Trojaner-Board - Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem! (https://www.trojaner-board.de/61394-sehr-liebe-bitte-um-professionelle-hilfe-hartnaeckigem-problem.html)

Liebe Myrtille,

habe Kaspersky wiederhergestellt, danach im abgesicherten Modus gefixt, neu gestartet, Prozess-Monitor gestartet.

Der Eintrag ist noch da. Diesmal hat Prozess-Monitor dieses hier angezeigt:

"20:00:02,4307554","HijackThis.exe","3216","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"

Vielleicht muss man den Highjack auch zurücksetzen? Was meinst Du?

lg,eelaa

Hi,

ist der Eintrag denn wieder da?

RegQueryValue heißt erstmal nur, dass Hijackthis der Wert liest, nicht dass er ihn ändert.
RegSetValue bedeutet, dass ein Wert gesetzt wird.

lg myrtille

Ja, Myrtille, der verschissene Eintrag ist wieder da.

lg,eelaa

Fix den Eintrag bitte mal im normalen modus, schmeiß ProcessMonitor an und geh ins Internet.
Mal sehen ob wir sehen ob es immernoch Kaspersky ist, der den Eintrag wiederherstellt.

Kann ja langsam nimmer angehen. :uglyhammer:

lg myrtille

Liebe Myrtille,

es hat lange gedauert, weil das Ding unberechenbar ist, aber hier ist es:

"22:00:13,5479684","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"

Ich könnte doch kaspersky neu installieren vielleicht...

oder?

was sagst Du

ich denk den ganzen Tag nur an dieses Zeug hier, ich bin besessen von der Idee, das Ding wegzukriegen. Ich denke den ganzen Tag über Abgesicherte Modusse und gefixte Einträge nach. Ich krieg noch ne Macke. Ich könnte es garnicht glauben, wenn er wirklich weg wäre, ich würde nachts von ihm träumen::

pukeface:

:snyper: bitte hilf mir

ich will so hier :D machen und mal wieder ´n gutes Buch lesen.

Hilf mir :(

lg,eelaa

Ich habe schon überlegt, ob ich mich mit dem guten alten Eintrag anfreunden soll, eigentlich tut mir der arme Eintrag ja garnichts. Er schleppt sich jetzt bestimmt schon total verwundet und blutig durch die Systemgegend. Ist doch eigentlich gemein, findste nich?

Auf jeden Fall ist er seltener da, das ist schonmal Fakt, ich hab ne weile nich gesehen. Also gute nacht, ich und der Eintrag machen für heute Feierabend. Der Eintrag wünscht Dir auch eine gute Nacht Myrtille, bis morgen....

lg,eelaa

Hi,

da der Eintrag von deinem Antivirenprogramm stammt kann man davon ausgehen, dass er nicht bösartig ist. Wenn du damit leben kannst ist das durchaus ok. ;)

Zitat:

ch denk den ganzen Tag nur an dieses Zeug hier, ich bin besessen von der Idee, das Ding wegzukriegen. Ich denke den ganzen Tag über Abgesicherte Modusse und gefixte Einträge nach. Ich krieg noch ne Macke. Ich könnte es garnicht glauben, wenn er wirklich weg wäre, ich würde nachts von ihm träumen::

Mir gehts so ähnlich. :D Ich will zumindest wissen WARUM der Eintrag wieder erstellt wird. :p

Zitat:

und mal wieder ´n gutes Buch lesen.

Kannst du mir eins empfehlen? :D

lg myrtille

Liebe Myrtille:

Auf jeden Fall hab ich zwei gute Buchtipps für Dich:

Angelika Schrobsdorff: Die Herren

Zeruya Shalev: Mann und Frau

Ich hab noch ein bißchen bei Kaspersky rumgestöbert, habe alles was mit Proxy und ICQ drin war, rausgenommen, mal sehen...

Wenn Dir noch was einfällt, lass es mich wissen

lg,eelaa:)

Hi,

Kaspersky deinstallieren wär noch ne Möglichkeit :blabla:

Ansonsten wäre da noch die Option "ignorieren" ;)

lg myrtille

Hy Myrtille,

ALSO! ICH GLAUB, ICH HAB´S GESCHAFFT.

Und zwar hab ich unter Netzwerkverbindungen meine Standardverbindung umbenannt! Die hatte sich immer auf benutzerdefiniert verstellt nach Neustart, obwohl ich es immer wieder auf Standard eingestellt hatte. Jetzt bleibt meine Einstellung auch bei Neustart bestehen. Juuhuu:huepp:

Ausserdem hatte ich ja bei Kaspersky - Proxyserver verwenden - rausgenommen.

