Hallo Gemeinde,

ich habe einen hartnäckigen Trojaner oder Virus auf dem PC, unter XP SP2.

GMER meldet

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] muyigxtbw

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

Eine zugehörige Dll bfzbrenk.dll wurde von AVG als Trojaner I-Worm/Generic.CKH erkannt und unschädlich gemacht.

Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll

Der Trojaner bewirkt, dass er beim Einloggen wahllos irgendwelche IP`s aufruft und wahrscheinlich versucht sich über Port 445 dort zu verbreiten, im Log steht z.B.

svchost.exe:432 TCP XXX.XXX.XX.XX:4730 29.121.219.4:445

Kennt jemand das Problem oder weiß die Lösung?

Zitat:

Kennt jemand das Problem oder weiß die Lösung?

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Zitat:

Zitat von BataAlexander

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Danke, aber das wollte ich gerade vermeiden. Der PC läuft sonst perfekt. Man muss doch die Ursache beseitigen können. Ich kann den Trojaner mit dem residenten Schutz unschädlich halten, aber das ist keine Lösung.

Hijack und AVG meldet keine Auffälligkeiten.

Zitat:

Zitat von NB3000

Hijack und AVG meldet keine Auffälligkeiten.

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

Zitat:

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Zitat:

Zitat von BataAlexander

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Danke, das Tool werde ich versuchen. Neuaufspielen ist die letzte Möglichkeit. Ich habe noch einen 2. Rechner im Heimnetzwerk auf dem der Trojaner auch drauf ist, dann müsste ich gleich 2 Rechner neu bespielen.

Poste mal bitte das komplette GMER logfile.

Zitat:

Zitat von BataAlexander

Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Das Tool hat nichts gemeldet, aber Anti-Malware hat was gefunden

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 17:17:33
mbam-log-2009-02-13 (17-17-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58918
Laufzeit: 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 4
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Webtools (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Programme\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner\config.cfg (Adware.SurfAccuracy) -> Quarantined and deleted successfully.

Also ich konnte jetzt mit Umstellung der Berechtigungen über regedit die Einträge zu dem Trojaner in der Registry löschen. Ich hoffe dass es so bleibt. Anti-Malware und GMER meldet dazu nichts mehr.

Aber kann mir jemand sagen, was die ntoskrnl.exe mit dem TCPIP-System zu tun hat?

AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)