Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: hartnäckiger Trojaner / keine Virenscanner findet etwas

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.04.2007, 09:38   #1
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Hallo,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen!

Folgendes Problem:
auf meinem Laptop scheint sich irgendwann irgendwie ein Trojaner eingeschlichen zu haben. Ich wollte vor 3 Tagen auf mein Online-Bankkonto vom Laptop aus zugreifen und einige Überweisungen tätigen. Normalerweise mache ich soetwas immer nur von meinem Rechner @home, daher kann ich nicht wirklich sagen, wann sich dieser Trojaner eingeschlichen hat. Nach Eingabe meiner Konto-Nr. und meinem PIN kam plötzlich die Aufforderung, 4 Tans zur weiteren Identifikation einzugeben. Das habe ich natürlich nicht gemacht und hab mich direkt wieder abgemeldet, leider hatten die Bösen nun aber meine Konto-Nr und meine PIN => also PIN ersteinmal vom anderen Rechner aus geändert.

Auf meine Laptop habe ich die freie Version von Antivir. Antivir erkennt jedoch nichts bösartiges. Dann hab ich mir die 30-Tage Versionen von F-Prot und F-Secure runtergeladen. Leider erkennen auch diese Programme nichts. Auch mit HijackThis und Spybot konnte ich das Problem nicht lösen. Was zum Teufel kann das sein?

Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen. Kann sich die jemand mal bitte ansehen?

Vielen Dank!
Angehängte Dateien
Dateityp: txt down.txt (404 Bytes, 245x aufgerufen)

Alt 19.04.2007, 09:39   #2
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



hier kommen noch die anderen LOG-Dateien...
__________________


Alt 19.04.2007, 09:48   #3
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Hallo.
Zitat:
Zitat von atlantik99 Beitrag anzeigen
Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen.
Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.

Wie hast du die (vermeintliche) Seite deiner Bank aufgerufen? Adresse per Hand eingetippt oder ein Bookmark benutzt? Oder irgendwo einen Link angeklickt?
__________________
__________________

Alt 19.04.2007, 10:57   #4
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



[QUOTE=Franz1968;263616]Hallo.

Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.
QUOTE]

Von Hand eingegeben. Egal auf welches Banking-Portal ich gehe, ich bekomme immer die TAN-Abfrage. Sobald ich in der Anmeldemaske (alle Bankportale) als Konto-Nr. 12345 und Passwort 12345 eingebe, kommt die Meldung mit den TANs. Bei manchen Banken sind es nur 4 TANs, bei andere manchmal auch bis zu 6 TANs.

Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)

Alt 19.04.2007, 11:09   #5
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Zitat:
Zitat von atlantik99 Beitrag anzeigen
Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)
Wird schon gehen. Eine TAN brauchst du dazu jedenfalls nicht.
Bitte scanne gleich im Anschluss dein System mit Blacklight von F-Secure und poste das Log.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 19.04.2007, 11:09   #6
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Sorry, ich weiß nicht wirklich, was Du mit vorher editieren meintest. Ich hoffe, dass ist in Ordnung so...

Hier die Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:38, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

Alt 19.04.2007, 11:23   #7
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Ja, das passt. Allerdings scheint dein Logfile in Ordnung zu sein, abgesehen von der Internet-Explorer-Version, die nicht aktuell ist.

Nutzt du beim Online-Banking den IE?

Bitte erstelle vorsichtshalber noch ein Logfile, nachdem du Hijackthis.exe in abc.com umbenannt hast. Es gibt Malware, die sich vor der Hijackthis.exe versteckt, nach Umbenennen aber sichtbar wird.

