Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner mit schickem Desktophintergrund (https://www.trojaner-board.de/58542-trojaner-schickem-desktophintergrund.html)

Gambit 25.08.2008 13:58
Trojaner mit schickem Desktophintergrund
 
Einen schönen guten Morgen wünsche ich.
Ich habe seit gestern Abend (oder war es schon heute morgen? naja, egal) ein kleines Problem mit einem Trojaner, der wohl meint, dass mein Desktophintergrund nicht schön genug sei, und der mir deshalb eine schöne Meldung als Desktophintergrundanzeigt, von wegen mein Computer sei mit Spyware infiziert. Ich denke, es handelt sich um den gleichen Kandidaten, den sich auch der Herr in DIESEM thread hier im Forum zugelegt hat. Nunja, wie dem auch sei, ich war natürlich anderer Meinung als der Trojaner und fand meinen alten Hintergrund durchaus ansprechend, weswegen ich zunächst einmal versucht habe, den Kollegen mit Hilfe von SUPERAntispyware (Free Edition) zu entfernen. Das Programm hat auch prompt etwas gefunden:
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/25/2008 at 11:49 AM

Application Version : 4.0.1154

Core Rules Database Version : 3463
Trace Rules Database Version: 1454

Scan type      : Complete Scan
Total Scan Time : 00:03:47

Memory items scanned      : 557
Memory threats detected  : 1
Registry items scanned    : 6743
Registry threats detected : 1
File items scanned        : 501
File threats detected    : 1

Trojan.Dropper/SVCHost-Fake
        C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
        C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
        [SVCHOST.EXE] C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
ein Programm, dass sich geschickter weise als SVCHOST.exe tarnt, und damit als prozess sehr schwer zu finden ist. Mit zu dem Paket gehört auch noch die eigenschaft, dass man im Taskmanager unter dem Punkt "Prozesse" nicht mehr einsehen kann, was ein System- oder ein Benutzerprozess ist. Da ich von unserem Holzpferd nichts mehr wissen wollte, habe ich natürlich sofort die entsprechenden Dateien löschen lassen. Dies hat zwar zunächst einmal mein Problem mit dem Desktophintergrund behoben, aber anscheinend war das noch lange nicht alles. Denn seitdem ich das Pferd scheinbar zu Kleinholz verarbeitet habe, gibt es einige Probleme. Zunächst einmal laufen sowohl Opera, als auch Firefox, als auch der IE seit dem sehr langsam. Dazu kommt, dass ich keine einzige der gängigen Seiten von Antiviren-Herstellern betrachten kann. Opera und IE sagen jedes Mal "Seite kann nicht erreicht werden" und der Firefox zeigt mir eine sehr schön anzusehende weiße Fläche.
Auch das Updaten von SUPERAntispyware funktioniert seitdem nicht (angeblich wird es von meiner Firewall (die XP-Standard-Firewall) blockiert, obwohl ich den Zugriff natürlich freigegeben habe). Klar, dass mir das gegen den Strich geht. Deshalb habe ich jetzt einmal ein HJT-Log mitgebracht, und ich würde mich freuen, wenn das mal jemand anschauen und auswerten könnte, um mir bei meinem Problem zu helfen.
Code:
Logfile of HijackThis v1.99.1
Scan saved at 14:48:44, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Virtual CD v9\System\VC9Play.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Virtual CD v9\System\VC9Tray.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Virtual CD v9\System\VC9SecS.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\***\Desktop\Programme\HijackThis.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Index.cmd
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102259683185
O17 - HKLM\System\CCS\Services\Tcpip\..\{453F0208-2439-4F71-ACFC-078A2C35DDD2}: NameServer = 62.109.123.7 213.191.92.86
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Anbei noch eine kleine Zusammenfassung meiner Systemdaten:
Code:

--------[ EVEREST Home Edition (c) 2003, 2004 Lavalys, Inc. ]-----------------------------------------------------------

    Version                                          EVEREST v1.51.195/de
    Homepage                                          http://www.lavalys.com/
    Berichtsart                                      Berichts-Assistent
    Computer                                          ******
    Ersteller                                        *****
    Betriebssystem                                    Microsoft Windows XP Home Edition 5.1.2600 (WinXP Retail)
    Datum                                            2008-08-25
    Zeit                                              14:52


--------[ Übersicht ]---------------------------------------------------------------------------------------------------

