Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.03.2009, 20:14   #1
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Hi zusammen, habe mir wohl heute oder gestern einen Trojaner eingefangen... Anzeichen dafür sind, dass AntiVir sich nicht mehr updaten lässt (keine Internetverbindung), nach jedem Hochfahren ist die Windows Firewall deaktiviert, Malwarebytes - Anti-Malware lässt sich nicht ausführen. Ergebnisse in Google öffnen sich im neuen Fenster.

Wäre super wenn mir jemand helfen könnte. Bin ein relativer Rookie daher von vornherein sorry wenn ich auf dem schlauch stehe.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:23, on 23.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312
O17 - HKLM\System\CCS\Services\Tcpip\..\{29358586-1423-4DE7-9395-CE9604CCE98E}: NameServer = 85.255.112.16,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF36A864-7FD6-47D2-AC03-D57168D935EF}: NameServer = 85.255.112.16,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.16,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.16,85.255.112.138
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985f16ece326b) (gupdate1c985f16ece326b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

--
End of file - 8171 bytes

Alt 23.03.2009, 21:18   #2
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Hallo Flo20 und


Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten.

Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )
Code:
ATTFilter
organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         
DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst
.


Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code:
ATTFilter
Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
         
Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code:
ATTFilter
Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         
Für Vista:
In die Netzwerkkontrolle gelangst du so
Code:
ATTFilter
- Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
         
Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....
__________________

__________________

Alt 24.03.2009, 08:39   #3
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Hi Redwulf,

vielen dank schon mal für die schnelle und ausführliche Hilfe.

Ich habe die Punkte 1 -5 abgearbeitet. Beim start von GMER sagt mir dieser noch, er habe etwas entdeckt und empfiehlt mir das System zu überprüfen. Wenn ich dann die Überprüfung starte kommt nach 1-2 Minuten der blaue Bildschirm das Notebook startet neu.

Hier mal die Logfiles:

MBR:
PHP-Code:
Stealth MBR rootkit detector 0.2.4 by Gmerhttp://www.gmer.net

deviceopened successfully
user
MBR read successfully
kernel
MBR read successfully
user 
kernel MBR OK 
Malwarebytes:
PHP-Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1890
Windows 6.0.6001 Service Pack 1

24.03.2009 09:00:09
mbam-log-2009-03-24 (08-59-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 177103
Laufzeit: 43 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{29358586-1423-4de7-9395-ce9604cce98e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{bf36a864-7fd6-47d2-ac03-d57168d935ef}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.16,85.255.112.138 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Flo\AppData\Local\codecsetup7764.exe (Trojan.DNSChanger) -> No action taken.
C:\Users\Flo\AppData\Local\codecsetup8997.exe (Trojan.DNSChanger) -> No action taken.
C:\Users\Flo\Desktop\avenger.exe (Rogue.Installer) -> No action taken.
C:\autorun.inf (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-3-3-86-100014502-100032276-100022492-6009.com (Trojan.Agent) -> No action taken.
C:\Windows\System32\gaopdxcounter (Trojan.Agent) -> No action taken. 
Konnte alles entfernt werden.
Neu ist, dass mir AntiVir beim Start des IE den Fund eines Trojaners (TR/Crypt.XPACK.Gen) meldet...

Hoffe du kannst mir weiter helfen.
Grüße
Flo
__________________

Alt 24.03.2009, 09:10   #4
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Hast du sicher alles entfernt? In deinem Log steht no action taken. Du musst sicher sein alles gelöscht zu haben.

Dieses GMER Log brauche ich, also, falls du dir nicht sicher bist, lass Malwarebytes nochmals einen vollen Scan machen, LÖSCHE alle Funde.
Dann versuch nochmals Gmer, benenne GMER vorher um in Hups.exe. Manche
Viren verhindern das Ausführen von Gmer. Hierduch täuscht man sie. Dann nochmals ein GMER Log posten. Das rootkit ist mit Sicherheit noch da und schirmt weitere Viren ab...

