Trojaner-Board - Hilfe bei nicht löschbarem Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe bei nicht löschbarem Trojaner (https://www.trojaner-board.de/10259-hilfe-loeschbarem-trojaner.html)

Hilfe bei nicht löschbarem Trojaner

Hallo Leute,
habe es schon vorgestern gepostet, leider ohne Antwort, deshalb nochmal in diesem Bereich, da ich wirklich eure Hilfe brauche.
Ich habe seit vorgestern echt ein Problem. Eigentlich dachte ich, mein PC wäre recht sicher (auch wenn ich IE nutze, weil nur da alle Typo3-Funktionen zur Verfügung stehen), aber jetzt habe ich mir zum ersten Mal was eingefangen, was auch gleich richtig nervt. Mit Ad-Aware, Spybot und HijackThis kann man zwar das Problem lokalisieren, aber nicht wirklich beseitigen. Ich hoffe nicht, dass mir so eine Prozedur, wie in den anderen Threads bevorsteht, aber hier mal mein HijackThis.log:

Logfile of HijackThis v1.98.2
Scan saved at 22:40:20, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Network Associates\VirusScan\Mcshield.exe
D:\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\WinTV\Ir.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools\HijackThis.exe

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: *.Radio@ne
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/d...n/GoogleNav.cab

Bin über jegliche Hilfe echt dankbar.

Balko

Hi, balko,
bitte im abgesicherten Modus folgendes mit HJT fixen:
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Ist das Absicht: O15 - Trusted Zone: *.Radio@ne wenn nicht, dann auch fixen.
Anschließend neues Logfile reinposten.

Mich würde noch interessieren, was spybot und Co. so lakalisiert haben.

hallo cacatoa,
danke für deine schnelle hilfe. hatte vorher schonmal im abgesicherten modus versucht mit hjt zu fixen, war aber hinterher im normalmodus wieder da.
jetzt scheint es geklappt zu haben (habe auch O15 gefixt).
Spybot findet noch DSO Exploit (obwohl ich den im abgesicherten Modus gefixt hatte), scheint sich nicht dauerhaft entfernen zu lassen, weil er nach jedem Scan wieder da ist.

Hier der HJT.log:
Logfile of HijackThis v1.98.2
Scan saved at 19:58:50, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Network Associates\VirusScan\Mcshield.exe
D:\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINNT\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\WinTV\Ir.exe
D:\Tools\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab

Noch eine Frage: Wie ist dieses Zeug auf meinen PC gelangt bzw. noch wichtiger - wie kann ich das in Zukunft verhindern?

MfG,
Balko

Hallo, Balko,
den IE kannst du updaten, gibt ein neues.
DSO-Exploit ist Standard-Fehlermeldung bei Spybot; soll mit der nächsten Version behoben sein. Ist also ohne Funktion, kannst löschen oder auch nicht, kommt wieder.
Dein Log ist schön sauber. Wenn Du die folgenden nicht brauchst/kennst, kannst du sie auch noch fixen:
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html.

Eigentlich sollten Deine Probs jetzt weg sein, oder?
cacatoa

@ balko:
hab´ Deine letzte Frage eben erst gesehen.
Hier findest du die Antwort.

coooool, dann war's ja doch nicht so kompliziert :-)

sollte ich mir noch irgendwas an software installieren (außer IE-update)?

vielen dank nochmal

so ein mist - jetzt ist das teil schon wieder da. genau wie vorher. wie werde ich das teil bloß los bzw. wo steckt da nochwas?
jetzt kam noch ne meldung "winlogon.exe hat fehler verursacht" und der pc startet plötzlich neu. das gibt's doch nicht :pfui: .

balko

So, dann machen wir doch mal einen eScan (mwav.exe runterladen, in den von Dir erstellten Ordner C:\bases (wichtig) entpacken, updaten (kavupd.exe) und dann laufen lassen (mwav.com)). Das ganze im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Danach neu booten, Sy<tmwiederherstellung wieder aktivieren und das ERgebnis von eScan reinposten.

Man, das hat ja ziemlich gedauert (eigentlich müsste ich schon längst im Bett sein, aber das muss jetzt mal dringend gelöst werden).

escan hat zwar was gefunden, bin aber nicht sicher was ich daraus folgern soll. by the way: ich hatte vor zwei tagen schon von hand eine datei bw2.exe im winnt\temp gelöscht, die aber wiederkam.

hier die log-auszüge von escan (habe übrigens w2k drauf):

Tue Nov 30 22:24:27 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Tue Nov 30 22:24:28 2004 => File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Tue Nov 30 23:05:48 2004 => File E:\Software No.19\DivX-Tools\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Nov 30 23:05:49 2004 => File E:\Software No.19\DivX-Tools\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Nov 30 23:19:01 2004 => File E:\Software No.19\Quake III\q3_pointrelease_132_win32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Nov 30 23:19:37 2004 => File E:\Software No.19\WAMP\appserv-win32-230.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Nov 30 23:19:37 2004 => File E:\Software No.19\WAMP\APPSERV_WIN32_180.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

gute nacht,
balko

Lösche diese Dateien im abgesicherten Modus
Tue Nov 30 22:24:27 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Tue Nov 30 22:24:28 2004 => File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Und poste danach ein neues Hijackthis Logfile

So, bin von der arbeit zurück und widme mich sogleich meinem "kleinen" problem.
gerade habe ich nochmal c:\winnt mit escan im abgesicherten modus gescannt. hier das ergebnis:

File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINNT\msgf.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\VT00.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: File Deleted.

die wintaskadx.dll's konnte ich nicht von hand löschen, da sie nicht in den entsprechenden ordnern angezeigt werden und auch die dateisuche erfolglos war (abgesicherter modus, systemdateien und versteckte werden angezeigt). mit HCW848UN.EXE kann ich nichts anfangen.

hjt war erfreulicherweise ergebnislos (soweit ich das beurteilen kann, aber seht selbst):

Logfile of HijackThis v1.98.2
Scan saved at 18:06:44, on 01.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\Tools\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html

ich gehe also davon aus, dass escan zwei trojaner gelöscht hat, aber wintaskadx noch drauf ist. vermutlich ist das so eine art einfallstor für unliebsame gäste, die spätestens dann wieder erscheinen, wenn ich in den normalmodus zurückkehre.

was tun?

Hallo, balko,
ich sehe ein Problem mit dem was eScan bei Dir gefunden hat.
Der Trojaner "Win32.agent.db" ist der da.
Und Shadowdance sagte so schön treffend (in etwa): Ich weiß nicht ob mich mich damit zufrieden geben würde wenn ein backdoortroj, der aktiv war, einfach durch das Löschen eines files weg sein sollte....
Weiterhin:
C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll
C:\WINNT\Downloaded Program Files\WinTaskAdX.dll
Die beiden tauchen im Logfile nicht mehr auf?
Weiter zu WinAd: Schau mal hier.
cacatoa

das hört sich ja garnicht gut an.
1. muss ich mir jetzt die antivirus-software von sophos käufen oder gibt's da andere möglichkeiten? wann kann ich mir sicher sein, dass der trojaner dann wirklich weg ist?
2. wie soll ich bei winad was ausrichten, wenn ich nichtmal die dateien zu sehen bekomme?

ich glaube, ich drehe hier bald durch.

Durchdrehen sollst und mußt Du nicht. Die software von sophos mußt Du auch nicht kaufen; der Link verweist nur auf die Erklärung, damit Du siehst, was bei dir los ist.
Am sichersten wäre es, das System neu aufzusetzen.
Dabei auch an die Datensicherung denken.
Und das hier ist Pflichtlektüre, um vieles für die Zukunft zu vermeiden.
cacatoa

genau das meine ich doch mit durchdrehen :-)
wenn ich jetzt das system neu aufsetzen muss, bin ich damit das ganze wochenende beschäftigt - das bockt echt nicht!!!
die pflichtlektüre habe ich mir gestern schon komplett zu gemüte geführt (während des virenscans).

die wintaskadx-sachen werden bei hjt nicht gefunden, bei escan schon, kann sie aber wie gesagt nicht "finden", um sie von hand zu löschen und befürchte einfach, dass die sofort wieder unsinn machen, wenn ich mit dem pc online gehe.
die anderen beiden trojaner scheinen.
macht es vielleicht sinn, den gesamten Ordner "Downloaded Program Files" zu löschen? Wenn man mit rechts drauf klickt, sagt er übrigens, dass 7 ordner drin sein sollen, obwohl nur eine (shockwave) drin ist.