Trojaner-Board - Neulich Trojaner gelöscht-Ist noch was übrig?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Neulich Trojaner gelöscht-Ist noch was übrig? (https://www.trojaner-board.de/30709-neulich-trojaner-geloescht-noch-uebrig.html)

Neulich Trojaner gelöscht-Ist noch was übrig?

Logfile of HijackThis v1.99.1
Scan saved at 12:03:02, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
F:\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
F:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RunDll32.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
F:\AntiVir PersonalEdition Classic\sched.exe
F:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
F:\Opera\Opera.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\++\Desktop\stng260.exe
F:\WinRAR\WinRAR.exe
C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTSysVol] F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h++p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h++p://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h++p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - F:\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Wenn du nicht noch mehr Infos zum Trojanerfund (Was? Wie? Wo? Wer hats erfunden?) postest, wird dieser Thread entsorgt!

Gruß :daumenhoc
Yopie

Sry ist das erste mal.Da kann man sich auch Fehler erlauben(Hoff ich mal).

Also :Antivir hatte mir ein Trojaner im System32 gemeldet.Es war -vssms32.exe.
Es wollte Verbindung mit dem Internet aufbauen,habe es jedoch nicht zugelassen,indem ich es sofort mit Spybot verweigerte und im System32 und windows-firewall löschte.Danach habe ich mein Rechner mit Adware gescannt und restliche funde gelöscht.Wo das hergekommen ist weis ich auch net.

Ich denke das reicht an Informationen :D

Als was wurde der Trojaner denn bezeichnet? Du hast leider nur den Dateinamen angegeben. Und was hast du ausgeführt, damit er sich installierte?

Im Log konnte ich nichts erkennen.

Gruß :daumenhoc
Yopie

Wurde von Antivir als Backdoor erkannt,aber habe wie gesagt sofort das Ding mit Spybot verweigert ,damit es keine Verbindung aufbauen kann.Habe ein .rar datei geöffnet und Antivir schlug sofot alarm.

Hoffe alles richtig gemacht zu haben

edit:Habe es nicht installiert ,wollte es aber :D

Solltest Du Dich bei der Beschreibung des Schädlinges nicht verschrieben haben, war der aktiv:
http://www.sophos.de/security/analyses/trojbdooryp.html

Dann wäre IMHO eine Neuinstallation notwendig.

@Moin Yopie:)

Wenn du sicher bist, dass noch nichts installiert wurde, hast du vermutlich Glück gehabt.

Ich rate aber dennoch zu einem Scan mit eScan. Anleitung in der Signatur beachten, auch alle Hinweise zur find.bat lesen und beachten, wenn du die Funde posten willst.

Wenn du nicht sicher bist, dann befolge die Anleitung zum Entfernen eines Backdoors in meiner Signatur.

Gruß :daumenhoc
Yopie

Was heisst,wenn du dir sicher bist.Also wie gesagt.Habe .rar geöffnet und Antivir schlug alarm.Dann war das Teil aktiv im Task Manager.Dann schlug Spybot alarm und auch da habe ich auf verweigern geklickt.Darauf alles gelöscht was alarm schlug auch aus dem ordner system32.

@Felix
Ich weis net mehr ,wie das hieß,ich glaub aber,das es das war.Habe bis jetzt keine Probleme.Bei mir hat nur vssms.exe alarm geschlagen.Wollte Verbindung aubauen konnte aber net.
<System>\ldapi32.exe
<System>\ntcvx32.dll
<System>\ntswrl32.dll
die Sachen habe ich net gefunden auch versteckt gesucht.Nix gefunden

Bleibe mal ruhig:) und mache mit dem escan weiter, wie Yopie es Dir schrieb.
Verfalle nicht in Hektik, lese Dir alles in Ruhe durch, drucke die Anleitung notfalls aus.

Ne habe jetzt so viele Sachen installiert.Will jetzt net wieder formatieren

Also bis jetzt hate es nur die beiden gefunden.Suche läuft:
Steht in der Virus log information:

Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action Taken: File Delet
-File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.

Aber vssms.exe habe ich gelöscht.Wieso steht das da immernoch?

Ja also eScan ist endlich fertig.Im Virus log Information steht nur folgendes:

-Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
-File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action Taken: File Delet
-File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.

Mehr nicht.Und ich glaube die Sachen sind schon gelöscht ,da dort FILE DELETED steht.

Poste das mit der find.bat erzeugte Log komplett.

Sry aber da ich eine andere Version davon habe,ist es momentan bei mir etwas anders.Brauchst du jetzt die MWAV.log oder was??
Die ist aber 15kb also richtig groß für ein Textdokument :D

Zu infected habe ich folgendes gefunden:
-Wed Jul 19 13:40:31 2006 => Total Disinfected Objects: 0
-Wed Jul 19 13:49:36 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-
444553540000})! Action taken: No Action Taken.
-Wed Jul 19 13:50:46 2006 => File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action
Taken: File Deleted.
-Wed Jul 19 13:52:40 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition
Classic\INFECTED\*.*
-Wed Jul 19 14:01:28 2006 => Scanning File C:\Dokumente und Einstellungen\+++\Lokale
Einstellungen\Anwendungsdaten\Microsoft\Messenger\+++\SharingMetadata\infected.dat [**]
-Wed Jul 19 14:05:32 2006 => Scanning Folder: C:\Programme\eScan\INFECTED\*.*
-Wed Jul 19 14:05:32 2006 => Scanning File C:\Programme\eScan\infected.wav
-Wed Jul 19 14:08:43 2006 => File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-
61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.

Und zu tagged finde ich garnichts.

Und kann mir einer jetzt sagen,ob ich was habe?