Code:
ATTFilter
Hoffe du kannst mir weiter helfen.
         
Dafür bin ich doch hier....
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Geändert von Redwulf (24.03.2009 um 09:16 Uhr)

Alt 24.03.2009, 09:52   #5
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Ich hab jetzt nochmal alles durchgemacht...

Hier das Log von Malwarebytes:
PHP-Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1890
Windows 6.0.6001 Service Pack 1

24.03.2009 10:34:15
mbam-log-2009-03-24 (10-34-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 177429
Laufzeit: 43 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. 
Beim Start von GMER erscheint folgende Meldung:
PHP-Code:
WARNING !!!

GMER has found system modificationwhich might have been caused by ROOTKIT activity

Dou you want to fully scan your system 

Nachdem ich dies bestätigt habe beginnt der Scan. Aber nach 1-2 Minuten erscheint der blaue Fehlerbildschirm und Windows startet neu... Ich habe GMER schon unterschiedliche Namen gegeben und als Admin gestartet, hat aber nichts geholfen, stürzt immer ab...
Auf dem blauen Bildschirm steht "aujasnkj.sy"

Grüße


Alt 24.03.2009, 17:01   #6
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Ich hab das ganze spiel jetzt dreimal gemacht und nach jedem Neustart findet Malware wieder den
PHP-Code:
Infizierte Dateien:
C:\Windows\System32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully
Wenn ich Malware gleich nochmal durchlaufen lasse, kommt keine Fehlermeldung mehr.
Trotzdem kommt direkt beim Start von GMER folgende Meldung:
PHP-Code:
GMER 1.0.15.14944 http://www.gmer.net
Rootkit scan 2009-03-24 17:56:40
Windows 6.0.6001 Service Pack 1


---- System GMER 1.0.15 ----

Code            86E16388                                                                                  ZwEnumerateKey
Code            86DB73A0                                                                                  ZwFlushInstructionCache
Code            86E1A30D                                                                                  IofCallDriver
Code            86DAD3CE                                                                                  IofCompleteRequest

---- Devices GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                   Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                   Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- 
Services GMER 1.0.15 ----

Service         C:\Windows\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys (*** hidden *** )  [SYSTEMgaopdxserv.sys                            <-- ROOTKIT !!!

---- 
EOF GMER 1.0.15 ---- 
Auch bei jedem Start des IE kommt die Meldung von AntiVir
PHP-Code:
In der Datei 'C:\Windows\System32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojangefunden.
Ausgeführte AktionDatei löschen 
Den Scan von GMER kann ich leider nicht durchführen, da das Notebook nach 1-2 Minuten in den blauen Bildschirm wechselt und neu startet...

Es ist zu kotzen...

Was kann ich nun tun?

Alt 24.03.2009, 19:05   #7
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



So, da bin ich nochmal...
Habe GMER jetzt einfach mal im abgesicherten Modus laufen lassen...
PHP-Code:
GMER 1.0.15.14944 http://www.gmer.net
Rootkit scan 2009-03-24 19:53:02
Windows 6.0.6001 Service Pack 1


---- System GMER 1.0.15 ----

Code            849E42E8                                                                                   ZwEnumerateKey
Code            849C43B0                                                                                   ZwFlushInstructionCache
Code            849E431D                                                                                   IofCallDriver
Code            84A88A5E                                                                                   IofCompleteRequest

---- Kernel code sections GMER 1.0.15 ----

.
text           ntoskrnl.exe!IofCallDriver                                                                 8207B169 5 Bytes  JMP 849E4322 
.text           ntoskrnl.exe!IofCompleteRequest                                                            8207B1D6 5 Bytes  JMP 84A88A63 
PAGE            ntoskrnl
.exe!ZwFlushInstructionCache                                                       821DD1C2 5 Bytes  JMP 849C43B4 
PAGE            ntoskrnl
.exe!ZwEnumerateKey                                                                8220858C 5 Bytes  JMP 849E42EC 
?               C:\Users\Flo\AppData\Local\Temp\mbr.sys                                                    Das System kann die angegebene Datei nicht finden. !

