Trojaner -
 

Ich hab nach langer Zeit mal wieder nen Virencheck mit Anti-Vir gemacht, dabei hat er zwölf Meldungen gemacht, der Großteil war meine Schuld (Keygen), hab die entsprechenden Dateien gelöscht.

Wollte nun wissen, ob man dem Hijack-File ansieht, ob mein System irgendwie in Mitleidenschaft genommen wurde, es scheint soweit nämlich alles zu funktionieren.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:06, on 28.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=DAT
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - J:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [OrderReminder] J:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] J:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE J:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] J:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - J:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - J:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - J:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - J:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/090ae960c48562f72e18/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129205364515
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129205346250
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - J:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - element5 - J:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Zeitschaltuhr Service (PCZeitschaltuhrService) - Unknown owner - J:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhrService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - J:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: (no name) - file:///M:/Specials/Wallpapers/Wallpapers/tn_screenC05.jpg
O24 - Desktop Component 1: (no name) - file:///M:/Specials/Wallpapers/Desktopbilder/BMX%20XXX.jpg
O24 - Desktop Component 2: (no name) - file:///L:/Specials/Wallpapers/Wallpapers/tn_Age%20of%20Mythology%2010.jpg

--
End of file - 6212 bytes

Hier übrigens die Trojaner, das andere waren Laufzeitpacker.
TR/Agent.ttk.2
J:\System Volume Information\_restore{CBA026E3-7E2C-4E9B-9D41-8D83A7749B54}\RP536\A0416747.exe
[FUND] Ist das Trojanische Pferd TR/Small.971264

Hi,

als erstes:
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, dann noch einen Scan mit Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Trojaner-Board
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste Funde...

Eventuell Avira "anschärfen":
Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192
Führe einen Systemscan (alle Festplatten) durch und poste das Ergebnis!

chris

HJ-Log soweit sauber, bis auf die Einträge hier:
O9 - Extra button: PartyCasino.com...
Deine Wallpapers sehen seltsam aus, ist aber so gewollt oder?
M:/Specials/Wallpapers/Wallpapers/tn_screenC05.jpg

Dann solltest Du noch den IE und JAVA updaten...

...sorry,

vllt habe ich es ja überlesen, aber imho wäre ein SP2 mehr als sinnvoll ?!?

Grüße

Joey

Jo,
dat auch!
chris

So, erstmal vielen Dank für die Vorschläge: hab die Systemwiederherstellung mal de/aktiviert, hat auch gleich ein paar GB gebracht. ;)

Also PartyCasino hab ich selbst draufgemacht, aber jetzt vorsichtshalber deinstalliert.
M: ist mein CD-Laufwerk, ka was das mit dem Wallpaper sein soll.

Ich lass gerade Dr.Web durchlaufen, einen Fund hat er schon (im SpybotS&D-Ordner, lol).
Die detaillierten Ergebnisse poste ich wenn er fertig ist, 12% atm.

Das ist mein Dr.Web-Bericht.

Soll ich die Systemwiederherstellung nochmal deaktivieren, oder löscht Dr.Web die Files im SystemVolumeInformation Ordner dauerhaft?

Emule und der BG-Trainer scheinen Falschmeldungen zu sein.

http://img106.imageshack.us/img106/9...1200sg9.th.jpg

Hi,

sind normalerweise dauerhaft gelöscht, zur Sicherheit kannst Du die Systemwiederherstellunge ja noch mal aus/einschalten...

chris