Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Brauche Hilfe bei einem Trojaner. (https://www.trojaner-board.de/29623-brauche-hilfe-trojaner.html)

Rupprich 01.06.2006 09:36
Brauche Hilfe bei einem Trojaner.
 
Hallo!

Vor 2 Tage habe ich mir einen Trojaner eingefangen. Er hat regelmässig Verbindungen von meinem Computer aus gestartet. Bei genauer Suche bin ich auf eine Yaemu.exe gestossen. Ich konnte verhindern das sie im Autostart mit startet, somit wurden keine Verbindungen mehr ins Netz aufgenommen.
Ich habe die Datei gelöscht und auf dem Computer findet sich keine Yaemu.exe
Im Systemkonfigurationsprogramm unter Systemstart steht aber noch Yaemu, und man könnte auch ein Häkchen reinmachen.
Nun meine Frage: "Wie bekomme ich das dort raus?"

Bitdefender fand bei mir troj_DNSCHANG.AA, konnte aber gelöscht werden und nun wird nichts mehr gefunden.
Ist mein System jetzt sicher?
Danke schonmal im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 10:36:21, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29599bc667a047d01f05/netzip/RdxIE601_de.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121414045421
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MaxSyncService (NTService1) - - C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Retrospect Express HD Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe

felix1 01.06.2006 16:06
Das kann mit HJT noch gefixt werden:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93

Das sind viele Grüsse aus der Ukraine.

Ansonsten sieht es ganz ordentlich aus. Mache aber das:

Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.
http://www.ewido.net/de/download/

Rupprich 01.06.2006 16:27
Vielen Dank schonmal.
Was hat es auf sich mit?

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93

Rupprich 01.06.2006 16:48
Hier das Ergebnis des Scans mit Ewido


---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:48:40, 01.06.2006
+ Report-Checksumme: B34E406A

+ Scanergebnis:

C:\Dokumente und Einstellungen\Holger\Cookies\holger@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Holger\Cookies\holger@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup


::Report Ende

Sunny 01.06.2006 17:04
das waren nur kleine Fische, TrackingCookies sind eigentlich recht "harmlos"!

Wenn du nochmals dein System scannen willst nutz den eScan, es dauert zwar ein bisschen länger aber so hast du zumindest Gewissheit das alles gelöscht/entfernt wurde.

Gruß
Daniel

dartus 01.06.2006 23:31
Hallo Rupprich,

scan Dein System mit Blacklight und poste das entspr. Logfile, welches im selben Pfad erstellt wird (fsbl**.txt).
IMHO wird der Rootkit weder von Escan noch noch von Ewido erkannt.

dartus

Rupprich 02.06.2006 12:22
Huhu. Also Blacklight hatte nichts gefunden.

Sicherheitshalber, da ich onlinebanking betreibe, habe ich formatiert und alles neu installiert. Mir war das Risiko zu hoch, auch wenn ich wahrscheinlich relativ sicher sein konnte das der Trojaner runter war.

Möchte mich bei allen für die schnelle Hilfe bedanken!


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131