Jetzt weiß ich nicht, wodurch ich jetzt BEFREIT bin, is auch egal, ich bin mir (fast) sicher:

ES IST WEG!!!

:party:

Ich möchte mich nochmal abschließend bedanken bei Dir, allerliebste Myrtille, und DU WIRST MIR FEHLEN, ist kein Witz.

DANKE :bussi:

lg, eelaa

(und hol Dir die Bücher, die sind tatsächlich sehr sehr gut, ich sag immer, ein gutes Buch findet man so selten, wie eine gute Beziehung)

Hi,

:aplaus: :aplaus: :aplaus:

Schön, dass das geregelt wurde.
Wenn du nicht wieder ICQ installieren willst, kannst du dir mal Multiprotokollmessenger angucken. :)
Eine sehr vollständige Liste findet man bei Wikipedia.

Zitat:

Ich möchte mich nochmal abschließend bedanken bei Dir, allerliebste Myrtille, und DU WIRST MIR FEHLEN, ist kein Witz.

Du kannst hier auch gern so nochmal vorbeikommen. :D Du musst dir vorher nicht mal mehr Malware installieren. ;) (Ansonsten könnte ich dir noch 2-3 Programme empfehlen, die mit Malware daherkommen... falls du das mal installieren willst. :p )

Wir könnten ja einen Bücherthread aufmachen. :)

lg myrtille

Liebe Myrtille,

ja, ich bin doch (leider :D) wieder da, und zwar kam der Eintrag eben doch wieder, habe dann im KasperskyLabForum nochmal Hilfe gesucht und eine Sys.info mit Kaspersky gemacht, dabei fand ich eine verdächtige Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Bases\klark.kdl direkt zwischen den ganzen Kaspersky-Dateien, habe die mit Virustotal hochgeladen mit diesem Ergebnis:

AhnLab-V3 2008.10.18.0 2008.10.20 -
AntiVir 7.9.0.5 2008.10.20 -
Authentium 5.1.0.4 2008.10.20 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.20 -
CAT-QuickHeal 9.50 2008.10.20 -
ClamAV 0.93.1 2008.10.20 -
DrWeb 4.44.0.09170 2008.10.20 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6159 2008.10.20 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.20 -
Fortinet 3.113.0.0 2008.10.20 -
GData 19 2008.10.20 -
Ikarus T3.1.1.44.0 2008.10.20 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.20 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.20 -
NOD32 3538 2008.10.20 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.20 Suspicious file
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.20 -
Rising 20.67.01.00 2008.10.20 -
SecureWeb-Gateway 6.7.6 2008.10.20 Virus.Win32.FileInfector.gen!88 (suspicious)
Sophos 4.34.0 2008.10.20 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.20 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.20 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.20.1428 2008.10.20 -
VirusBuster 4.5.11.0 2008.10.20 -

Hier ist nochmal die komplette Sys-Info von Kaspersky:

http://www.file-upload.net/download-...sinfo.zip.html

http://www.file-upload.net/delete-1194424/aw4jgl.html

Was kannst Du mir raten? Der Helfer von Kaspersky hat sich bis jetzt noch nicht gemeldet, dauert mir zulange, da dachte ich an meine gute alte Myrtille...

lg, eelaa

Hi,

ich fürchte ich kann dir nicht mehr viel helfen. :D

Mein Google sagt klark sei die Rootkitengine von Kasperksy. Ich denke da brauchst du dir keine Gedanken zu machen.

Hast du denn einen Link zu deinem Thema bei Kaspersky? Würde mich auch interessieren. :D

lg myrtille

Hallo liebe Myrtille,

hier ist der Link zu meinem Kaspersky-Thema:

h**p://forum.kaspersky.com/index.php?showtopic=88605

Habe Link editiert :)

Ich hoffe, da meldet sich bald mal jemand. Die sind nich so schnell wie Du leider.

lg,eelaa

Hallo Myrtille,

ich bin nochmal da. Ich hab noch nicht aufgegeben, habe mir eScan runtergeladen. Hat ein riesen Logfile erstellt mit 15 Infizierungen und 44 Fehlern:
Hier der Anfangstext, in dem auch mein VERFOLGER icqlite.exe erscheint.

