Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TrojWare.Win32.Trojan.Katusha.~E@104915147 (https://www.trojaner-board.de/112576-trojware-win32-trojan-katusha-e-104915147-a.html)

thefoxkilo 29.03.2012 14:34
TrojWare.Win32.Trojan.Katusha.~E@104915147
 
Hallo liebe Forum-Gemeinde,

der Titel lässt erahnen um was es geht. (Ich habe auch die Forensuche bemüht und dieses Thread gefunden, aber nichts weiteres in der Hinsicht gestartet.)
Mein Vater hat auf seinem Netbook von Comodo den oben genannten Trojaner angezeigt bekommen und mich um Rat gebeten.
Da ich allerdings auch nur "Benutzer" bin weiß ich nichts über die Entfernung von Trojanern und möchte mich hiermit an euch richten ;)

Ich habe die Scans aus der Anleitung nach bestem Wissen und Gewissen durchgeführt und im Anhang die Logs geposted.

Zum System: Es handelt sich um ein Asus Eee PC der Seashell Serie mit Windows 7 Starter. Probleme kann ich neben dem Trojaner und einer ständig aufpoppenden Meldung "InCD Service fehlerhaft" (welche ich selbst nicht identifizieren kann, geschweige denn weiß ich wo sie herkommt) keine nennen. Da es sich um das System von meinem Vater handelt kann ich zu Surfgewohnheiten und Benutzung euch nur "Normales Surfen" und mal Fotos von der Digitalkamera übertragen nennen.

Da es sich um ein Netbook ohne DVD-Laufwerk handelt würde ich gerne wenn möglich irgendwie um eine Neuinstallation von Windows drumrumkommen.

Hoffe ich habe alles richtig geposted und würde mich über Hilfe freuen, :dankeschoen:

