Trojaner-Board - Francette

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Francette (https://www.trojaner-board.de/10838-francette.html)

Mein System: Laptop mit Window XP Professional, SP 2
Antivir vor einer Woche installiert, Wurm vorher nicht bemerkt.
Brower: IE und Mordzilla
SmartSufer von Web.de

Bekam den Rechner vom Büro geschenkt. Ev. war der Trojaner Francette schon droben. Vor einer Woche schlug die Firewall an und zeigte etwas mit windv an. Ich fuhr den Rechner runter, startete, seitdem komme ich nicht oder nur für 6 - 7 Min. ins Internet, danach wird der Server nicht mehr gefunden. Die Seiten brauchen ewig zum laden. Erst komplettes Herunterfahren und neu starten ermöglicht weitere 6 Min surfen

Ein oder zweimal hat wie in diesem Forumsbeitrag über Francette http://www.trojaner-board.de/showthread.php?t=6873 antivir Francette angezeigt. Ein Scan ergab jedoch einen virenfreien Rechner.

Hat das nicht mehr problemlos Surfen können mit Francette zu tun? Ich werde am Wochenende nach dem o.g. Beitrag vorgehen und bei Bedarf auf eure Hilfe zurückkommen.

Wunderbar hilfreiche Webseite. Kompliment!

Hallo Ellen_t,

kannst Du bitte zunächst ein aktuelles (v1.99.0) Hijack This Logfile erstellen (www.hijackthis.de) und hier posten? Wir tun unser Bestes, um Dir dann weiter zu helfen.

SD

Logfile of HijackThis v1.99.0
Scan saved at 19:13:25, on 16.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\windrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xxx;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [] windrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [] windrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hoffe, ich kann abschicken, rechner stürzt ständig ab.

PS: Die xxx stehen für den Namen meines AG. Das will ich hier nicht so gerne veröffentichen. Hoffe, es it ok.

Fixxe folgende Einträge:

C:\WINDOWS\system32\windrv.exe--> das ist der Übeltäter-ist wahrscheinlich dieser
O4 - HKLM\..\Run: [] windrv.exe
O4 - HKLM\..\RunServices: [] windrv.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de

Starte dann im abgesicherten Modus bei deaktivierter systemwiederherstellung und lösche fol.genden Eintrag:

C:\WINDOWS\system32\windrv.exe

Starte wieder neu , aktiviere die systzemwiederherstellung und poste einen neuen Log.

Vielen 1000 Dank :bussi: , das mache ich, wenn ich wüsste, was fixen ist. Hast du mir bitte einen Link, wo ich das nachlesen kann?

Seitdem die Firewall vor ein paar Tagen anschlug und genau diese Datei anzeigte windrv habe ich Probleme. Sie steht wie folgt im System

windrv.exe-016DBD2E-pf

Seltsam finde ich nur, dass trotz Firewall der Virus/Trojaner jetzt auf dem Rechner ist. EInes ist sicher, ich habe ihn nicht von einer Mail oder einem Pseudopatch wie unter "hier" beschrieben

Fixxen bedeutet:
Du startest HijackThis, drückst den Button "Scan", machst ein Häkchen bei den o.g. Dateien und klickst anschliesssend den Button "Fix Checked"

Hole dir bitte E-Scan, update und scanne wie beschrieben, poste dann die gefundenen Schädlinge.

http://www.trojaner-board.de/42731-escan-anleitung.html

Falls es sich nämlich um eine Variante des von cronos geposteten Trojaners handelt (du kannst mal überprüfen, ob die anderen genannten Dateien bei dir vorhanden sind), ist es. fürchte ich, mit fixen allein nicht mehr getan.

Eine Firewall nützt dir gegen Infektionen dieser Art im Übrigen gar nichts, das ist eine der leiter weit verbreiteten Fehlinformationen über diese Software. Sie kann idR nicht verhindern, dass du die Schädlinge auf den Rechner bekommst und sie installierst, sondern eventuell eine Kontaktaufnahme nach Außen verhindern.

Du solltest dies mal durcharbeiten:

http://www.mathematik.uni-marburg.de...ompromise.html

Zitat:

Zitat von MountainKing

Falls es sich nämlich um eine Variante des von cronos geposteten Trojaners handelt (du kannst mal überprüfen, ob die anderen genannten Dateien bei dir vorhanden sind), ist es. fürchte ich, mit fixen allein nicht mehr getan.

welche anderen genannten Dateien meinst du?