---- 
Devices GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- 
Modules GMER 1.0.15 ----

Module          \systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys (*** hidden *** )  88396000-883AD000 (94208 bytes)                                                        

---- 
Services GMER 1.0.15 ----

Service         C:\Windows\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys (*** hidden *** )   [SYSTEMgaopdxserv.sys                                                                 <-- ROOTKIT !!!

---- 
Registry GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ca0                
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0cab                
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ccf                
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8                
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8@001fe4f62aad   0x07 0x7B 0xA9 0xB4 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                      
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                1
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                 1
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                            \systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                file system
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                              
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                   \\?\globalroot\systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                      \\?\globalroot\systemroot\system32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0ca0                    
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0cab                    
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0ccf                    
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8                    
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8@001fe4f62aad       0x07 0x7B 0xA9 0xB4 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys                                          
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start                                    1
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type                                     1
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath                                \systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group                                    file system
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                  
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                       \\?\globalroot\systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys
Reg             HKLM
\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                          \\?\globalroot\systemroot\system32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll

---- Files GMER 1.0.15 ----

File            C:\Windows\System32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys                     39936 bytes executable                                                                  <-- ROOTKIT !!!
File            C:\Windows\System32\gaopdxcounter                                                          4 bytes
File            C
:\Windows\System32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll                             19968 bytes executable

---- EOF GMER 1.0.15 ---- 
Hoffe das hilft weiter. Wenn ich im normalen Modus starte kommen die ersten 5-6 Zeilen, dann Bluescreen

Hoffe auf neue Anweisungen

Alt 24.03.2009, 20:57   #8
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Reicht mir schon....

Ich schicke dir morgen mal ein Script, was wir mit Avenger laufen lassen werden. Danach wird es deinem PC besser gehen und wir können den Rest bereinigen....kein Problem, ich hab gesehen was ich sehen muß. Danke für deine tolle Mitarbeit
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 25.03.2009, 09:18   #9
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Ja, ja die lieben rootkits sind hartnäckig:

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar...

Dem bereiten wir jetzt den Garaus:

Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.



Kopiere jetzt den Inhalt der Codebox mit Strg +C
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys
C:\WINDOWS\system32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll
C:\WINDOWS\system32\gaopdxcounter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
         
und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken, das sieht sehr wild aus und du wirst Sorge um deinen PC haben.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Dann gehts ans Aufräumen....
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 25.03.2009, 11:33   #10
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



So, hier erstmal Avanger:
PHP-Code:
Logfile of The Avenger Version 2.0, (cby Swandog46
http
://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys 
Start Type
:  (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxmivbtejsccihtwibrwibptospmtqfixt.sys" deleted successfully.

Error:  file "C:\WINDOWS\system32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxgcveuqnnqrdkhnfpywwxmfbxixuqdbns.dll" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist

File 
"C:\WINDOWS\system32\gaopdxcounter" deleted successfully.

