Laufzeit: 1 hour(s), 5 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\System Volume Information\_restore{6A6FF572-12BB-4E71-9A05-10F374D1C453}\RP51\A0011033.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{6A6FF572-12BB-4E71-9A05-10F374D1C453}\RP51\A0011052.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
         
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:27, on 28.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\ehome\ehtray.exe
D:\WINDOWS\AGRSMMSG.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\eHome\ehmsas.exe
D:\Programme\iPod\bin\iPodService.exe
C:\Eigene Dateien\Internet\programme\viren\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PPort11reminder] "D:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6110 bytes
         

Alt 28.04.2009, 15:50   #2
john.doe
 
mehrere Trojaner - Standard

AW: mehrere Trojaner



Hallo und

Die Liste der installierten Programme fehlt noch, Punkt 2d des Links "Für alle Neuen".

Bei den Funden solltest du ernsthaft über eine Neuinstallation nachdenken und falls keine schwerwiegenden Gründe dagegen sprechen ist das die schnellste und sicherste Lösung. Ansonsten:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________

__________________

Alt 29.04.2009, 21:25   #3
Hibiskuss
 
mehrere Trojaner - Standard

AW: mehrere Trojaner



Wow - das hört sich ja ganz schön heftig an.... dann werde ich wohl versuchen den Laptop ganz neu aufzusetzten.
Danke erstmal für die schnelle Hilfe =)
Ist es denn dann im Moment problematisch eine externe Festplatte anzuschließen (besonders bezüglich Datensicherung)?
Bzw. ich hatte in den letzten Tagen die Festplatte - genauso wie meinen ipod - angeschlossen, kann es da dann auch zu
irgendwelchen Problemen gekommen sein?
__________________

Alt 29.04.2009, 22:06   #4
john.doe
 
mehrere Trojaner - Standard

AW: mehrere Trojaner



Zitat:
Ist es denn dann im Moment problematisch eine externe Festplatte anzuschließen (besonders bezüglich Datensicherung)?
Die Funde, die gemeldet waren, gehen hauptsächlich auf das Betriebssystem. Das gefährliche an denen ist, dass sie Passworte sammeln und die weiterschicken.
perComp-Verlag GmbH - IT-Security Lösungen
Waledac: Ein kleiner Überblick | abuse.ch
W32.Waledac Technical Details | Symantec

Jetzt ist natürlich wichtig zu wissen, ob der Virenscanner sie abgefangen hat, bevor sie aktiv wurden oder danach. Näheres lässt sich erst nach weiteren Analysen sagen, aber wenn du bereit bist zum Neuaufsetzen, dann ist das die beste und schnellste Lösung. Bevor du deine Daten auf das neue System zurückspielst, müssen sie sorgfältig mit mehreren aktuellen Scannern getestet werden. Klicke in meiner Signatur auf Anleitungen, dort findest du einige.

Zitat:
Bzw. ich hatte in den letzten Tagen die Festplatte - genauso wie meinen ipod - angeschlossen, kann es da dann auch zu
irgendwelchen Problemen gekommen sein?
Das ist nicht auszuschliessen, wenn auch unwahrscheinlich. Auch hier gilt das Obige.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Stichworte zu mehrere Trojaner
adobe, antivir, antivirus, avira, bho, bonjour, download, einstellungen, excel, explorer, hijack, icq, internet, internet explorer, logfile, microsoft, problem, registrierungsschlüssel, scan, security.hijack, software, spyware.zbot, system, system volume information, trojane, trojaner, userinit.exe, viren, windows xp



Ähnliche Themen: mehrere Trojaner


  1. Mehrere Trojaner
    Log-Analyse und Auswertung - 12.07.2013 (13)
  2. Mehrere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.08.2012 (12)
  3. Mehrere Trojaner
    Mülltonne - 29.05.2012 (0)
  4. Mehrere Trojaner und Sonderbares!!!!
    Log-Analyse und Auswertung - 23.06.2010 (13)
  5. mehrere div. Trojaner auf´m PC
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (6)
  6. mehrere trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 24.03.2010 (5)
  7. Mehrere Trojaner Funde
    Log-Analyse und Auswertung - 13.09.2009 (3)
  8. mehrere trojaner in system_volume_information
    Log-Analyse und Auswertung - 27.02.2009 (9)
  9. Mehrere Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (4)
  10. Mehrere Trojaner?
    Log-Analyse und Auswertung - 12.12.2008 (3)
  11. Mehrere Trojaner
    Log-Analyse und Auswertung - 15.10.2008 (1)
  12. Mehrere Trojaner auf dem PC!?
    Log-Analyse und Auswertung - 01.09.2008 (4)
  13. Mehrere Trojaner uaf dem rechner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2004 (12)
  14. Mehrere Trojaner aufeinmal
    Plagegeister aller Art und deren Bekämpfung - 03.11.2004 (5)

Zum Thema mehrere Trojaner - Hallo, ich habe leider ein riesen Problem mit meinem Laptop und da ich hier schon mal vor einiger Zeit eine super Hilfe bekommen habe, hab ich gehofft ihr könntet mir Windows 7 mehrere Trojaner...
Archiv
Du betrachtest: mehrere Trojaner auf Trojaner-Board