Trojaner-Board - Komische Vorgänge....

Trojaner-Board (https://www.trojaner-board.de/)

- Mülltonne (https://www.trojaner-board.de/muelltonne/)

- - Komische Vorgänge.... (https://www.trojaner-board.de/63509-komische-vorgaenge.html)

Komische Vorgänge....

Hallöchen,
gestern fing mein PC an ein Selbstleben zu entwickeln.
Zuerst ist ein Ordner mit einem Spiel verschwunden. Dies habe ich mit einem Recovery-Tool halbwegs wiederherstellen können (das Savegame zumindest).
Zuerst dachte ich noch das ich evtl. das selbst aus Versehen gelöscht habe. Nunja heute fahre ich den PC hoch und bekomme die Meldung das meine boot.ini fehlt und das von c:/windows gestartet wird. Nach etwas suchen im Web habe ich nun eine neue Boot.ini angelegt.
Soweit so gut.
Dennoch kommt mir das ganze doch etwas arg spanisch vor und ich kann eigentlich nicht von einer versehentlichen Löschung ausgehen...

Schritte die ich bisher unternommen habe:
Virenscan mit Antivir:
Ergebnis war hier ein gefundener Trojaner in einem RAR Archiv (also eigentlich noch unschädlich, wobei ich hier sogar von einem False Positiv ausgehe, aber da muss ich noch abwarten) den ich bei virustotal hochgeladen habe. Dort wurde 9 von xx Scanner fündig.
Habe des weiteren die Datei in die Quarantäne verschoben und auch bei Avira hochgeladen zur weiteren Diagnose. Das Ergebnis steht noch aus.

Danach habe ich mit Hijackthis ein Logfile erstellt und bei Hijackthis.de zur Auswertung durchgejagt. Alle Prozesse sind laut dort sicher außer einer von einem Freeware (Opensource) Game (Soundeditor.exe oder sowas).
Ich habe das Game nun auch deinstalliert.

Was für Schritte kann ich noch tun bzw. wie kann ich feststellen was hier eigentlich passiert ist. Nicht das ich mir doch so einen netten aktiven Liebling eingefangen habe...

Antivir-Log

Code:

Beginn des Suchlaufs: Sonntag, 2. November 2008  20:21
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'soundserver.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '35' Prozesse mit '35' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '58' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\JVMF8.tmp

    [0] Archivtyp: CAB (Microsoft)

    --> aa.class

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6NVQT1UO\loginapplet-167bbe2e[1].cab

    [0] Archivtyp: CAB (Microsoft)

    --> aa.class

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\download\eth32_v0.9.rar

    [0] Archivtyp: RAR

    --> eth32_0.9\eth32.exe

      [FUND]      Ist das Trojanische Pferd TR/Agent.26624

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4975ff8c.qua' verschoben!
 
 

Ende des Suchlaufs: Sonntag, 2. November 2008  21:32

HiJackthis-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:59:36, on 03.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\windows\system32\ctfmon.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

c:\programme\avira\antivir personaledition classic\avcenter.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217969898203

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6296 bytes

Malwarebytes' Anti-Malware Logfile:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1358

Windows 5.1.2600 Service Pack 3
 

03.11.2008 14:33:23

mbam-log-2008-11-03 (14-33-23).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 102723

Laufzeit: 29 minute(s), 28 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Ein Fund und gelöscht.
Wie gesagt den Trojaner schließe ich eigentlich aus da er ja in einem RAR Archiv war/ist. Und die Searchbar die durch Anti-Malware entfernt wurde dürfte meines Wissens so etwas ja nicht auslösen?!
Was kann ich noch tun???

Etwas was ich noch bemerkt habe (aber keine Ahnung ob das normal ist):
Wenn ich die versteckten Ordner anschaue finde ich unter C: direkt das Verzeichnis: System Volume Information
Allerdings wird mir der Zugriff darauf verweigert?!
Ist dies normal oder auch eine von diesen Ungereimtheiten?
Wäre um Hilfe wegen des Problems (wenn hier wirklich irgend etwas sein Unwesen treibt) doch sehr dankbar....

//EDIT:
Zum besagten Fund bei der Rar-Datei habe ich folgendes gefunden (was den False Positiv wohl bekräftigt):
http://aimbots.net/eth32/13904-tr-ag...4-virus-2.html

Und ja ich hatte den Aimbot laufen auf einem Aimbot-Server (also bitte nix ala du elendiger Cheater geschieht dir recht, das Ding wird meiner Meinung nach eh erkannt wenn es auf nen norm-Server läuft).

Dein Hijack schaut sauber aus. Das heißt aber nicht das sauber bist.

Beim ominösen Ordner handelt es sich um die Systemwiederherstellung. Wenn die deaktivierst ist der Ordner weg.

Vielleicht überprüfst mal deine Festplatte mit einem Diagnose Tool.

Zitat:

Zitat von Leonidas88 (Beitrag 388601)

Das es keine 100% Sicherheit gibt ist mir klar..
Chkdsk und Defrag hab ich auch schon vor wenigen Tagen gemacht (außer das Defrag mir dringend eine Defragmentierung angeraten hat nix auffälliges).

Das mit der Syswiederherstellung hatte ich garnicht bedacht *g*
Stimmt da war noch was in den grauen Zellen :kloppen:

Gibt es noch Programme die ich darüber laufen lassen sollte oder wie was wer ^^.
Ich habe einfach iwie Angst das mir wieder ein Ordner oder eine Datei verschwindet.
Wie gesagt ich habe diese definitiv nicht gelöscht (wenn dann müssten die Sachen ja auch im Papierkorb liegen was sie nicht getan haben).

Um sicher zu gehen mußt sauber das Arbeitsprogramm durchführen, das dir ein Kompetenzler gibt. Oder du machst es auf eingene Faust.
Ich würds so machen bzw. hab ich gute Erfahrungen damit (Wie gesagt - keine Garantie)
arbeite bitte folgende Anleitung der Reihe nach ab:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

* Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2)

* Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware:

* Lade dir MalwareBytes Anti-Malware
* Folge den Anweisungen der Anleitung
* Lösche alles in der Quarantäne:

* poste das enstandene Logfile

3.)
ComboFix

* Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

* Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

* Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

* Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

* Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Zitat:

Zitat von Leonidas88 (Beitrag 388609)

hm da ich ja schon einen Teil davon gemacht habe und Combofix wohl mit Vorsicht zu genießen ist warte ich wohl doch lieber auf einen Kompetenzler der sich der Sache annimmt :o)
Nicht das ich evtl. was ganzes doch noch kaputt bekomme :Boogie: