Trojaner-Board - Ich schätze mal Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ich schätze mal Virus (https://www.trojaner-board.de/16577-schaetze-mal-virus.html)

Ich schätze mal Virus

Nabend zusammen,
bin neues Member und kenne mich mit Viren, Trojanern etc. noch nicht so gut aus. Habe mir einige Postings durchgelesen, glaube einige Leute haben hier ne Menge drauf.

Zum Problem:

Mein Bildschirm bzw. auch mein Rechner verhalten sich sehr merkwürdig.
Es gibt immer so kleine Aussetzer. Z.Bsp. wenn ich F2 drücke um eine Datei zu renamen, springt er in den normalen Modus zurück sodass ich wieder F2 drücken muss und das immer wieder. Im Word z.Bsp. merkt man es auch. Ich muss dann Tasten häufig doppelt drücken damit er sie anerkennt.
Das Merkwürdige ist, sobald ich online gehe, läuft alles wunderbar.
Als Virusscanner habe ich AVG Free Edition, doch der läuft auch nach aktuellem Patch sauber durch.
Wäre nett wenn mir da jemand hilft.
Danke

Hi,
na, dann würde ich gerne mal ein HiJackThis-Logfile von Dir sehen.
cacatoa

Logfile of HijackThis v1.99.1
Scan saved at 21:48:37, on 12.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\kav32.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Test\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.osnanet.de:8080
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [NvCplScan] kav32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\RunServices: [NvCplScan] kav32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunOnce: [NvCplScan] kav32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvCplScan] kav32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] kav32.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AEF767A-63D9-45EB-B11C-635B5D56DB20}: NameServer = 212.95.108.3 212.95.97.66
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

Zitat:

Platform: Windows XP (WinNT 5.01.2600)

Hier fängt dein Problem an,

Zitat:

C:\Programme\SideFind

führt dann zu mehr oder weniger (eher weniger) "harmlosen" Schädlingen

Zitat:

O4 - HKLM\..\RunServices: [NvCplScan] kav32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe

und endet schließlich in einer Katastrophe :(

C:\WINDOWS\System32\kav32.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\MSMSN32.exe
Beende die Prozesse, überprüfe die Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis (~15 Zeilen)
Ich will nur wissen, welche Scanner die Dateien tatsächlich erkennen.

Die Lösung deines Problems findest du hier.

C:\WINDOWS\System32\MSAOL32.exe

finde ich nicht, die anderen beiden schon.

@Shogun
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman

Datei: MSMSN32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.SDBot.03DFF647 gefunden
ClamAV Trojan.Mybot-1184 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/RBot.BBO-net gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.no gefunden
mks_vir Trojan.Rbot.No gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Sandbox: W32/Spybot.gen2; [ General information ]

* File length: 89128 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\MSMSN32.exe.

[ Process/window information ]
* Creates a mutex mutexshit-STC. gefunden
VBA32 Backdoor.Rbot gefunden

man, man nicht schlecht. Eine Frage noch wenn ich Zone-Alarm als Firewall nutze und die angegebenen Datein nie Zugriff auf meinem Rechner hatten war ich dann einigermaßen abgesichert?

Zitat:

C:\WINDOWS\System32\MSAOL32.exe

Ist auch eine Rbot Variante.

Zitat:

Eine Frage noch wenn ich Zone-Alarm als Firewall nutze und die angegebenen Datein nie Zugriff auf meinem Rechner hatten war ich dann einigermaßen abgesichert?

Nein, die Würmer mit Backdoor Funktionalität konnten sich voll entfalten und sind immer noch aktiv.

Du solltest dringendst die von Haui45 gepostete Lösung angehen.

Hab mir da mal einige Sachen durchgelesen. Klingt garnicht gut. Ich hab mich nur mit Firewall abgesichert. Werd mich morgen mal an die arbeit machen und mein System neu und danach sicherer machen.

Danke nochmal für wertvolle Tipps.

Kannst du die 3 Dateien evtl. bei www.malwareupload.com hochladen. Manche Scanner erkennen sie ja schon, aber eben nicht alle :(

Noch ne Frage, wie kann ich Datein die ich auf CD habe am besten prüfen?
Hab kein Bock mein Rechner nach Neuinstallation gleich wieder zu infizieren.

Die Datein habe ich hochgeladen.

Lutz über Datensicherung
Auf ausführbare Dateien würde ich jedoch ganz verzichten, auch wenn unter den Schädlingen wahrscheinlich keine "echten Viren" sind.

Keine echten Viren heißt? Will den Bug nicht wieder mitinstallieren.

Aber es waren doch Trojaner dabei oder nicht. Die finde ich noch viel schlimmer. Keine Ahnung an welcher Datei die angehangen waren.