Kannst du die Datei bmnet.dll auf deinem Rechner finden? Wenn ja, lade sie bei Virustotal hoch und poste das komplette Ergebnis, auch wenn nichts gefunden wurde.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 19.04.2007, 12:26   #8
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Ja, ich nutze den IE. Hijackthis hab ich in abc.com umbenannt. Hier die neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:07:08, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MapInfo\Professional\MAPINFOW.EXE
C:\Programme\mg9\prog\mg.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\abc.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)


Die bmnet.dll hab ich auch gefunden und bei Virustotal scannen lassen. Ich kannte den Service garnicht. Danke hierfür! Jedoch wurde leider nichts gefunden. Das Ergebnis sieht so aus:

Antivirus Version Update Result
AhnLab-V3 2007.4.19.1 04.19.2007 no virus found
AntiVir 7.3.1.53 04.19.2007 no virus found
Authentium 4.93.8 04.18.2007 no virus found
Avast 4.7.981.0 04.19.2007 no virus found
AVG 7.5.0.447 04.18.2007 no virus found
BitDefender 7.2 04.19.2007 no virus found
CAT-QuickHeal 9.00 04.18.2007 no virus found
ClamAV devel-20070416 04.19.2007 no virus found
DrWeb 4.33 04.19.2007 no virus found
eSafe 7.0.15.0 04.18.2007 no virus found
eTrust-Vet 30.7.3579 04.19.2007 no virus found
Ewido 4.0 04.19.2007 no virus found
FileAdvisor 1 04.19.2007 no virus found
Fortinet 2.85.0.0 04.19.2007 no virus found
F-Prot 4.3.2.48 04.18.2007 no virus found
F-Secure 6.70.13030.0 04.19.2007 no virus found
Ikarus T3.1.1.5 04.19.2007 no virus found
Kaspersky 4.0.2.24 04.19.2007 no virus found
McAfee 5012 04.18.2007 no virus found
Microsoft 1.2405 04.19.2007 no virus found
NOD32v2 2203 04.19.2007 no virus found
Norman 5.80.02 04.19.2007 no virus found
Panda 9.0.0.4 04.19.2007 no virus found
Prevx1 V2 04.19.2007 no virus found
Sophos 4.16.0 04.17.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.19.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.18.2007 no virus found
VirusBuster 4.3.7:9 04.18.2007 no virus found
Webwasher-Gateway 6.0.1 04.19.2007 no virus found

Alt 19.04.2007, 16:20   #9
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Ich wundere mich immer noch über deine Windows- und IE-Version:
Zitat:
Zitat von atlantik99 Beitrag anzeigen
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Das "v.2096" gibt HJT üblicherweise nicht aus. Hast du längere Zeit kein Windows-Update gemacht?
Kannst du die folgenden Prozesse zuordnen?
Zitat:
C:\Programme\MapInfo\Professional\MAPINFOW.EXE
C:\Programme\mg9\prog\mg.exe
An den folgenden Eintrag muss jemand ran, der sich mit der O10-Sektion wirklich auskennt. Grundsätzlich kann ein solcher Eintrag ein Zeichen für eine DNS-Manipulation sein, soweit ich weiß.
Zitat:
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
Der Blacklight-Scan steht noch aus. Bitte besorge dir auch Silentrunners und poste ein Log.


edit: Und noch ein Auftrag: Eigentlich sollte HijackThis das schon erledigt haben, aber ich würde auch gern einen Blick in die Datei "hosts" werfen, zu finden unter windows\system32\drivers\etc. Öffne sie mit dem Editor und poste ihren Inhalt. Sollte dort tatsächlich der Name (bzw. die Web-Adresse) deiner Bank erscheinen, ersetze ihn durch deine-bank.de o.ä.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Geändert von Franz1968 (19.04.2007 um 16:34 Uhr)

Alt 19.04.2007, 20:50   #10
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Ja, die Prozesse kann ich zuordnen. Das sind 2 Routingprogramme die ich nutze, nichts schlimmes...

Hier die Log des "Blacklight-Scans", was immer das auch bedeuten mag... ;-)

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Hcontrol" = "C:\WINDOWS\ATK0100\Hcontrol.exe" [empty string]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Mouse Suite 98 Daemon" = "ICO.EXE" [file not found]
"HKSERV.EXE" = "C:\Programme\Sony\HotKey Utility\HKserv.exe" ["Sony Corporation"]
"SonyPowerCfg" = "C:\Programme\sony\vaio power management\SPMgr.exe" ["Sony Corporation"]
"VAIO Update 2" = ""C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary" ["Sony Corporation"]
"Switcher.exe" = "C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" ["Sony Corporation"]
"(Default)" = "(empty string)" [file not found]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{ED58A35B-B554-42AF-A26C-6F3D424200D3}" = "Sony Power Management Extensiond"
-> {HKLM...CLSID} = "SPMPanel"
\InProcServer32\(Default) = "C:\Programme\sony\vaio power management\SPMPanel.dll" ["Sony Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "KbLogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "LogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Roll Back Shell Extention\(Default) = "{A51DA762-BDD7-11D5-973D-C0539E56E216}"
-> {HKLM...CLSID} = "conmenu Class"
\InProcServer32\(Default) = "C:\Programme\Avira\Unerase\ciasvrue.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Cüneyt" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Cüneyt\Startmenü\Programme\Autostart
"BHODemon 2.0" -> shortcut to: "C:\Programme\BHODemon 2\BHODemon.exe" ["Definitive Solutions, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
bmnet.dll ["Bytemobile, Inc."], 01 - 03
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apache, Apache, ""C:\Programme\Apache Group\Apache\Apache.exe" --ntservice" [null data]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bytemobile Web Configurator, bmwebcfg, ""C:\WINDOWS\system32\bmwebcfg.exe"" ["Bytemobile, Inc."]
gb, gb, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll" [null data]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MySQL5, MySQL5, ""C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="C:\Programme\MySQL\MySQL Server 5.0\my.ini" MySQL5" [null data]
SQL Server (SQLEXPRESS), MSSQL$SQLEXPRESS, ""c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS" [MS]
SQL Server-Browser, SQLBrowser, ""c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 53 seconds.
---------- (total run time: 95 seconds)

Und hier noch der Inhalt des hosts:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


Also, ich verstehe erhrlich gesagt nur noch Bahnhof. Ich mache nur noch genau das, was Du mir sagst...

Vielen Dank für die Mühe!!!

Alt 20.04.2007, 15:51   #11
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Hallo.
Ich bin erst jetzt dazu gekommen, einen Blick in dein Logfile zu werfen - und werde nicht wirklich schlau aus ihm.
Lade bitte die beiden folgenden Dateien auf Virustotal hoch, lasse sie scannen und poste das gesamte Ergebnis, auch wenn nichts gefunden wurde:
Zitat:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
redmonnt.dll
(Die zweite der beiden suche zunächst mit der Windows-Suche, nachdem du ggf. versteckte Dateien sichtbar gemacht hast.)

Einen weiteren Eintrag kann ich nicht einordnen:
Zitat:
"(Default)" = "(empty string)" [file not found]
Und dein Blacklight-Log steht noch aus (das hier war Silentrunners).


edit: Einem Posting von MightyMarc verdanke ich die Erkenntnis, dass ich gestern zum Thema hosts-Datei Unsinn geschrieben habe. Möglich, dass es auf deinem System eine weitere hosts-Datei gibt und dass die auch tatsächlich verwendet wird.
Öffne die Registry (Start -> Ausführen -> regedit) und navigiere zu dem Schlüssel HKLM\System\CurrentControlSet\Services\Tcpip\Parameters. Sieh nach, was unter DataBasePath eingetragen ist (und achte darauf, dass du nichts versehentlich veränderst).
"HKLM" = HKey_Local_Machine
__________________
Alle Tipps und Anleitungen ohne Gewähr

Geändert von Franz1968 (20.04.2007 um 16:18 Uhr)

Alt 20.04.2007, 18:47   #12
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Hallo Franz,

sorry, dass ich erst jetzt antworten kann. Ich glaube, ich bin das Ding los geworden. Ich habe gestern Abend meinen Rechner im abgesicherten Modus hochgefahren und Antivir und Spybot nochmals laufen lassen. Antivir hat etwas in ibm00001.dll und ibm00002.dll gefunden und in Quarantäne geschoben. Spybot hat dann im Anschluß den Trojaner "Torpig" gefunden und entfernt. Jetzt kommt auf jeden Fall diese Sch... TAN-Abfrage nicht mehr. Meinst Du ich bin das Ding jetzt wirlich los? Auf jeden Fall meldet nun Antivir und Spybot, dass das System sauber wäre. Wann meinst Du? Sollte ich noch irgendetwas überprüfen?

