Hilfe !

Habe seit Ende April,Anfang Mai einen hartnäckigen Trojaner, der alle gängigen Spyware-Viren-Scanner abschießt durch Systemabsturz. Nach dem Neustart des PCs (Windows XP, AMD Athlon 3000, 160GByte HDD, etc.) kommt jedesmal das bekannte Fenster "Das System wurde nach einem schweren Fehler wieder ausgeführt, ...Problembericht an MS senden, etc."
Außerdem wird das Programm Outlook abgeschossen.

Nach einem gescheiterten Scanversuch mit einem Antimalware-Programm wird der Trojaner böse und fährt mehrer Systemabstürze hintereinander. Lässt man danach den Rechner über eine Stunde ausgeschaltet, so hat er sich wieder beruhigt. Auch das Virenscanner-Programm AntiVir läuft und lässt sich updaten. Offensichtlich will der Trojaner die Installation weiterer Malware verhindern aber den Benutzer nicht so sehr ärgern, dass er den Rechner vom Internet trennt oder gar die Festplatte formatiert. Übrigens habe DSL und eien Netgear Router/DSL-Modem.

Und nun das Unheimliche: Auch nach dem Booten von einer BartPE CD stürzen Spybot Search & Destroy und McAffee-Stinger ab, obwohl sie als Plugins von der CD gestartet wurden.

Wie ist das möglich ?

Hier das HijackThis Log-File

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Wenn ich das so ohne den Namen des 'Trojaners' lese, sieht das mir eher nach einem Hardwaredefekt oder nach einem fehlerhaften Treiber aus.
mfg

Hallo,

Vielen Dank für die Antwort,

Aber das ist mit Sicherheit kein HW-Defekt, denn die Abstürze lassen sich reproduzierbar nur durch das Starten von Anti-Spyware und Anti-Virus Programmen und durch Outlook hervorrufen !
Alle anderen Programme laufen einwandfrei.

Übrigens: Im Problembericht steht:

C:\Dokume~1\Loginname\Lokale~1\Temp\Wert577.dir00\Mini060108-03.dmp
Sieht man darunter im Internet nach ergibt sich der Hinweis: Alle Files in C:\Minidump löschen und oben genannte Directories löschen, danach C:\ defragmentieren. Nach Booten im abgesicherten Modus lief der McAffee-Stinger bis zu einem File Nero.exe in C:\Dokumente und Einstellungen....Laut Internet steckt hier mit großer Wahrscheinlichkeit Malware drin. Nero wurde von diesem PC deinstalliert. Danach blieb er in einer Endlosschleife stecken.
Der Luke-Filewalker lief durch und fand nichts.

Da sämtlich bisher versuchten Scanner abgeschossen wurden, kann ich leider keinen genauen Namen des Trojaners angeben. Übrigens Anfang Mai kam mit einem Sicherheitspatch von MS auch ein Patch zum Beseitigen bösartiger SW, auch diese Installation wurde Abgeschossen

Der Trojaner hat mit Sicherheit auch einen Key-Logger. Das Eintippen von Namen von Firmen ( z.B. Sygate ) oder Programmen ( z.B. Stinger ) bzgl. Anti-Spyware, Anti-Virus führt zum Absturz !

Gruß,

Christian124

Hi,

nur wie kommt er dann auf deine BartPE-CD? Oder hast Du die erst auf dem bereits befallenen System erstellt? Dann wäre es kein Wunder. Dann müsstest Du dir irgendwo einen sauberen Computer suchen und dort eine neue erstellen.

Gruß, Karl

wieviele AV-Programme/Scanner hast du denn am laufen? Könnte es sein dass es mehrere sind und die sich gegenseitig beißen?

Zitat:

Zitat von Christian124

Hilfe !


Nach einem gescheiterten Scanversuch mit einem Antimalware-Programm wird der Trojaner böse und fährt mehrer Systemabstürze hintereinander. Lässt man danach den Rechner über eine Stunde ausgeschaltet, so hat er sich wieder beruhigt. Auch das Virenscanner-Programm AntiVir läuft und lässt sich updaten. Offensichtlich will der Trojaner die Installation weiterer Malware ??? verhindern aber den Benutzer nicht so sehr ärgern, dass er den Rechner vom Internet trennt oder gar die Festplatte formatiert. Übrigens habe DSL und eien Netgear Router/DSL-Modem.

naja so ein paar Sachen hören sich doch merkwürdig an??? Kannst du das nochmal überprüfen?

Danke für die vielen Antworten,

Habe selbstverständlich die BartPE CDs auf einem zweiten nichtbefallenen Rechner erzeugt. Diesen Rechner habe ich mit Luke-Filewalker, Spybot Search& Destroy, MacAffee Stinger und SUPERAntiSpyware gescannt. Außerdem läuft lokal die Zone-Alarm Firewall.

Nur mit diesem nichtbefallenen Rechner kann ich Internet-Aktivitäten bzgl. des Befalls des anderen Rechners durchführen, da sonst durch den Key-Logger des Trojaners Stich-Wörter wie Anti, Virus, Spyware etc. zu Systemabstürzen führen würden.

Bzgl. BartPE: Kann es sein, dass McAffee-Stinger und Spybot SD auch nach Booten von BartPE Files auf der C: benutzen, die der Trojaner vorher bereits beschädigt hat ?

Habe auf dem befallenen Rechner Luke-File-Walker, MacAfee-Stinger, Spybot SD, Cyberdefender Early Spy, Bitdefender, Lavasoft-Noadaware laufen lassen und danach jeweils wieder deinstalliert. Alle Programme wurden abgeschossen. Z.Zt. läuft der AntiVir Guard, damit nur ein Antiviren-Programm aktiv ist.

