Trojaner-Board - Mehrere Trojaner gefunden, System bereinigt, ist es jetzt sauber?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mehrere Trojaner gefunden, System bereinigt, ist es jetzt sauber? (https://www.trojaner-board.de/81517-mehrere-trojaner-gefunden-system-bereinigt-sauber.html)

Mehrere Trojaner gefunden, System bereinigt, ist es jetzt sauber?

Hallo zusammen,

heute hat mein Antivir folgendes gemeldet

Code:

In der Datei 'C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\siszyd32.exe' wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.bpy' [backdoor] gefunden.

Daraufhin habe ich mit Antivir einen Suchlauf gemacht und der Report sagt folgendes:

Code:

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\e958e72-5e0784f8

  [0] Archivtyp: ZIP

    --> myf/y/PayloadX.class

      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD

C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\ie49.tmp

    [FUND]      Ist das Trojanische Pferd TR/Drop.BHO.aas

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\b82b7edc.tmp

    [FUND]      Ist das Trojanische Pferd TR/PSW.Papras.RX

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\netsethc.dll

    [FUND]      Ist das Trojanische Pferd TR/Agent.35328

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~TM36.tmp

    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Bredolab.bpy

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~TM3D.tmp

    [FUND]      Ist das Trojanische Pferd TR/PSW.Papras.RV

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\siszyd32.exe

    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Bredolab.bpy

Daraufhin habe ich die Probleme von Antivir beseitigen lassen und einen erneuten Suchlauf gestartet, mit dem Resultat, keine Funde.
Habe mal ein Hijackthis Log angefügt, kann da jemand was auffälliges feststellen? Soll ich noch andere Logs von anderen Tools posten?

Gruß
Moloch

Code:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 14:00:28, on 10.01.2010

Platform: Windows XP SP3, v.5857 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\WINDOWS\system32\SearchIndexer.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p /google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p /go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p /go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p /go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p /go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 38.101.222.129:8080

O1 - Hosts: HP59F15A HP00187159F15A

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res /C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O15 - Trusted Zone: h**p /dynamic.abc.go.com

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p /www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p /www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p /www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p /dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p /www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p /www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p /www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202502731140

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p /www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p /www.creative.com/softwareupdate/su/ocx/15105/CTPID.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AVM FRITZ!Box-Kindersicherung (avmidentd) - AVM Berlin - C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe

O23 - Service: CY - Unknown owner - C:\DOKUME~1\*****I~1\LOKALE~1\Temp\CY.exe (file missing)

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 8188 bytes

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Oje, du hast dir ebenfalls diesen Siszyd-Rootkit eingefangen. Bin immer noch dabei, mein System zu bereinigen. Dass Antivir dir was gemeldet hat, ist schon mal gut. Ich empfehle dir, zusätzlich zu der von Cosinus vorgeschlagenen Liste einen Scan mit GMER durchführen. So kann man feststellen, ob der Rootkit abgewehrt wurde oder ob sich vielleicht noch andere auf deinem System befinden. Das Logfile kannst du ja zusammen mit den anderen hier posten.

Hallo zusammen,

habe jetzt mal die Prozedur aus der Anleitung befolgt und noch nen Scan mit GMER zusätzlich gemacht.

Zur Info, Malwarebytes hatte sechs Funde.

Hier gehts zu den Logs File-Upload.net - Logs.zip

Gruß
Moloch

Zitat:

Windows 5.1.2600 Service Pack 3, v.5857

Ich fürchte Du hast da nur ne Vorabversion vom SP3 installiert. Solltest Dich später darum kümmern. Wahrscheinlich kannst Du das finale SP3 nicht einfach rüberbügeln, musst Du dann nach der Bereinigung über das Microsoftupdate probieren.

Bitte nun CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,

habe CCleaner laut Anweisung ausgeführt, dabei ist mir aufgefallen, daß ein Registry Problem immer wieder kommt

Code:

Ungenutzte Datei-Endungen        {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}        HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

auch nach zigmaliger behebung des Problems.

Combofix Log ist attached.

Das ist okay, der Eintrag lässt sich nicht entfernen, stammt von AntiVir.

Zitat:

c:\dokumente und einstellungen\ADMINISTRATOR\LOKALE Einstellungen\Temp\CY.exe

Bitte mal bei Virustotal.com auswerten und Ergebnislink posten.

Sorry, die Datei gibts bei mir unter dem Pfad nicht, ich finde eine "CY.exe" auch nicht, wenn ich die C: Platte durchsuchen lasse

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

"DisableUnicastResponsesToMulticastBroadcast"=-
 

RegLockDel::

[HKEY_USERS\S-1-5-21-448539723-362288127-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
 

File::

c:\dokume~1\ADMINI~1\LOKALE~1\Temp\CY.exe
 

Driver::

CY

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Here it is.

Noch ne kleine Anmerkung, nachdem ich die ScriptTXT auf das Combofix Icon gezogen habe, kam erst mal ne Aufforderung ob man updaten will, da es eine neuere Version von Combofix gibt, was ich dann auch gemacht habe.
Ich hoffe das hatte keinen negativen Einfluss auf die Prozedur?

Nein, das mit dem CF-Update ist schon so okay. :)
Wie ist es nun um den PC bestellt?

Hab jetzt noch mal die 3 Steps aus der Anleitung durchgeführt.
CCleaner hat wieder ne menge Registry Zeugs beseitigt.
Malwarebytes hat 3 Infizierte Dateien gefunden und erledigt :sword2:
RSIT, keine Ahnung, hier die Logs:
File-Upload.net - logs.zip

Die Logs müssten nun okay sein, Malwarebytes hat da "nur" noch was in der SWH gefunden. Kannst Du wenn Du willst deaktivieren, wenn Du sie nicht brauchst. => Deaktiviere die Systemwiederherstellung

Coole Sache Parker, hab die Systemwiederherstellung deaktiviert dann wieder aktiviert, CCleaner und Malwarebytes nochmal laufen lassen und siehe da, keine Funde.

Ich bin voll happy, bei einem 5-Personenhaushalt, die diesen PC benutzen, ist ne Neuinstallation kein Zuckerschlecken.

Was haben mir meine Jungs da jetzt eigentlich für eine/n Schädling/e eingebrockt (Rootkit?).

Tausend Dank für die mehr als kompetente Hilfe :dankeschoen:

Viele Grüße
Moloch

Damit auch in Zukunft kein Befall da ist, haltet Ihr Euch alle am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?