    Computer:
      Betriebssystem                                    Microsoft Windows XP Home Edition
      OS Service Pack                                  Service Pack 2
      Internet Explorer                                6.0.2900.2180 (IE 6.0 SP2)
      DirectX                                          4.09.00.0904 (DirectX 9.0c)
      Computername                                      ZOSELPC (BASTIPC)
      Benutzername                                      Basti

    Motherboard:
      CPU Typ                                          Intel Pentium 4E, 3400 MHz (17 x 200)
      Motherboard Name                                  Unbekannt
      Motherboard Chipsatz                              Intel Grantsdale i915P
      Arbeitsspeicher                                  1024 MB  (DDR SDRAM)
      BIOS Typ                                          Award (11/25/04)
      Anschlüsse (COM und LPT)                          Kommunikationsanschluss (COM1)
      Anschlüsse (COM und LPT)                          ECP-Druckeranschluss (LPT1)

    Anzeige:
      Grafikkarte                                      NVIDIA GeForce 7950 GX2  (512 MB)
      Grafikkarte                                      NVIDIA GeForce 7950 GX2  (512 MB)
      Monitor                                          Plug und Play-Monitor [NoDB]  (160254407)

    Multimedia:
      Soundkarte                                        Intel 82801FB ICH6 - High Definition Audio Controller [B-1]

    Datenträger:
      IDE Controller                                    Intel(R) 82801FB Ultra ATA Storage Controllers - 2652
      IDE Controller                                    Intel(R) 82801FB/FBM Ultra ATA Storage Controllers - 266F
      SCSI/RAID Controller                              H+H Virtual CD 9 SCSI Controller
      SCSI/RAID Controller                              SCSI/RAID Host Controller
      Festplatte                                        WDC WD2500JD-00HBC0  (232 GB, IDE)
      Festplatte                                        HP Photosmart 2575 USB Device
      Festplatte                                        Generic CF Card      CF USB Device
      Festplatte                                        Generic MS Card      MS USB Device
      Festplatte                                        Generic SD Card  MMC/SD USB Device
      Festplatte                                        Generic SM/XD Card    SM USB Device
      Optisches Laufwerk                                IDE DVD-ROM 16X  (16x DVD-ROM)
      Optisches Laufwerk                                PIONEER DVD RW  DVR-108  (DVD+R9:4x, DVD+RW:16x/4x, DVD-RW:16x/4x, DVD-ROM:16x, CD:32x/24x/40x DVD+RW/DVD-RW)
      Optisches Laufwerk                                QK7821G OEF412A SCSI CdRom Device
      Optisches Laufwerk                                VXDV DVD-RAM DVDR S95 SCSI CdRom Device
      Optisches Laufwerk                                VXDV DVD-ROM DVDR S90 SCSI CdRom Device
      Optisches Laufwerk                                VXDV DVD-ROM DVDR S90 SCSI CdRom Device
      S.M.A.R.T. Festplatten-Status                    Unbekannt

    Partitionen:
      C: (NTFS)                                        120001 MB (10356 MB frei)
      D: (NTFS)                                        114470 MB (3865 MB frei)
      E: (FAT32)                                        3992 MB (1304 MB frei)

    Eingabegeräte:
      Tastatur                                          Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
      Maus                                              HID-konforme Maus

    Netzwerk:
      Netzwerkkarte                                    Hamachi Network Interface  (5.221.176.223)
      Netzwerkkarte                                    VIA Rhine III Fast Ethernet Adapter  (169.254.175.134)
      Netzwerkkarte                                    WAN (PPP/SLIP) Interface  (85.176.167.203)
      Modem                                            Creatix V.92 Data Fax Modem

    Peripheriegeräte:
      Drucker                                          Fax
      Drucker                                          HP Photosmart 2570 series
      Drucker                                          HP remote printers
      Drucker                                          Microsoft Office Document Image Writer
      Drucker                                          Microsoft XPS Document Writer
      Drucker                                          PDFCreator
      USB1 Controller                                  Intel 82801FB ICH6 - USB Universal Host Controller [B-1]
      USB1 Controller                                  Intel 82801FB ICH6 - USB Universal Host Controller [B-1]
      USB1 Controller                                  Intel 82801FB ICH6 - USB Universal Host Controller [B-1]
      USB1 Controller                                  Intel 82801FB ICH6 - USB Universal Host Controller [B-1]
      USB2 Controller                                  Intel 82801FB ICH6 - Enhanced USB2 Controller [B-1]
      USB-Geräte                                        HP Photosmart 2570
      USB-Geräte                                        Photosmart 2570 series (DOT4USB)
      USB-Geräte                                        USB-Druckerunterstützung
      USB-Geräte                                        USB-HID (Human Interface Device)
      USB-Geräte                                        USB-Massenspeichergerät
      USB-Geräte                                        USB-Massenspeichergerät
      USB-Geräte                                        USB-Verbundgerät

    Probleme und Hinweise:
      Problem                                          Auf Laufwerk C: ist nur noch 9% Speicher frei.
      Problem                                          Auf Laufwerk D: ist nur noch 3% Speicher frei.

undoreal 25.08.2008 14:57
Halli hallo Gambit
:hallo:

Zuerst mal ein riesen Lob an diesen vorbildlichen Post! :daumenhoc

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Fixe mit HJT folgenden Eintrag:
Zitat:
O4 - Startup: Index.cmd
Suche danach wie in meiner Signatur beschrieben nach folgender Datei: Index.cmd.
Solltest du sie finden lade sie auf VT und poste das Ergebnis.
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Räume danach bitte mit cCleaner auf (Punkt 1&2) und poste danach ein AVZ log.

Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Gambit 25.08.2008 16:31
Hallo, und danke für die zügige antwort. der eintrag "index.cmd", welcher dir solche sorgen bereitet sollte eigentlich unbedenklich sein, da es lediglich eine von mir erstellte datei zum automatischen löschen von temporären datein und verlauf ist. der code ist denkbar einfach:
Code:
RD /S /Q "C:\Dokumente und Einstellungen\***\Lokale
Einstellungen\Temporary Internet Files"
RD /S /Q "C:\Dokumente und Einstellungen\***\Lokale
Einstellungen\Verlauf"
zudem kann ich auf grund meines holzwurmzerfressenen freundes virustotal.com leider nicht aufrufen.

den rest werde ich jetzt allerdings schritt für schritt durchgehen, wenn ich fertig bin komm ich wieder angetänzelt und poste es hier :)

Gambit 25.08.2008 16:50
hmm...könnte mir bitte jemand Blacklight bei einem gängigen Filehoster hochladen? Mein Trojaner möchte nicht, dass ich auf die downloadseite gehe...

undoreal 25.08.2008 16:51
Zitat:
"index.cmd", welcher dir solche sorgen bereitet sollte eigentlich unbedenklich sein
O.k.! Dann erübrigt sich VT sowieso..

PS: Blacklight kommt sofort..

Hier: http://upload.trojaner-board.de/dl.php?fid=1219679547
Passwort ist: infected

Falls das bei CF das Gleiche sein sollte: Combofix
Passwort ist wieder infected

Gambit 25.08.2008 17:13
Blacklight hat nichts gefunden:
Code:
08/25/08 18:01:23 [Info]: BlackLight Engine 1.0.70 initialized
08/25/08 18:01:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/08 18:01:24 [Note]: 7019 4
08/25/08 18:01:24 [Note]: 7005 0
08/25/08 18:01:26 [Note]: 7006 0
08/25/08 18:01:26 [Note]: 7011 736
08/25/08 18:01:26 [Note]: 7035 0
08/25/08 18:01:26 [Note]: 7026 0
08/25/08 18:01:26 [Note]: 7026 0
08/25/08 18:01:30 [Note]: FSRAW library version 1.7.1024
08/25/08 18:02:18 [Note]: 2000 1012
08/25/08 18:02:18 [Note]: 2000 1012
08/25/08 18:02:18 [Note]: 2000 1012
08/25/08 18:09:48 [Note]: 7007 0
ich lass dann jetzt noch einmal ccleaner durchlaufen und dann starte ich combofix.

Gambit 25.08.2008 19:20
So, ich habe alle programme beendet, dann habe ich cclearer durchlaufen lassen, bis keine fehler mehr in der registry waren, dann habe ich combofix gestartet, das hat den pc dann hinterher neugestartet, dann hab ich noch einmal cclearer rüberlaufen lassen und dann hab ich das AVZ Toolkit gestartet und nach den anweisungen durchlaufen lassen. Dann habe ich das log auf Rapidshare hochgeladen. Hier isses. was soll ich nun tun?

