Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner an Bord - HJT/Adaware/Spybot machtlos?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.09.2007, 13:49   #1
wiseguy8
 
Trojaner an Bord - HJT/Adaware/Spybot machtlos?! - Standard

Trojaner an Bord - HJT/Adaware/Spybot machtlos?!



Guten Tag zusammen!

Ich habs hier offensichtlich mit nem absolut hartnäckigen Feind zu tun, der einfach nicht zu entfernen zu sein scheint - vielleicht kann mir ja jemand helfen, da ich ein Neuaufsetzen von Windows XP absolut vermeiden möchte...


HJT-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:28:00, on 08.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
D:\PROGRA~1\AVG-GR~1\avgcc.exe
D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
D:\PROGRA~1\AVG-GR~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Programme\RealVNC\VNC4\WinVNC4.exe
D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE
D:\Programme\opera\Opera.exe
D:\Programme\AVG-Grisoft\avgwb.dat
D:\Programme\AVG-Grisoft\avgvv.exe
D:\Download\Safety\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVG-GR~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero-Ahead\Nero BackItUp\NBJ.exe"
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgemc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



Spybot erkennt das hier:

Win32.Agent.pz: Settings (Registry value, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Win32.Agent.pz: Program directory (Directory, nothing done)
C:\WINDOWS\system32\wsnpoem\


--> Schau ich dann in der Registry (via Spybot) nach - unter:
Hkey_Local_Machine\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon

sieht dieser Schlüssel "UserInit" so aus:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Manuelle Änderung in in
C:\WINDOWS\system32\userinit.exe,

ist dann leider auch nach einem Neustart nicht erfolgreich, die Datei scheint sich einfach nicht entfernen zu lassen...



Adaware zeigt mir an:

WIN32.BACKDOOR.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=RegValue : .DEFAULT\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"
obj[3]=RegValue : S-1-5-18\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"

WIN32.TROJANDOWNLOADER.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}"
obj[5]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}"
obj[6]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"
obj[7]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"

Und mein AVG7.5 erkennt diverse Trojaner (PSW.Generic5.KFK, DownloaderAgent.RPX) immer wieder - beinahe bei jedem Scan, entweder neue oder die selben...ebenso wie adaware & spybot.

Nach diversen Recherchen im Netz hatte ichs davor u.a. mit SmitfraudFix (hat mir schonmal aus der Patsche geholfen) - leider erfolglos:

SmitFraudFix v2.215

Scan done at 3:14:02,79, 08.09.2007
Run from D:\Download\Safety\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
D:\PROGRA~1\AVG-GR~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hanonvt.ini FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Zwar ist mein Kampfgeist noch nicht erloschen (), aber so langsam gehen mir die tools aus, v.a. da ich nicht so der PC-Spezialist bin - weiß also jemand Rat? Wie gesagt, Neuaufsetzen will ich vermeiden...

Vielen Dank schon mal im Voraus für jede Hilfe!!!

Alt 08.09.2007, 17:40   #2
nochdigger
 
Trojaner an Bord - HJT/Adaware/Spybot machtlos?! - Standard

Trojaner an Bord - HJT/Adaware/Spybot machtlos?!



Hallo

Zitat:
da ich ein Neuaufsetzen von Windows XP absolut vermeiden möchte...
du wirst um ein Neuaufsetzen wohl nicht herum kommen, zum ersten ist dein Betriebssystem veraltet es fehlt dir mindestens das Servicepack 2 und zum zweiten sind auf deinem System eine Backdoor sowie ein weiterer Schädling unterwegs der weitere Schädlinge nachladen kann wenn ich mich nicht täusche.

Ich rate dir besorge dir das Servicepack 2 von einem Kumpel auf CD und setze die Kiste nach dieser Anleitung neu auf
Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation auch alle deine Pass/Kennwörter.

MFG
__________________


Alt 09.09.2007, 00:35   #3
wiseguy8
 
Trojaner an Bord - HJT/Adaware/Spybot machtlos?! - Standard

Trojaner an Bord - HJT/Adaware/Spybot machtlos?!



Danke für die Antwort.
SP2 hab ich wieder runtergenommen, weil das irgendwie nicht passen wollte, der Rechner nur am Rumzicken war & diverse Sachen einfach nicht liefen...