[CODE)

31 Okt 2008 12:59:36 - **********************************************************
31 Okt 2008 12:59:36 - eScan-AntiViren- und Antispywarewerkzeugsatz.
31 Okt 2008 12:59:36 - Copyright © MicroWorld Technologies
31 Okt 2008 12:59:36 - **********************************************************
31 Okt 2008 12:59:36 - Source: C:\DOKUME~1\KUBILA~1\Desktop\mwav.exe
31 Okt 2008 12:59:36 - Version 10.0.32 (C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\MEXE.COM)
31 Okt 2008 12:59:36 - Logdatei: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\MWAV.LOG
31 Okt 2008 12:59:36 - MWAV Registered: FALSE
31 Okt 2008 12:59:36 - User Account: *** (Administrator Mode)
31 Okt 2008 12:59:36 - OS Type: Windows Workstation
31 Okt 2008 12:59:36 - OS: Windows XP [OS Install Date: 30 Dec 2005 16:00:51]
31 Okt 2008 12:59:36 - Ver: Service Pack 3 (Build 2600)
31 Okt 2008 12:59:36 - System Up Time: 2 Hours, 12 Minutes, 14 Seconds

31 Okt 2008 12:59:36 - Parent Process Name : C:\Dokumente und Einstellungen\***\Desktop\mwav.exe
31 Okt 2008 12:59:36 - Windows Root Folder: C:\WINDOWS
31 Okt 2008 12:59:36 - Windows Sys32 Folder: C:\WINDOWS\system32
31 Okt 2008 12:59:36 - Interface0 NameServer: 212.23.97.2 212.23.97.3
31 Okt 2008 12:59:36 - ProxyServer: icqlite.exe:5190
31 Okt 2008 12:59:36 - ProxyOverride:
31 Okt 2008 12:59:36 - Proxy Connection: DISABLED
31 Okt 2008 12:59:36 - Local Fixed Drives: c:\
31 Okt 2008 12:59:36 - MWAV Mode: Only Scan files
31 Okt 2008 12:59:36 - [CREATED ZIP FILE: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\pinfect.zip]

[/CODE]

und diese hier sind infected:

Code:

31 Okt 2008 14:05:56 - File C:\System Volume Information\_restore{FA859E5A-792F-4B9E-85C1-F5485FA150E4}\RP8\A0000187.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
 

31 Okt 2008 14:04:50 - File C:\Sandbox\***\DefaultBox\user\current\Desktop\mwav.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
 

31 Okt 2008 13:53:41 - ***** Scanning Registry and File system for Adware/Spyware *****

31 Okt 2008 13:53:47 - Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\KUBILA~1\LOKALE~1\temp\spydb.avs, Size: 866983]...

31 Okt 2008 13:53:47 - Indexed Spyware Databases Successfully Created...

 

31 Okt 2008 13:53:51 - Offending Key found: HKLM\Software\magnet !!!

31 Okt 2008 13:53:59 - Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
 

31 Okt 2008 13:53:59 - Offending Key found: HKCU\Software\kazaa !!!

31 Okt 2008 13:53:59 - Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
 

31 Okt 2008 13:53:59 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

31 Okt 2008 13:53:59 - Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
 

31 Okt 2008 13:53:59 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

31 Okt 2008 13:53:59 - Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
 

31 Okt 2008 13:54:01 - Offending file found: C:\WINDOWS\gpinstall.exe

31 Okt 2008 13:54:01 - System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:02 - Offending file found: C:\WINDOWS\system32\borlndmm.dll

31 Okt 2008 13:54:02 - System found infected with virusguardplus Corrupted Adware/Spyware (borlndmm.dll)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:08 - Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\slimbrowser\toolbars\mysearch

31 Okt 2008 13:54:08 - Object "mysearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
 

31 Okt 2008 13:54:33 - Offending file found: C:\WINDOWS\system32\gdiplus.dll

31 Okt 2008 13:54:33 - System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:37 - Offending Registry Entry found: hkcu\software\microsoft\ole

31 Okt 2008 13:54:37 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:40 - Offending Registry Entry found: hklm\software\knight

31 Okt 2008 13:54:40 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:41 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\policies\associations

31 Okt 2008 13:54:41 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:41 - Offending Registry Entry found: hklm\software\microsoft\internet explorer\urlsearchhooks

31 Okt 2008 13:54:41 - System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: No Action Taken.

 

31 Okt 2008 13:54:41 - Offending Registry Entry found: hkcu\software\mirabilis

31 Okt 2008 13:54:41 - System found infected with personalantispy Corrupted Adware/Spyware (hkcu\software\mirabilis)!

Ich hab was von Backdoor-Trojaner gelesen, das klingt ja garnicht gut. Was kannst Du mir raten? (außer dem, was keiner hier hören will...)

Der Backdoor kann ja drauf bleiben, ha ha, hauptsache der icqlite.exe kommt weg. War ´n Witz.

lg, eelaa