Zitat:

Zitat von BataAlexander

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Danke, aber das wollte ich gerade vermeiden. Der PC läuft sonst perfekt. Man muss doch die Ursache beseitigen können. Ich kann den Trojaner mit dem residenten Schutz unschädlich halten, aber das ist keine Lösung.

Hijack und AVG meldet keine Auffälligkeiten.

Zitat:

Zitat von NB3000

Hijack und AVG meldet keine Auffälligkeiten.

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

Zitat:

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Zitat:

Zitat von BataAlexander

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Danke, das Tool werde ich versuchen. Neuaufspielen ist die letzte Möglichkeit. Ich habe noch einen 2. Rechner im Heimnetzwerk auf dem der Trojaner auch drauf ist, dann müsste ich gleich 2 Rechner neu bespielen.

Poste mal bitte das komplette GMER logfile.

Zitat:

Zitat von BataAlexander

Poste mal bitte das komplette GMER logfile.

Hallo BataAlexander,

das sieht so aus.

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-12 22:58:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF847B818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF847B7D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF846FA20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84702A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF847B910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF847B794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84702C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF847B866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF847B0B0]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82F74DD0
Device \FileSystem\Fastfat \FatCdrom 8216F180

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 82E49E20
Device \FileSystem\Rdbss \Device\FsWrap 82F397B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 82E1A750
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82E1A750
Device \Driver\atapi \Device\Ide\IdePort0 82E1A750
Device \Driver\atapi \Device\Ide\IdePort1 82E1A750
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f 82E1A750
Device \Driver\Cdrom \Device\CdRom1 82E49E20
Device \FileSystem\Srv \Device\LanmanServer 8216A818

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82E7EF08
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82E7EF08
Device \FileSystem\Npfs \Device\NamedPipe 82E991F0
Device \FileSystem\Msfs \Device\Mailslot 82EA3150
Device \FileSystem\Fastfat \Fat 8216F180

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82EBA878
Device \FileSystem\Cdfs \Cdfs 82D02C80

---- Modules - GMER 1.0.14 ----

Module _________ F8426000-F843E000 (98304 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] muyigxtbw <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x87 0xE0 0x4A 0xDA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@DisplayName Shell System
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@DisplayName Shell System
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Start 4
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll

---- EOF - GMER 1.0.14 ----

Zitat:

Zitat von BataAlexander

Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Das Tool hat nichts gemeldet, aber Anti-Malware hat was gefunden

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 17:17:33
mbam-log-2009-02-13 (17-17-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58918
Laufzeit: 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 4
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Webtools (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Programme\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner\config.cfg (Adware.SurfAccuracy) -> Quarantined and deleted successfully.

Also ich konnte jetzt mit Umstellung der Berechtigungen über regedit die Einträge zu dem Trojaner in der Registry löschen. Ich hoffe dass es so bleibt. Anti-Malware und GMER meldet dazu nichts mehr.

Aber kann mir jemand sagen, was die ntoskrnl.exe mit dem TCPIP-System zu tun hat?

AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Irgendwas muss noch drauf sein. Ständig wird über svchost versucht einen Trojaner zu downloaden was AVG glücklicherweise unterbindet.

svchost.exe:1548 TCP XXX.XXX.XXX.XXX:2336 85.121.243.7:9234

Was ist svchost:1548 ?

Ich springe mal kurz ein für den, der meine Kommentare so mag.

Anleitung Avenger (by swandog46)

Lade dir das Tool Gurkenhobel und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
muyigxtbw

Files to delete:
C:\WINDOWS\system32\bfzbrenk.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo john.doe,

danke dir! Er hat nichts gefunden, ich hatte ja schon alles entfernen können.

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\muyigxtbw" not found!
Deletion of driver "muyigxtbw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\bfzbrenk.dll" not found!
Deletion of file "C:\WINDOWS\system32\bfzbrenk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Trotzdem klinkt sich wahrscheinlich ein Trojanerdownloader rein, sobald ich über pppoe und Windowsfirewall im Netz bin.

Das DSL-Log meldet:

Zitat:

System:4 TCP XXX.XXX.XXX.XXX:445 82.19.100.43:3435 Upload 0 kbit/s
svchost.exe:1548 TCP XXX.XXX.XXX.XXX:2336 85.121.243.7:9234

und der residente Schutz von AVG

Zitat:

Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\azawggiu[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:50:21";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 16:48:12";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNTDZSWU\qigsd[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:43:17";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNTDZSWU\dyqgsik[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:43:09";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\ptalaz[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:31:02";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.CJR;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 16:16:09";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\pzkgsfk[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:15:20";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.COL;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:48:16";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:47:32";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MWU58WD2\pail[1].png";"In Virenquarantäne verschoben";"15.02.2009, 15:45:00";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.CJX;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:38:44";"Datei";"C:\WINDOWS\system32\svchost.exe"