Auf jeden Fall mal vieeeeeeeeelen Dank für die Unterstützung!!!

Alt 20.04.2007, 19:04   #13
Franz1968
/// Helfer-Team
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Zitat:
"C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll" [null data]}
Langsam fange ich an, Silentrunners wirklich zu schätzen.

Zitat:
Zitat von atlantik99 Beitrag anzeigen
Meinst Du ich bin das Ding jetzt wirlich los?
Tja. Ich sag's dir gleich: Wenn es mein Rechner wäre und ich mit ihm Online-Banking betreiben wollte, würde ich ihm ohne Neuinstallation nicht mehr vertrauen.
Wenn ich nach "Torpig" google, finde ich auf Anhieb eine Variante mit Keylogger- und eine mit Backdooreigenschaften. Beides passt vordergründig nicht zu dem von dir beschriebenen Problem. Zumindest solltest du Folgendes machen:
Zitat:
Antivir hat etwas in ibm00001.dll und ibm00002.dll gefunden und in Quarantäne geschoben.
diese Dateien aus dem Quarantäneordner heraus bei Virustotal prüfen. Vielleicht hilft eine Angabe der Torpig-Variante. Bei der Gelegenheit prüfe bitte auch die redmonnt.dll aus meinem vorherigen Posting.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 20.04.2007, 19:50   #14
atlantik99
 
hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Hmmm...der Rechner ist wohl leider immer noch nicht sauber. Gerade hat mir der Guard von Antivir wieder etwa neues gemeldet:

TR/PSW.VNZ unter folgedem Pfad

C:\System Volume Information\_restore{CF043E17-BAB5-4C32-9569-52F48D77EA7B}\RP111\A0017682.dll

Die A0017682.dll hab ich natürlich auch gleich wieder in Quarantäne geschoben. Die ibm... von gestern hab ich leider direkt gelöscht, kann sie daher bei virustotal nicht mehr scannen. Die A0017682.dll werde ich auch gleich mal bei virustotal scannen.

Hier das Ergebnis wegen der redmonnt.dll:

STATUS: FINISHEDComplete scanning result of "redmonnt.dll", received in VirusTotal at 04.20.2007, 19:58:33 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.21.0 04.20.2007 no virus found
AntiVir 7.3.1.53 04.20.2007 no virus found
Authentium 4.93.8 04.20.2007 no virus found
Avast 4.7.981.0 04.20.2007 no virus found
AVG 7.5.0.464 04.19.2007 no virus found
BitDefender 7.2 04.20.2007 no virus found
CAT-QuickHeal 9.00 04.20.2007 no virus found
ClamAV devel-20070416 04.20.2007 no virus found
DrWeb 4.33 04.20.2007 no virus found
eSafe 7.0.15.0 04.19.2007 no virus found
eTrust-Vet 30.7.3581 04.20.2007 no virus found
Ewido 4.0 04.20.2007 no virus found
FileAdvisor 1 04.20.2007 No threat detected
Fortinet 2.85.0.0 04.20.2007 no virus found
F-Prot 4.3.2.48 04.20.2007 no virus found
F-Secure 6.70.13030.0 04.20.2007 no virus found
Ikarus T3.1.1.5 04.20.2007 no virus found
Kaspersky 4.0.2.24 04.20.2007 no virus found
McAfee 5014 04.20.2007 no virus found
Microsoft 1.2405 04.20.2007 no virus found
NOD32v2 2207 04.20.2007 no virus found
Norman 5.80.02 04.20.2007 no virus found
Panda 9.0.0.4 04.19.2007 no virus found
Prevx1 V2 04.20.2007 no virus found
Sophos 4.16.0 04.20.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 no virus found
Symantec 10 04.20.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.20.2007 no virus found
VirusBuster 4.3.7:9 04.20.2007 no virus found
Webwasher-Gateway 6.0.1 04.20.2007 no virus found