Christian124

was passiert im abgesicherten Mosus (F8)?

Der Trojaner schießt die gleichen Programme ab wie im normalen Modus. Auch der Keylogger ist aktiv, so lässt sich die Sygate-Firewall nicht installieren.

Übrigens: Regedit und HijackThis funktionieren. Danach ist der Trojaner ebenfalls eine Stunde lang böse ! Auch die Systemwiederherstellung lässt sich deaktivieren.

Dadurch dass ich in HijackThis alle Einträge mit Hinweisen auf bereits deinstallierte Programpakete gefixt habe, habe ich den Trojaner auch in den Zustand bekommen, in dem die Antispyware- Antivirusprogramme stehen blieben, aber keine Systemabstürze mehr stattfanden.

Nach dem nächsten normalen Systemstart war der Trojaner wieder aktiv.

Gruß,

Christian124

stell bitte ein editiertes http://www.trojaner-board.de/22771-a...tml#post171958 HJT-Log ein.

aber wenn du Dir sicher bist einen keylogger/ trojaner eingefangen zu haben ist das hier die beste wahl http://www.trojaner-board.de/51262-a...sicherung.html

Hier das editierte HijackThis Log-File

Scan saved at 21:22:19, on 07.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HJT\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://cwshredder.net/cwshredder/cwsredir.php?target=tmas
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6656 bytes

O23 ....Norman...erscheint mir verdächtig, Norman gehört auch zu den deinstallierten Programmpaketen.

Den Rechner neu aufzusetzen möchte ich ja gerade vermeiden. Zwar wird er von 3 Benutzern benutzt ( 3 Accounts, der Trojaner ist bei allen Benutzern aktiv ), aber Daten wir Kontonr., Kreditkartennr. etc. sind nicht auf dem PC. Die Arbeit, alles neu zu installieren wäre wahrscheinlich viele Wochen. Gelänge es die Systemabstürze zu beseitigen, würde ich den Trojaner tolerieren.

deinstallier erstmal ...!

• sämtliche toolbars
• Google desktop manager
• 0190 warner
• Norman
• Scansoft

für den norman kannst du den uninstaller http://download.norman.no/public/Delnvc5.exe nehmen.

anschliessend nochmal ein Hijackthis-log nicht im safe mode

Hallo !

Norman habe ich versucht mit Norton-Cleansweep zu deinstallieren, das wurde abgeschossen ! Werde aber das oben erwähnte Tool benutzen. Schaun wir einmal, ob der Trojaner dieses Programm kennt ?

Die Toolbars werde ich versuchen zu deinstallieren.

Den 190-Warner kann ich nicht deinstallieren, dann funktioniert der Internetzugang überhaupt nicht mehr. Das Problem ist alt, ich hatte es schon for langer Zeit auf einem anderen Rechner. Erst nach Neuinstallation des Betriebssystems war das Problem weg.

Scansoft ist die SW des angeschlossenen Brother Drucker-Scanners, dann funktioniert eben der Scanner nicht mehr. Lässt sich im Prinzip von der CD nachinstallieren.

Gruß,

Christian124

Nochmal Hallo,

Wird ein bischen dauern. Z.Zt. wird auf dem anderen Rechner ein iPod geladen. Der Trojaner ist z.Zt. friedlich.

In der Zwischenzeit noch einmal die Frage: Wie ist es theoretisch überhaupt möglich, dass Anti-Spyware und Antivirenprogramme (die vorher schon einmal auf dem infizierten Rechner gelaufen waren) von BartPE nicht laufen. Verwenden diese Programme, auch wenn sie als Plugins auf der CD installiert sind etwa Files auf der C:\ ,die der Trojaner vorher beschädigt hat ? Wenn ja, welche ?

Habe deshalb versucht auf dem gesunden Rechner eine BartPE CD mit SUPERAntiSpyware zu brennen. SAS war auf dem kranken PC noch nie installiert. Aber dieses Programm läuft wegen des Saskutil-Problems nicht. Im Internet kann man lesen, dass der Hersteller von SAS an der Behebung des Problems arbeitet.

Ca 1 bis 2 Wochen vor dem Trojanerbefall habe ich den PC mit Luke-Filewalker und mit Cyberdefender EarlySpy gescannt und kein Problem gefunden. Es handelt sich also hier nicht um einen PC, der in allen Ecken verseucht ist.

Leider ist durch einen Bedienungsfehler meinerseits beim Update vor einigen Monaten die lokale Zonelabs Firewall zerstört worden (das bekannte TrueVector-Dienst Problem). Jetzt verhindert der Trojaner die Installation der Sygate-Firewall.

Christian124

böser / friedlicher trojaner ???

Du tust Dir wahrscheinlich einen großen Gefallen wenn Du Dein system neu aufsetzt und ordentlich/normal absicherst. Hier gilt nicht: Viel hilft viel

falls Du das auf gar keinen Fall möchtest solltest Du:

erstmal alle nicht unbedingt benötigten (oder auch einfach wieder zu installierenden Programme) über die Systemsteuerung deinstallieren.
Google evtl. nach uninstallern für zonelabs etc.

Anschliessend mit CCleaner Dein System aufräumen und die Registrierung nach Fehlern untersuchen lassen.

Was mich noch interessieren würd, ob Dein Antivir neben den updates auch noch seine AV funktionalität hat. Teste es bitte mal mit dem eicar Testvirus.