Foxkilo

P.S. hier das DDS.txt log


.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421
Run by Micha at 12:46:20 on 2012-03-29
Microsoft Windows 7 Starter 6.1.7600.0.1252.49.1031.18.1014.210 [GMT 2:00]
.
AV: COMODO Antivirus *Enabled/Updated* {A7500527-8708-6548-7035-7F679C5FCEA5}
SP: COMODO Defense+ *Enabled/Updated* {1C31E4C3-A132-6AC6-4A85-4415E7D88418}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: COMODO Firewall *Enabled* {9F6B8402-CD67-6410-5B6A-D652628C89DE}
.
============== Running Processes ===============
.
C:\windows\system32\wininit.exe
C:\windows\system32\lsm.exe
C:\windows\system32\svchost.exe -k DcomLaunch
C:\windows\system32\svchost.exe -k RPCSS
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\windows\system32\svchost.exe -k netsvcs
C:\windows\system32\svchost.exe -k LocalService
C:\windows\system32\svchost.exe -k NetworkService
C:\windows\system32\WLANExt.exe
C:\windows\system32\conhost.exe
C:\windows\System32\spoolsv.exe
C:\windows\system32\taskeng.exe
C:\windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\System32\AsusService.exe
C:\Program Files\Microsoft\BingBar\BBSvc.EXE
C:\Program Files\Microsoft\BingBar\SeaPort.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
C:\Program Files\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Nero\Tools\InCD\NBHRegInCDSrv.exe
C:\windows\System32\svchost.exe -k HPZ12
C:\windows\System32\svchost.exe -k HPZ12
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
C:\windows\system32\svchost.exe -k imgsvc
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\windows\system32\vssvc.exe
C:\windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\windows\system32\taskhost.exe
C:\windows\system32\taskeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Windows\AsScrPro.exe
C:\Program Files\EeePC\HotkeyService\HotKeyMon.exe
C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe
C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
C:\Program Files\EeePC\CapsHook\CapsHook.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\EeePC\HotkeyService\HotkeyService.exe
C:\Program Files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe
C:\windows\system32\igfxsrvc.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Nero\Tools\InCD\NBHGui.exe
C:\Program Files\Nero\Tools\InCD\InCD.exe
C:\Program Files\Internet Explorer\ielowutil\ielowutil.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
C:\windows\system32\SearchIndexer.exe
C:\windows\servicing\TrustedInstaller.exe
C:\Program Files\Elantech\ETDCtrlHelper.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\windows\system32\SearchFilterHost.exe
C:\windows\System32\svchost.exe -k LocalServicePeerNet
C:\Users\Micha\Desktop\Defogger.exe
C:\windows\system32\conhost.exe
C:\windows\system32\sppsvc.exe
\\?\C:\windows\system32\wbem\WMIADAP.EXE
C:\windows\system32\conhost.exe
C:\windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.arcor.de/
uDefault_Page_URL = hxxp://asus.msn.com
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program files\spybot - search & destroy\SDHelper.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "c:\program files\microsoft\bingbar\BingExt.dll"
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "c:\program files\microsoft\bingbar\BingExt.dll"
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe
mRun: [ETDWare] %ProgramFiles%\Elantech\ETDCtrl.exe
mRun: [ASUS Screen Saver Protector] c:\windows\AsScrPro.exe
mRun: [HotkeyMon] AsusSender.exe c:\program files\eeepc\hotkeyservice\HotKeyMon.exe
mRun: [HotkeyService] AsusSender.exe c:\program files\eeepc\hotkeyservice\HotkeyService.exe
mRun: [SuperHybridEngine] AsusSender.exe c:\program files\eeepc\she\SuperHybridEngine.exe
mRun: [LiveUpdate] AsusSender.exe c:\program files\asus\liveupdate\LiveUpdate.exe auto
mRun: [CapsHook] AsusSender.exe c:\program files\eeepc\capshook\CapsHook.exe
mRun: [Eee Docking] c:\program files\asus\eee docking\Eee Docking.exe autorun
mRun: [GraphicsSwitch] AsusSender.exe c:\program files\asus\graphicsswitch\GraphicsSwitch.exe /auto
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [OOBESetup] c:\program files\asus\ooberegbackup\ooberegbackup.exe /restore -"c:\program files\asus\ooberegbackup\OOBEReg.ini"
mRun: [UCam_Menu] "c:\program files\cyberlink\youcam\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\youcam" updatewithcreateonce "software\cyberlink\youcam\2.0"
mRun: [Boingo Wi-Fi] "c:\program files\boingo\boingo wi-fi\Boingo.lnk"
mRun: [ASUSPRP] c:\program files\asus\aprp\APRP.EXE
mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h
mRun: [NBHGui] c:\program files\nero\tools\incd\NBHGui.exe
mRun: [InCD] c:\program files\nero\tools\incd\InCD.exe
mRun: [ie238754] c:\program files\internet explorer\ielowutil\ielowutil.exe
mRun: [ASUSWebStorage] c:\program files\asus\asus webstorage\3.0.84.161\AsusWSPanel.exe /S
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\asusvi~1.lnk - c:\program files\asus\asusvibe\AsusVibeLauncher.exe
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\blueto~1.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Free YouTube Download - c:\users\micha\appdata\roaming\dvdvideosoftiehelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\micha\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program files\spybot - search & destroy\SDHelper.dll
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{7BC67042-2DF8-457C-9DB1-6AEE9AB7E366} : DhcpNameServer = 192.168.2.1