Aber es scheint jetzt zumindest so zu sein, dass ich die Kollegen Trojaner losgeworden bin (3x auf Holz geklopft!!!) - hab heute 2x nen escan gemacht & die aufgespürten Schad-Files per Killbox gelöscht...spybot & Freunde melden mir mittlerweile keine Schädlinge mehr & die Registry scheint auch wieder befreit zu sein...hat zwar Ewigkeiten gedauert, aber bin wohl ums Neuaufsetzen rum gekommen...aber hartnäckig war er, der Win32Agent.pz...

Nochmals Danke für die schnelle Antwort.
__________________

Alt 09.09.2007, 09:18   #4
.::|||::.
 

Trojaner an Bord - HJT/Adaware/Spybot machtlos?! - Standard

Trojaner an Bord - HJT/Adaware/Spybot machtlos?!



Zitat:
Zitat von wiseguy8 Beitrag anzeigen
aber bin wohl ums Neuaufsetzen rum gekommen...
Aus meiner Sicht überhaupt nicht!
Du warst kompromittiert, da hilft es nichts, die Server der Backdoors zu löschen, weil du nicht weisst, welche Backdoors noch geöffnet wurden!
Also ran ans Neuaufsetzen!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Antwort

Themen zu Trojaner an Bord - HJT/Adaware/Spybot machtlos?!
adobe, alert, application, attention, diverse trojaner, e-mail, einstellungen, entfernen, explorer, hijack, hijackthis, hilfe!!, hilfe!!!, immer wieder, infected, internet, internet explorer, langsam, neustart, opera, pdf, popup, programme, registry, registry value, s-1-5-18, server, software, system, trojaner, userinit.exe, windows, windows xp



Ähnliche Themen: Trojaner an Bord - HJT/Adaware/Spybot machtlos?!


  1. Trojaner an Bord
    Log-Analyse und Auswertung - 20.03.2015 (9)
  2. GVU-Trojaner, Abgesicherter Modus + WindowsUnlocker machtlos!
    Mülltonne - 20.07.2014 (3)
  3. AdAware / Spybot / Malwarebytes zusätzlich?
    Antiviren-, Firewall- und andere Schutzprogramme - 04.10.2012 (13)
  4. BKA-Trojaner und Machtlos (XP Pro)
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (9)
  5. p95 / Trojaner / Virenprogramm machtlos?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (3)
  6. BKA Trojaner, Rescue CD aufgrund Überhitzung des CPU machtlos?
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (3)
  7. System läuft langsam, Spybot Adaware und Malewarebytes stürzen ab
    Log-Analyse und Auswertung - 28.12.2009 (14)
  8. Div. Viren / Adaware funde (Adaware Zango...) - Systemuhr festellt sich ständig
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (18)
  9. Hab malware auf dem pc(verfolgender Cookie) und Spybot bzw. Adaware versagen
    Mülltonne - 12.11.2008 (0)
  10. Trojaner an Bord ?
    Mülltonne - 24.08.2008 (0)
  11. Kann wer mit Logfile checken? Hab widersprüchliche Aussagen bei Adaware und spybot.
    Mülltonne - 27.06.2008 (0)
  12. adaware se pro/superantispyware pro/spybot sd
    Antiviren-, Firewall- und andere Schutzprogramme - 16.04.2007 (3)
  13. nach SpyBot, AdAware & Co. - endlich alles weg???
    Log-Analyse und Auswertung - 28.12.2005 (1)
  14. Trügerische Sicherheit mit AdAware&Spybot
    Plagegeister aller Art und deren Bekämpfung - 11.07.2005 (1)
  15. Hijack log bitte auswerten, spybot/adaware/norten bereist geprüft
    Log-Analyse und Auswertung - 21.12.2004 (1)
  16. Trojaner an Bord?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2003 (8)
  17. Fehleralarm von SpyBot oder AdAware kann es nicht finden?
    Antiviren-, Firewall- und andere Schutzprogramme - 09.02.2003 (9)

Zum Thema Trojaner an Bord - HJT/Adaware/Spybot machtlos?! - Guten Tag zusammen! Ich habs hier offensichtlich mit nem absolut hartnäckigen Feind zu tun, der einfach nicht zu entfernen zu sein scheint - vielleicht kann mir ja jemand helfen, da - Trojaner an Bord - HJT/Adaware/Spybot machtlos?!...
Archiv
Du betrachtest: Trojaner an Bord - HJT/Adaware/Spybot machtlos?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.