| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner auf meinem LaptopWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.08.2008, 22:54
| #1 |
| |  Mehrere Trojaner auf meinem Laptop Hallo Trojaner-Team, ich hoffe einfach mal, dass mein erster Beitrag hier nicht total in die Hose geht. Wenn da Informationen von mir nicht gegeben wurden oder noch logfiles fehlen, die reiche ich gerne nach. Also, zur Problembeschreibung. Auf meinem Laptop scheinen sich mehrere Trojaner zu tummeln. Beim Hochfahren aktivieren sich auf dem Desktop drei Verlinkungen mit den Titeln "Error Cleaner", "Privacy Protector" und "Spyware&Malware Protection." Diese verlinken auf äußerst fragwürdige Seiten, auf denen man sich einen Virenscanner downloaden soll. Außerdem lassen sich in der Taskleiste nach der Datumsangabe "VIRUS ALERT!" und ein blinkendes Kreuz finden (anscheinend vom System selbst), die darauf hinweisen, dass man Viren im System hat und diese bereinigen sollte. Des Weiteren poppen ca. alle 2-5 Minuten Fenster auf, die fragen, ob man sein System von Viren reinigen will - wieder mit äußerst merkwürdigen Verlinkungen. Außerdem versucht der Wurm ca. alle 3 min., die Standartinternetseite des Internet Explorers zu ändern - was bisher von meinem Antivirenprogramm verhindert wurde. Über den Arbeitsplatz lassen sich die lokalen Festplatten C:/ (Windowspartition) und D:/ nicht mehr aufrufen. Die externe Festplatte scheint jedoch von diesem Schwund nicht betroffen zu sein. Nun meine Schritte, die ich bisher unternommen habe. 1) Mit McAfee VirusScan mehrmals durchgescannt - es konnten leider keine Viren entdeckt werden Logfile: Code:
ATTFilter 31.08.2008 23:05:16 Statistik:
31.08.2008 23:05:16 Gescannte Dateien: 69765
31.08.2008 23:05:16 Erkannte Dateien: 0
31.08.2008 23:05:16 Gesäuberte Dateien: 0
31.08.2008 23:05:16 Gelöschte Dateien: 0
31.08.2008 23:05:16 Verschobene Dateien: 0
31.08.2008 23:07:17 Modulversion = 5.3.00
31.08.2008 23:07:17 DAT-Version = 5373
31.08.2008 23:07:17 Anzahl der Virussignaturen in EXTRA.DAT = Kein
31.08.2008 23:07:17 Namen der Viren, die von EXTRA.DAT erkannt werden können= Kein
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 08/31/2008 at 11:02 PM
Application Version : 4.20.1046
Core Rules Database Version : 3552
Trace Rules Database Version: 1540
Scan type : Complete Scan
Total Scan Time : 02:39:51
Memory items scanned : 449
Memory threats detected : 0
Registry items scanned : 6707
Registry threats detected : 1
File items scanned : 72197
File threats detected : 7
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[2].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt
Browser Hijacker.Internet Explorer Settings Hijack
HKU\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\Internet Explorer\Main#Start Page [ h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]
Desktop Hijacker.AboutYourPrivacy
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url
Ein entfernen der bezeichneten Dateien, sowie ein Bereinigen des Quarantäne-Ordners bringt allerdings nichts - beim Rebooten sind die Dateien wieder an Ort und Stelle. Die "Windows-Warnungen" sehen übrigens folgendermaßen aus. Bisher hab ich da noch nichts gemacht und hoffe, ich liege damit richtig, dass der Virus und nicht Windows mir die Nachrichten schickt. [img] http://img222.imageshack.us/img222/6310/warninggy4.png [/img] Da ich mich damit wirklich nicht auskenne, hoffe ich mal auf eure Hilfe. Mit dem Hijack-Logfile konnte ich leider bisher nichts anfangen. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:51: VIRUS ALERT!, on 31.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe C:\Programme\VIA\RAID\raid_tool.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\Programme\Network Associates\VirusScan\SHSTAT.EXE D:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\LxrJD31s.exe D:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\Programme\Network Associates\VirusScan\Mcshield.exe D:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2DDE4FC8-F5D0-4983-8AE4-E88A06E27A45} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {A0B4FFEA-D466-49A8-9BB0-B7BBD2FCB449} - (no file) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206113951437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206115840375 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{620A1774-A125-43CB-99E9-D6FF6A46476B}: NameServer = 172.17.24.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{65198C73-DCF8-4F75-ADF5-9B186590C122}: NameServer = 131.188.24.147,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147 O17 - HKLM\System\CS2\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing) O20 - Winlogon Notify: xxyaabaw - xxyaabaw.dll (file missing) O21 - SSODL: pdoskegl - {305A8ECF-356A-4053-BC3A-F33DE1CED254} - C:\WINDOWS\pdoskegl.dll O21 - SSODL: rqbmvpso - {9CC8AE1A-7B50-4849-A981-42D344084221} - (no file) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 10191 bytes Noch dazu einige Logs mbr: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter 08/31/08 23:59:35 [Info]: BlackLight Engine 1.0.70 initialized
08/31/08 23:59:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/31/08 23:59:35 [Note]: 7019 4
08/31/08 23:59:35 [Note]: 7005 0
08/31/08 23:59:38 [Note]: 7006 0
08/31/08 23:59:38 [Note]: 7011 232
08/31/08 23:59:38 [Note]: 7035 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:42 [Note]: FSRAW library version 1.7.1024
09/01/08 00:03:48 [Note]: 2000 1012
09/01/08 00:04:14 [Note]: 7007 0
Armano P.S.: Wie gesagt, falls ich noch irgendwas vergessen habe, liefere ich das gerne nach. Hoffe mal, ich hab jetzt nicht allzuviele Fehler gemacht. Geändert von Armano (31.08.2008 um 23:16 Uhr) |
| Themen zu Mehrere Trojaner auf meinem Laptop |
| aufrufe, bho, bonjour, computer, desktop, entfernen, error, explorers, festplatte, frage, gottschalk, helper, hijackthis, hkus\s-1-5-18, keine viren, malware, mbr rootkit, mehrere, neu aufsetzen, object, pop-up-blocker, privacy protection, programm, rootkit, scan, senden, software, spyware, super, system, system neu, system neu aufsetzen, trojaner, urlsearchhook, verlinkungen, vielen dank, virus, virus alert, virus alert!, windows xp, wmid, wurm, ändern |
Baum-Darstellung