Error:  registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist

Registry key 
"HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate
Blacklight:
PHP-Code:
03/25/09 10:27:19 [Info]: BlackLight Engine 2.2.1092 initialized
03
/25/09 10:27:19 [Info]: OS6.0 build 6001 (Service Pack 1)
03/25/09 10:27:19 [Note]: 7019 4
03
/25/09 10:27:19 [Note]: 7005 0
03
/25/09 10:27:24 [Note]: 7006 0
03
/25/09 10:27:24 [Note]: 7027 0
03
/25/09 10:27:24 [Note]: 7035 0
03
/25/09 10:27:25 [Note]: 7026 0
03
/25/09 10:27:25 [Note]: 7026 0
03
/25/09 10:27:27 [Note]: FSRAW library version 1.7.1024
03
/25/09 10:29:15 [Note]: 4015 39155
03
/25/09 10:29:15 [Note]: 4027 39155 131072
03
/25/09 10:29:15 [Note]: 4020 552 65536
03
/25/09 10:29:15 [Note]: 4018 552 65536
03
/25/09 10:29:36 [Note]: 4015 1445
03
/25/09 10:29:36 [Note]: 4027 1445 65536
03
/25/09 10:29:36 [Note]: 4020 552 65536
03
/25/09 10:29:36 [Note]: 4018 552 65536
03
/25/09 10:29:45 [Note]: 4015 1493
03
/25/09 10:29:45 [Note]: 4027 1493 65536
03
/25/09 10:29:45 [Note]: 4020 1445 65536
03
/25/09 10:29:45 [Note]: 4018 1445 65536
03
/25/09 10:44:02 [Note]: 7007 0 
Und noch Malware:
PHP-Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 6.0.6001 Service Pack 1

25.03.2009 12:20:09
mbam-log-2009-03-25 (12-20-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 164724
Laufzeit: 1 hour(s), 34 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Flo\Desktop\avenger.exe (Rogue.Installer) -> Quarantined and deleted successfully. 
Gibts ne Erklärung warum Malware jetzt doppelt so lang gebraucht hat obwohl es ca. 10.000 Objekte weniger waren?

Und zum Schluss noch Hijack
PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12
:29:42on 25.03.2009
Platform
Windows Vista SP1 (WinNT 6.00.1905)
MSIEInternet Explorer v7.00 (7.00.6001.18000)
Boot modeNormal

Running processes
:
C:\Windows\system32\Dwm.exe
C
:\Windows\system32\taskeng.exe
C
:\Windows\Explorer.EXE
C
:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C
:\Windows\system32\taskeng.exe
C
:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C
:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C
:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C
:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C
:\Program Files\Windows Defender\MSASCui.exe
C
:\Windows\RtHDVCpl.exe
C
:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C
:\Windows\System32\rundll32.exe
C
:\Windows\System32\rundll32.exe
C
:\Windows\WindowsMobile\wmdSync.exe
C
:\Program Files\iTunes\iTunesHelper.exe
C
:\Program Files\Java\jre6\bin\jusched.exe
C
:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C
:\Program Files\Windows Sidebar\sidebar.exe
C
:\Program Files\Windows Live\Messenger\msnmsgr.exe
C
:\Program Files\Windows Media Player\wmpnscfg.exe
C
:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C
:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C
:\Program Files\Windows Live\Contacts\wlcomm.exe
C
:\Program Files\Internet Explorer\ieuser.exe
C
:\Program Files\Internet Explorer\iexplore.exe
C
:\Windows\system32\SearchFilterHost.exe
C
:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page http://go.microsoft.com/fwlink/?LinkId=54896
R0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page about:blank
R1 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL http:\\www.samsungcomputer.com
R1 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL http://go.microsoft.com/fwlink/?LinkId=54896
R1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page http://go.microsoft.com/fwlink/?LinkId=54896
R0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page http://go.microsoft.com/fwlink/?LinkId=69157
R0 HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant 
R0 HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch 
R1 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 
HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName 
O1 Hosts: ::1 localhost
O2 
BHOAdobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 
BHOSkype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 
BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 BHOWindows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 
BHOGoogle Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 
BHOJava(tmPlug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 
HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 
HKLM\..\Run: [RtHDVCplRtHDVCpl.exe
O4 
HKLM\..\Run: [SynTPEnhC:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 
HKLM\..\Run: [Play AVStation TV SchedulerC:\Program Files\Samsung\Play AVStation\TvScheduler.exe
O4 
HKLM\..\Run: [NvSvcRUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 
HKLM\..\Run: [NvCplDaemonRUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 
HKLM\..\Run: [NvMediaCenterRUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 
HKLM\..\Run: [AppleSyncNotifierC:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 
HKLM\..\Run: [Adobe Reader Speed Launcher"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 
HKLM\..\Run: [QuickTime Task"C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 
HKLM\..\Run: [iTunesHelper"C:\Program Files\iTunes\iTunesHelper.exe"
O4 HKLM\..\Run: [SunJavaUpdateSched"C:\Program Files\Java\jre6\bin\jusched.exe"
O4 HKLM\..\Run: [avgnt"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 
HKCU\..\Run: [SidebarC:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 
HKCU\..\Run: [MsnMsgr"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 
HKCU\..\Run: [WMPNSCFGC:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 
HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenterrundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global StartupBTTray.lnk = ?
O8 Extra context menu itemNach Microsoft &Excel exportieren res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 Extra buttonSkype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 
Extra buttonRecherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 
Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 
Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 
Gopher Prefix
O16 DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312
O18 Protocolskype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 
ServiceAgere Modem Call Progress Audio (AgereModemAudio) - Agere Systems C:\Windows\system32\agrsmsvc.exe
O23 
ServiceAvira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 
ServiceAvira AntiVir Guard (AntiVirService) - Avira GmbH C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 
ServiceApple Mobile Device Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 
ServiceBonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 
ServiceGoogle Update Service (gupdate1c985f16ece326b) (gupdate1c985f16ece326b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 
ServiceGoogle Software Updater (gusvc) - Google C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 
ServiceInstallDriver Table Manager (IDriverT) - Macrovision Corporation C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 
ServiceiPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 
ServiceNero BackItUp Scheduler 4.0 Nero AG C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

