Seit gestern etwa 40 Trojaner...
 

Hallo, bin neu in diesem buissiness, probiere mich aber fachgerecht auszudrücken ;)

die ca. 40 Trojaner habe ich mit AntiVir gefunden, konnte die auch alle löschen...
jetzt stellt sich für mich die frage: isses damit schon getan?
Anscheinend kann man ja aus diesem tollen hjt-log ganz viel rauslesen (verstehe das wer will ;) ), also hab ich auch mal einen gemacht... is alles fit?

Logfile of HijackThis v1.99.1
Scan saved at 14:41:17, on 27.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\explorer.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Exodus\Exodus.exe
D:\Programme\ATI Multimedia\main\ATIDtct.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WLTRYSVC.EXE
D:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\DOKUME~1\Chrissy\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\Chrissy\LOKALE~1\Temp\kavss.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Firefox\firefox.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\Chrissy\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.32.166
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [DXM6Patch_981116] D:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Exodus] "C:\Programme\Exodus\Exodus.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] D:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] D:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - D:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://download.windowsupdate.com
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://h**p://s09.picserver.info/upl...eUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C898AA3-1768-4EF5-92E9-CD50FF2F096B}: NameServer = 192.168.20.201
O20 - Winlogon Notify: nkunpack - nkunpack.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WLTRYSVC - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE

Ist alles fit?

@Stereotypus
Bitte alle Temp-Ordner im abgesicherten Modus leeren (Clearprog-Link in meiner Signatur)
Bitte HJT-Log komplett posten.

Was für Trojaner waren das denn, und wo wurden sie gefunden?
Beachte "Die 7 goldenen Regeln im Trojaner-Board":
http://www.trojaner-board.de/images/warning.png
5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Gruß :daumenhoc
Yopie

Done, habe log vervollständigt.

@yopie

1. habe hier mal einen log von antivir:

Erstellungsdatum der Reportdatei: Donnerstag, 27. April 2006 11:54


Job Name: 'Manuelle Auswahl'

Es wird nach 368812 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Chrissy
Computername: DADDELKISSE

Versionsinformationen:
AVSCAN.EXE : 7.0.0.30 536616 28.03.2006 16:31:54
AVSCAN.DLL : 7.0.0.30 53288 28.03.2006 16:31:54
LUKE.DLL : 7.0.0.30 114728 28.03.2006 16:31:54
LUKERES.DLL : 7.0.0.30 32768 28.03.2006 16:31:54
ANTIVIR0.VDF : 6.32.0.60 4323840 22.02.2006 08:09:48
ANTIVIR1.VDF : 6.34.0.209 1930240 25.04.2006 15:04:22
ANTIVIR2.VDF : 6.34.1.1 89600 25.04.2006 15:04:22
ANTIVIR3.VDF : 6.34.1.11 15360 26.04.2006 15:04:09
AVEWIN32.DLL : 7.0.0.8 1171968 25.04.2006 15:04:22
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.34.1.1 2355240 25.04.2006 15:04:22
AVPACK32.DLL : 7.0.0.4 335912 25.04.2006 15:04:22
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Donnerstag, 27. April 2006 11:54


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00005.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.L.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44bd9580.qua' verschoben!
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00005.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.L.2

Die Registry wurde durchsucht ( 29 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

D:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Chrissy\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Chrissy\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Chrissy\Anwendungsdaten\Mozilla\Firefox\Profiles\w9f2pzpd.default\cache\49c5f0d6d01
[FUND] Enthält Signatur des Exploits EXP/DialogArg
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Chrissy\Anwendungsdaten\Mozilla\Firefox\Profiles\w9f2pzpd.default\cache\49caf0d6d01
[FUND] Enthält Signatur des Exploits EXP/DialogArg
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Chrissy\Anwendungsdaten\Mozilla\Firefox\Profiles\w9f2pzpd.default\cache\b4f988d2d01
[FUND] Enthält Signatur des Exploits EXP/DialogArg
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Chrissy\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Chrissy\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Chrissy\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\LV86D8I4\glgba[1].htm
[FUND] Ist das Trojanische Pferd TR/Dldr.Multi.B.4.D
[INFO] Eine Sicherungskopie wurde unter dem Namen 44b79990.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Chrissy\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\LV86D8I4\yqlxjvh[1].txt
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.L
[INFO] Eine Sicherungskopie wurde unter dem Namen 44bc999d.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Sinow.D.3.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 44bd9a14.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00005.dll.vir
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.3
[INFO] Eine Sicherungskopie wurde unter dem Namen 44bd9a18.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00006.dll.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Sinow.D.3.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 44bd9a1c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
D:\WINDOWS\SoftwareDistribution\EventCache\{C184541A-B02D-4667-B8CF-B5CC3F7A9515}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\nkunpack.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Multi.B.4.J
[INFO] Die Datei wurde gelöscht.
D:\WINDOWS\system32\nukfs.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Ro.Agent.10
[INFO] Die Datei wurde gelöscht.
D:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\sptd9853.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\Temp\ZLT055e1.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 27. April 2006 12:33
Benötigte Zeit: 38:48 min

Der Suchlauf wurde vollständig durchgeführt.

2734 Verzeichnisse wurden überprüft
121727 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
10 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
641 Archive wurden durchsucht
56 Warnungen
0 Hinweise

2.Weiterhin hab ich noch im root datein a la country, kl1, toolbar,usw. sind alles .exe-dateien. das passt zu folgendem trojaner:

www.avira.com/de/threats/section/fulldetails/id_vir/1897/tr_dldr.harnig.bd.1.html

many thx,
chris.

Ich möchte nicht ausschließen, dass eine manuelle Bereinigung erfolgreich sein kann. Ich an deiner Stelle würde aber aufgrund der Vielzahl von Schädlingen (insbes. der Downloader) den Rechner neu aufsetzen (Anleitung in Signatur beachten!), und auf jeden Fall auch anschließend Passwörter ändern.

Irgendeine Idee, wie du zu deiner Malware-Farm gekommen bist?

Gruß :daumenhoc
Yopie

1. -.- möchte nicht system neu aufsetzen, mein system ist gerade so shcön kuschelig-muschelig fix. und bin auch zu faul, mir alle treibe rauszusuchen... reicht nicht auch eine winxp-systemwiederherstellung? ODer gibts irgend ne andere möglichkeit? von den ganzen dateien im root konnte ich z.b. alle manuell löschen, bis auf toolbar.exe, das will nicht weg... wie finde ich raus, durch welchen laufenden prozess es sich im system festnagelt?

2.Ja hab ich - dummheit. hab in vollkommester geistiger umnachtung auf eine gewisse 'run.exe' geklickt... kettenreaktion -.-

Ich bin ein Fan vom Neu aufsetzen. Stell dir mal vor, du setzt jetzt schön neu auf, mit allen Patches, allen Treibern, machst alles schön kuschelig, und dann sicherst du dir ein Image für den Fall, dass dich wieder mal Dummheit überkommt. Dann kannst du das Image in minutenschnelle zurücksichern. Klingt doch überzeugend, oder? :D

Für die manulle Bereinigung müsstest du auf einen der Frickler warten, die gibts hier aber auch. ;) Obs in diesem Fall aber wirklich sinnvoll ist? :confused:

Ach so: Die Systemwiederherstellung kann funktionieren, muss aber nicht. Ich halte von ihr nichts, bei mir ist sie deaktiviert.

Gruß:daumenhoc
Yopie

"Kuschelig" aber verseucht ... was man drunter versteht.

Wie schon erwähnt solltest du auch deine Passwörter für eMails/Banking ect ändern und auf alle fälle Neuaufsetzen.

Eine manuelle Bereinigung ist nach einem derartigen Backdoorbefall total sinnfrei.

mfg,
Markus