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\windows\system32\guard32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2010-8-9 11520]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2010-12-25 130960]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-12-25 29520]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AsusService;Asus Launcher Service;c:\windows\system32\AsusService.exe [2010-8-9 219136]
R2 BBSvc;Bing Bar Update Service;c:\program files\microsoft\bingbar\BBSvc.EXE [2011-10-21 196176]
R2 BBUpdate;BBUpdate;c:\program files\microsoft\bingbar\SeaPort.EXE [2011-10-13 249648]
R2 cvhsvc;Client Virtualization Handler;c:\program files\common files\microsoft shared\virtualization handler\CVHSVC.EXE [2012-1-4 822624]
R2 MAGIX StartUp Analyze Service;MAGIX StartUp Analyze Service;c:\program files\magix\pc_check_tuning_free_2011\MXSAS.exe [2010-11-12 186368]
R2 NeroRegInCDSrv;Nero Registry InCD Service;c:\program files\nero\tools\incd\NBHRegInCDSrv.exe [2009-10-16 53560]
R2 sftlist;Application Virtualization Client;c:\program files\microsoft application virtualization client\sftlist.exe [2011-10-1 508776]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\tuneup utilities 2010\TuneUpUtilitiesService32.exe [2010-5-10 1051976]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2010-7-29 109960]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\L1C62x86.sys [2010-7-29 68208]
R3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfslh.sys [2011-10-1 579944]
R3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplaylh.sys [2011-10-1 194408]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirlh.sys [2011-10-1 21864]
R3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvollh.sys [2011-10-1 19304]
R3 sftvsa;Application Virtualization Service Agent;c:\program files\microsoft application virtualization client\sftvsa.exe [2011-10-1 219496]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\tuneup utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2011-6-11 1153368]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-12-25 293928]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\drivers\btwl2cap.sys [2010-12-25 33320]
S3 fssfltr;fssfltr;c:\windows\system32\drivers\fssfltr.sys [2010-12-25 54632]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\program files\windows live\family safety\fsssvc.exe [2009-8-5 704864]
S3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
.
=============== Created Last 30 ================
.
2030-01-01 23:18:54 -------- d-sh--w- C:\Boot
2012-03-29 02:12:38 -------- d-----w- c:\windows\system32\wbem\en-US
2012-03-29 01:21:59 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-03-29 01:02:22 3957616 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-29 01:02:05 3902320 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-28 17:09:30 2341376 ----a-w- c:\windows\system32\win32k.sys
2012-03-28 17:09:22 1074176 ----a-w- c:\windows\system32\DWrite.dll
2012-03-28 17:09:19 218624 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-28 17:09:18 1170944 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-28 17:09:17 739840 ----a-w- c:\windows\system32\d2d1.dll
2012-03-28 17:09:16 161792 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-28 17:06:45 1288984 ----a-w- c:\windows\system32\ntdll.dll
2012-03-28 17:06:38 478208 ----a-w- c:\windows\system32\timedate.cpl
2012-03-28 17:06:24 826368 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-28 17:06:23 24064 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-28 17:06:22 177152 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-28 17:06:16 67072 ----a-w- c:\windows\system32\packager.dll
2012-03-28 17:05:29 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-28 17:05:29 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-28 17:05:28 57856 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-28 17:03:03 1328640 ----a-w- c:\windows\system32\quartz.dll
2012-03-28 17:02:59 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-03-28 17:02:42 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2012-03-28 17:02:40 224768 ----a-w- c:\windows\system32\schannel.dll
2012-03-28 17:02:39 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-03-28 17:02:37 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-03-28 17:02:35 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-03-28 17:02:33 314368 ----a-w- c:\windows\system32\webio.dll
2012-03-28 17:02:32 99840 ----a-w- c:\windows\system32\sspicli.dll
2012-03-28 17:02:32 22528 ----a-w- c:\windows\system32\lsass.exe
2012-03-28 17:02:31 22016 ----a-w- c:\windows\system32\secur32.dll
2012-03-28 17:02:31 15360 ----a-w- c:\windows\system32\sspisrv.dll
2012-03-28 16:53:51 442880 ----a-w- c:\windows\system32\ntshrui.dll
.
==================== Find3M ====================
.
2012-03-29 01:22:09 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-03-29 01:22:07 161792 ----a-w- c:\windows\system32\msls31.dll
2012-03-29 01:22:06 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-03-29 01:22:01 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
.
============= FINISH: 12:59:47,22 ===============

cosinus 29.03.2012 22:12
Zitat:
ein Vater hat auf seinem Netbook von Comodo den oben genannten Trojaner angezeigt bekommen und mich um Rat gebeten.
Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

thefoxkilo 06.04.2012 16:59
Hallo,

entschuldigt meine längere Inaktivität, ich war beruflich sehr eingespannt.
Welche Virenscanner bevorzugt ihr denn? Hijackthis scheint ja nicht Mittel der Wahl zu sein und Comodo spuckt meiner Meinung ja keine verwertbaren Logs aus.

Sorry, für die Newbie-Fragen.
Grüße

cosinus 06.04.2012 17:13
Schau bitte einfach im Protokoll nach. Mit geht es auch um den genauen Funort von TrojWare.Win32.Trojan.Katusha.~E@104915147


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19