--
End of file 7573 bytes 
Wenn ich den CCleaner laufen lasse, dann meldet er mir immer folgenden Fehler in der Registry:
PHP-Code:
Die Dateiendung {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79verweist auf eine ungültige ProgrammerkennungDiese Verweise bleiben oft nach Deinstallationen übrig

 
LösungRegistrierungs-Wert löschen
Ich kann den Fehler beheben so oft ich will, er kommt immer wieder...

Bin schon gespannt auf die nächsten Anweisungen

Alt 25.03.2009, 12:05   #11
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Das ist irgendwas schief gelaufen.
Bitte setzt dich nochmal an Gmer, irgendein file hat er nicht erwischt...

Den monierten Rouge.installer ist der Avenger. Stell den bitte wieder her........

Also nochmal mit GMER scannen und posten
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 25.03.2009, 15:40   #12
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Also er lässt mich GMER immernoch nicht im normalen Modus ausführen, es stürzt immernoch ab... Ich habe mich auch mal vom I-Net getrennt und alles ausgeschalten. Trotzdem bricht er immer ab und zeigt den Bluescreen.

Im abgesicherten Modus läuft GMER. Hier mal das LOG
PHP-Code:
GMER 1.0.15.14944 http://www.gmer.net
Rootkit scan 2009-03-25 16:11:20
Windows 6.0.6001 Service Pack 1


---- Devices GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                   Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                   Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- 
Registry GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ca0               
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0cab               
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ccf               
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8               
Reg             HKLM
\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8@001fe4f62aad  0x07 0x7B 0xA9 0xB4 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0ca0                   
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0cab                   
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0002783d0ccf                   
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8                   
Reg             HKLM
\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001dd9f4e1c8@001fe4f62aad      0x07 0x7B 0xA9 0xB4 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Counter                    5524
Reg             HKLM
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Help                       5525

---- EOF GMER 1.0.15 ---- 
Ist das ok, oder wie krieg ich es im normalen Modus zum laufen?

Alt 25.03.2009, 19:44   #13
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Kann auch mit Vista zusammenhängen, keine Ahnung.
Aber ein Gutes hatte die Aktion, wir haben alles vom rootkit erwischt. Hast du zwischenzeitlich die Möglichkeit deinen Anitvirus zu updaten?
Falls ja, lass ihn scannen, lösche alle Funde hiernach. Lösche auch die Quarantäne.