Gambit 26.08.2008 09:21
So, ich werd das ganze jetzt mal bumpen, außerdem gibt es wirklich was neues zu berichten, denn mittlerweile wird bei mir ab und an der Start-Bildschirm von Windows XP angezeit, der mit dem lustigen Ladebalken, gefolgt von dem mit dem schicken hellblauen Hintergrund bei der Benutzerauswahl, gefolgt von dem mit dem wunderschönen dunkelblauen Hintergrund mit weißer Schrift drauf, auch Bluescreen genannt. Dann drück ich einfach die any-key und kann normal weitermachen, aber nerven tut es schon. Zudem wird jedesmal beim Hochfahren mein Style wieder in den ekelhaft abgelutschten XP-Style geändert und es wird ein "Windows Installer" gestartet, der vergeblich versucht etwas zu installieren, was er aber nicht kann, weil er dazu angeblich die Windows-XP CD benötigt. Das Ding kenn ich noch von dem einen Mal, als ich ne komische Version von .net Framework installiert hab, da hat es auch immer solche mucken gegeben. Mitlerweile ist mein PC glaube ich so versifft, dass ich ihn spätestens Morgen Mittag erstmal platt machen werde, es sei denn, jemand kann mir bis dahin helfen den mist zu beheben. wenn nicht ist es auch nicht sooo schlimm, alle relevanten daten hab ich schon gesichert.

undoreal 26.08.2008 09:56
Poste bitte den Combofix Bericht! der ist sehr wichtig.

undoreal 26.08.2008 10:15
Folgende Datei mal bitte online auswerten lassen:
C:\Dokumente und Einstellungen\Basti\Desktop\inspectr.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\nvtuicpl.cpl
C:\Programme\Medion Software\COMMAND.COM
C:\Programme\CyberLink\Shared Files\CLRCEngine.dll
D:\Treiber\Cardreader USB 2.0\Software\COMMAND.COM


Folgendes Skript mit AVZ ausführen (File->Custom Skript):
Code:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 TerminateProcessByName('c:\programme\bonjour\mdnsresponder.exe');
 QuarantineFile('c:\programme\bonjour\mdnsresponder.exe','');
 QuarantineFile('C:\Dokumente und Einstellungen\Basti\Desktop\inspectr.exe d %ld %ld','');
 SetServiceStart('nv', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\USBCRFT.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pstrip.sys','');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\a9jjcqof.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\blphc9emj0e9bp.scr');
 BC_DeleteFile('C:\WINDOWS\system32\oembios.exe');
 BC_DeleteFile('C:\WINDOWS\Installer\da3e8.msi');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Der Rechner startet dabei neu!

Gambit 26.08.2008 11:55
combofix erstellt bei mir leider keine log-datei...
die dateien kann ich wie gesagt leider nicht überprüfen, da mir der Trojaner den zugriff auf virustotal.com verweigert. Kann ich die dateien vielleicht in einem archiv hochladen, und du überprüfst sie dann? HIER ist das Archiv. Die Datei inspectr.exe haben jedoch weder ich, noch die Suche gefunden (ja, es werden auch alle dateien angezeigt, und auch die suche erfasst versteckte dateien, trotzdem habe ich nichts gefunden...)
das script werde ich dann jetzt mal ausführen.

Gambit 26.08.2008 12:07
also davon abgesehen, dass ich jetzt keinen grafikkartentreiber mehr habe, hat es das script auch nicht wirklich gebracht. die browser sind immer noch langsam und die seiten der antivirenhersteller sind auch immer noch verweigert. Darf ich mir jetzt erstmal nen neuen Treiber runterladen?

undoreal 26.08.2008 12:25
Du kannst auch folgende Datei wieder herstellen (File -> Show Quarantine Folder) dort die Datei markieren und wiederherstellen:
Zitat:
C:\WINDOWS\system32\drivers\pstrip.sys
DAs ist die Einzige die für das Grafikproblem verantwortlich sein könnte..

Allerdings muss ich dir folgendes sagen: Die Bereinigung gestalltet sich bei dir dermaßen schwierig, auf Grund der ganzen Aktionen die der Schädling dir verbietet. Wir brauchen zum Beispiel auf jeden Fall das CF log.

Evtl. solltest du lieber neuaufsetzen dass ist wesentlich sicherer und geht garantiert schneller..

Gambit 26.08.2008 13:01
okay, dann mach ich das jetzt. sollte ich vorher noch etwas beachten?

undoreal 26.08.2008 14:00
Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

PhunKey 26.08.2008 14:18
hi,

Oh schei**e würde das gerne machen aber mein freund möchte nicht dass ich mbr exe runterlade... Bitte uploaden, danke.

gRuß

Edit: habe mir die datei per ICQ senden lassen MBR ist ok. Aber ich glaube den wird man nicht mehr los.

Gambit 26.08.2008 14:55
öhm...wenn du das selbe problem hast wie ich, phunkey, dann eröffne doch bitte der übersicht halber noch einmal selber einen thread ;) An sonsten hätte ich die dateien nämlich gerne auch noch einmal hochgeladen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55