Aditional Information
File size: 116224 bytes
MD5: 1574dd9d409f2dc45cf82c22b99164a4
SHA1: e645051f6cb4b703ae7ab184f36359175fe9d346
Bit9 info: http

Alt 20.04.2007, 20:47   #15
Sunny
Administrator
> Competence Manager
 

hartnäckiger Trojaner / keine Virenscanner findet etwas - Standard

hartnäckiger Trojaner / keine Virenscanner findet etwas



Mach in diesem Fall folgendes:


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Das sollte dein Problem lösen...achja, und leere den Quarantäne-Ordner von Antivir!

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu hartnäckiger Trojaner / keine Virenscanner findet etwas
anderen, direkt, erkennen, f-secure, heute, hijack, hijackthis, home, ide, laptop, natürlich, nichts, plötzlich, problem, programme, rechner, scan, scanner, spybot, tans, trojaner, version, virenscan, virenscanner, wirklich



Ähnliche Themen: hartnäckiger Trojaner / keine Virenscanner findet etwas


  1. Seiten brauchen lange zum Laden, Programme melden keine Verbindung, PC etwas langsam
    Plagegeister aller Art und deren Bekämpfung - 12.09.2015 (18)
  2. Windows 7: Total infiziert! Kein Antivirenprogramm, Antimalwareprogramm findet etwas!
    Log-Analyse und Auswertung - 09.09.2015 (10)
  3. Firefox Startseite wird geändert und Avira Echtzeitscan findet laufend etwas
    Log-Analyse und Auswertung - 31.05.2015 (11)
  4. ESET Online virenscanner findet 9 infizierte Datei
    Plagegeister aller Art und deren Bekämpfung - 22.01.2015 (1)
  5. Falsche Telekom E-Mail mit vermeintlicher Rechnung geöffnet. Virenscanner Kaspersky findet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (12)
  6. World of Warcraft Account u.U. gehackt - kein Virenskanner findet etwas
    Log-Analyse und Auswertung - 13.10.2012 (21)
  7. Virenscanner findet: EXP/CVE-2010-0840.HF, EXP/2012-1723.CY und EXP/Pidief.aew
    Log-Analyse und Auswertung - 19.08.2012 (9)
  8. Virenscanner zeigt 8 Trojaner und zig Verfolgungscookies an. Aber eigentlich keine Viren
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (3)
  9. Virenscanner findet 1 Trojaner und 3 Würmer - Was tun?
    Log-Analyse und Auswertung - 08.08.2011 (11)
  10. keine Virenscanner Updates mehr nach Entfernung von System Tool
    Log-Analyse und Auswertung - 30.12.2010 (1)
  11. Firefox öffnet selbstständig Tabs - Kein Programm findet etwas
    Plagegeister aller Art und deren Bekämpfung - 07.04.2010 (8)
  12. AntivirGuard findet etwas poppt auf und verschwindet von allein
    Log-Analyse und Auswertung - 20.10.2009 (7)
  13. Merkwürdiges Browserverhalten / Virenscanner findet nichts
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  14. Virenscanner keine zulässige Win32 Anwendung
    Plagegeister aller Art und deren Bekämpfung - 02.02.2008 (42)
  15. Rechner fährt selber, Virenscanner findet nichts, Spybot auch nicht. Vielen Dank!!!
    Log-Analyse und Auswertung - 13.04.2007 (6)
  16. HILFE! Hartnäckiger hijacker, hartnäckiger Trojaner!
    Log-Analyse und Auswertung - 07.09.2004 (3)
  17. Findet jemand etwas verdächtiges?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2004 (7)

Zum Thema hartnäckiger Trojaner / keine Virenscanner findet etwas - Hallo, ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen! Folgendes Problem: auf meinem Laptop scheint sich irgendwann irgendwie ein Trojaner eingeschlichen zu haben. - hartnäckiger Trojaner / keine Virenscanner findet etwas...
Archiv
Du betrachtest: hartnäckiger Trojaner / keine Virenscanner findet etwas auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.