Frage: Steckst du sonst noch was am PC an, wie USB Sticks, MP3 player, externe Festplatten, etc?

Lasse danach nochmal Malwarebytes und CCleaner laufen, dann postest du mir bitte ein neue Hijack This..

Ich denke wir sind auf einem guten Weg.......
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 25.03.2009, 22:10   #14
Flo20
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Das hört sich ja schonmal gut an
Hab jetzt AntiVir9 auf dem Notebook und das Update funktioniert. Auch die Meldung beim Start des IE ist verschwunden

Werde morgen nach der Uni mal deine Aufgaben abarbeiten und posten.

Auf jeden Fall schon mal riesen Dankeschön :aplaus:

Ich benutze einen USB-Stick, da ist mir auch gestern etwas aufgefallen... Habe da Bilder drauf gepackt (als ich noch nichts vom Trojaner wusste) und als ich die gestern per DVD Player am TV angekuckt hab ist mir aufgefallen, dass es einen Ordner Recycler gibt. Hab auch schon gelesen, dass das wohl nichts gutes bedeutet
Das bedeutet wohl es gibt noch ne zweite Baustelle... Dem DVD Player kann er normal nicht schaden, oder?

Alt 26.03.2009, 09:07   #15
Redwulf
 
Trojaner eingefangen - Standard

Trojaner eingefangen



Dem DVD Player sollte er eigendlich nicht schaden können. So etwas ist mir nicht bekannt. ( es sei denn er läuft mit Windows Betriebssystemen ).
Die Gefahr ist natürlich riesig, dass wenn du den USB Stick ansteckst, ein möglicherweise vorhandenes Schadprogramm wieder auf deinen Rechner gelangt.
Wenn du die anderen Dinge erst mal erledigt hast, werden wir uns darum kümmern. Also lass den Stick erst mal runter.....
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Antwort

Themen zu Trojaner eingefangen
add-on, adobe, agere systems, antivir, avg, avira, bho, defender, dll, excel, explorer, firewall, firewall deaktiviert, google, google update, gupdate, hijack, hijackthis, internet explorer, keine internetverbindung, malwarebytes, microsoft, object, pdf, rundll, software, solution, super, system, toolbars, trojaner, trojaner eingefangen, vista, windows, windows defender, windows sidebar, wmp



Ähnliche Themen: Trojaner eingefangen


  1. Trojaner eingefangen?
    Log-Analyse und Auswertung - 17.10.2015 (13)
  2. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (10)
  3. GVU Trojaner eingefangen...
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (43)
  4. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  5. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (6)
  6. GVU Trojaner eingefangen!
    Log-Analyse und Auswertung - 17.10.2012 (2)
  7. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (17)
  8. Gvu Trojaner 2.07 Eingefangen
    Log-Analyse und Auswertung - 21.08.2012 (6)
  9. GVU Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (11)
  10. GVU-Trojaner 2.07 eingefangen
    Log-Analyse und Auswertung - 25.07.2012 (11)
  11. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (19)
  12. 50€ Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (21)
  13. Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (1)
  14. Trojaner eingefangen....
    Log-Analyse und Auswertung - 27.04.2011 (1)
  15. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  16. Trojaner eingefangen?
    Log-Analyse und Auswertung - 03.03.2009 (0)
  17. Trojaner VX2 eingefangen
    Log-Analyse und Auswertung - 03.05.2005 (8)

Zum Thema Trojaner eingefangen - Hi zusammen, habe mir wohl heute oder gestern einen Trojaner eingefangen... Anzeichen dafür sind, dass AntiVir sich nicht mehr updaten lässt (keine Internetverbindung), nach jedem Hochfahren ist die Windows Firewall - Trojaner eingefangen...
Archiv
Du betrachtest: Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.