Trojaner-Board - Taskmanager ung rededit gespeert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Taskmanager ung rededit gespeert (https://www.trojaner-board.de/24155-taskmanager-ung-rededit-gespeert.html)

Taskmanager ung rededit gespeert

Kann mir jemand hier helfen welcher Trojaner ist hier am Gange???

Taskmanager ung rededit gespeert

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 20:04:53, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Filiago-DSL\recv.exe
C:\Programme\Filiago-DSL\recv.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YServer.exe
C:\Programme\CA\eTrust PestPatrol\PestPatrol5.exe
C:\Programme\Pinnacle\Pinnacle PCTV Sat\DataReceiver\DataReceiver.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Dokumente und Einstellungen\Olmi\Desktop\Divers\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=localhost:9202;gopher=localhost:9202;http=localhost:9202;https=localhost:9202;socks=localhost:9203
F2 - REG:system.ini: UserInit=userinit.exe,syscom164.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [winlogon] winlogon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Internetkeys-Professional - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\temp\SOFTWARE\IK-PROFESSIONAL\_ik-prof\temp\werbung\IK-Deluxe-Setup.bat (HKCU)
O9 - Extra 'Tools' menuitem: Internetkeys-Professional - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\temp\SOFTWARE\IK-PROFESSIONAL\_ik-prof\temp\werbung\IK-Deluxe-Setup.bat (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{34BAF38B-75DB-4807-B481-244615666CB4}: NameServer = 192.168.30.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC48B01-3240-462A-93E5-FAB8C04D4D8D}: NameServer = 212.6.108.140 212.6.108.141
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke im voraus

Cu Olmos

@olmos

Kann sein,daß du mit Worm/Rbot.adx zu tun hat!

#Versuch mal unter Start/Ausführen,ob folgende Befehle funktionieren cmd und regedit auch Task-Manager per Tastenkombi (Strg+Alt+Entf) Falls nicht

Versuche mal folgende.

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
#Falls vorhanden Loeschen:
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\CMD.COM
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tracert.com

#Probiere noch mal ob die funktionieren

Melde dich wieder

Gruss
Expert

Nur das Kommando cmd funktioniert die oben genannten Dateien sind nicht im Windows System Verzeichnis habe sogar die Datei die das Verursacht hat auf dem Rechner (zur Sicherheit), kenne mich eigendlich gut aus mit Rechnern etc. aber hier weiß ich nicht weiter.

Hab ihn mal hier bei Lycos hinterlegt (das Proggy "Vorsicht Trojaner"- gepackt), aber wirklich mit Vorsicht genießen. Vieleicht hilft es jemanden den Schädling zu erkennen.

http://mitglied.lycos.de/fhsghfjdfhdf/

Cu Olmos

@olmos

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
F2 - REG:system.ini: UserInit=userinit.exe,syscom164.exe
O4 - HKLM\..\Run: [winlogon] winlogon.exe Achtung die Datei nicht löschen

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\WINDOWS\System32\syscom164.exe

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Code:

@ECHO OFF

attrib -s -r -h %windir%\system32\bszip.dll 

attrib -s -r -h %windir%\system32\CMD.COM 

attrib -s -r -h %windir%\system32\netstat.com 

attrib -s -r -h %windir%\system32\ping.com 

attrib -s -r -h %windir%\system32\regedit.com 

attrib -s -r -h %windir%\system32\tasklist.com 

attrib -s -r -h %windir%\system32\taskkill.com 

attrib -s -r -h %windir%\system32\tracert.com 

del %windir%\system32\bszip.dll 

del %windir%\system32\CMD.COM 

del %windir%\system32\netstat.com 

del %windir%\system32\ping.com 

del %windir%\system32\regedit.com 

del %windir%\system32\tasklist.com 

del %windir%\system32\taskkill.com 

del %windir%\system32\tracert.com

pause

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

Unter start/Ausführen den Befehl eingeben & bestätigen

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
Wenn nicht klappt,der hier
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Usename>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#Neue HijackThis Log, Symantec Security Check Ergebnis & den Report des Ewido Scans hier posten.

Gruss
Expert

Jo hab es auch schon gedacht lag an der Ollen Datei "syscom164.exe". Danach mittels Tuneup in der Regestry den Taskmanager und die Registry selber wieder freigeschaltet. Vielen, vielen dank für deine Mühe.

Cu Olmos

@ olmos:
Editiere den link in post Nr. 3 zu einem nicht clickbaren Link!!!
cacatoa

Deine Datei wird bei Jotti http://virusscan.jotti.org/ bislang nur von VBA32 heuristisch erkannt, und zwar als IRC.Bot.

Wenn es sich nicht um einen Fehlalarm handelt, dann kann man guten Gewissens nur ein Neuaufsetzen empfehlen. Warum, das steht in dem Link in meiner Signatur.

Ich habe das File mal Kaspersky geschickt, das Ergebnis gebe ich hier noch bekannt.

edit: Kannst jetzt guten Gewissens den Link wieder wegmachen. ;)

Gruß :daumenhoc
Yopie

Irgendwie kann ich meinen unten geschriebenen Bericht nicht editieren, spätere im Beitrag schon. Habe die Datei aber vorsichtshalber gelöscht. Mich würde es interressieren was dies für ein Virus / Trojaner ist.

Cu Olmos

Zitat:

Zitat von olmos

Mich würde es interressieren was dies für ein Virus / Trojaner ist.

Mich auch. Warte einfach das Ergebnis ab. ;)

Gruß :daumenhoc
Yopie

Antwort von Kaspersky:

Zitat:

Malicious software was found in the attached file.
Backdoor.Win32.IRCBot.ke

It's detection was included in the next update.

Bedeutet für dich, Olmos, wie schon angekündigt:
Neuaufsetzen gem. Anleitung in meiner Signatur.

Gruß :daumenhoc
Yopie

Danke, danke für die Mühen habe schon alles neu aufgesetzt :daumenhoc

Cu Olmos