Wenn es mit fixen alleine nicht mehr getan ist, was kommt auf mich zu? Rechner platt machen und neu installieren? Wenn ja, tolles Weihnachtsgeschenk :heulen:

Ich meinte die Dateien, die als weitere bestandteile dieses Schädlings im von cronos geposteten Link genannt sind.

http://www.sophos.de/virusinfo/analyses/w32dumarua.html

Falls es sich tatsächlich darum handelt, würde ich in der Tat eine Neuinstallation empfehlen, denn dein System wäre nicht mehr vertrauenswürdig. Aber überprüfe erst mal wie angesprochen alles mit E-Scan.

Danke, hab verstanden. Noch eine nicht dumme aber vielleicht naive Frage: Wenn ich eine Systemwiederherstellung durchführe vor dem windrv.exe Befall, ich weiß das Datum, dann habe ich nur den bisher nicht aktiven Francette drauf, den ich dann löschen könnte. Würde das denn mit der Systemwiederherstellung funktioneren?

Ellen

Auch mit der Systemwiederherstellung gibt es keine absolute Sicherheit mehr. Die besondere Gefährlichkeit dieser Art von Schädlingen liegt darin, dass jemand von Außen Zugriff auf deinen Rechner haben und dort alles manipulieren konnte. Was genau, ist nur sehr schwer nachzuvollziehen und zumindest für einen Laien zu umständlich. Deswegen ist eine Neuinstallation anhand bestimmter Regeln die einfachste Möglichkeit ein definitiv sauberes System wiederzubekommen. auf dem aufbauend man dann auch seine Surfgewohnheiten ändern kann. Aber bevor wir diese letzte Möglichkeit in Betracht ziehen, solltest du nun wirklich erst mal E-Scan verwenden und überprüfen, ob der Verdachte berechtig ist. :)

1. Das wird nach eScan angezeigt

File C:\Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Xpyout.a" Virus. Action Taken: No Action Taken.

Wollt ihr das gesamte Protokoll sehen, was alles gescannt wurde?

2. Im abgesicherten Modus starten. Mein Login Ellen + PW ging nicht (AdminStatus). Ich wurde mit diesem Login ständig nach dem DomainName gefragt, konnte aber nichts eingeben. Es war nur die Möglichkeit den Loginnamen und das PW einzugeben gegeben. Erst als ich das AdminPasswort änderte (es ist auch ein Admin Account mit adminStatus angelegt) und dann nochmals einloggte, ging's nach einigen Versuchen.

3. windrv.exe war im abgesicherten Modus nach dem fixen mit Highjackthis nicht mehr unter windows/system32 auffindbar. Aber nach einem gezielten Suchen über den Exporer fand ich die Datei im Pfad c:/windows/prefetch mit der Bezeichnung windrv.exe-016DBD3E.pf. Löschen im abgesicherten Modus? Ohne Systemwiederherstellung?

4. Folgende Dateien fand ich nicht:
dllreg.exe
load32.exe
vxdmgr32.exe

5. Anbei das letzte Highjackthis Protokoll nach eScan.
Logfile of HijackThis v1.99.0
Scan saved at 23:40:20, on 18.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxx.de/xx;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

6. Danke, danke, danke. Wie kann ich mich erkenntlich zeigen für eure Hilfe und die, die noch folgen wird?

7. Bitte um weitere Anweisungen. Vielen Dank.

Leere den AntiVir-Infected-Ordner.

Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".
Suche die Dateien nochmals.

Äh, und wie mache ich das? "Leere den AntiVir-Infected-Ordner." Ich kenne mich zwar gut mit Word, Excel, PPT und Outlook aus, aber hier versagen meine spärliche Kenntnissse.

Der Rest: Aktivieren "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen". Suche die Dateien nochmals." ist klar.

Danke.

Und, hurray, ich kann wieder normal online gehen, ohne dass nach 6 Min. die Onlineverbindung abstürzt. Welch ein vorweihnachtlicher Segen. :crazy:

Zitat:

Äh, und wie mache ich das? "Leere den AntiVir-Infected-Ordner."

Navigiere zu diesem Ordner C:\Programme\AVPersonal\INFECTED und leere den selbigen.

die von mir so "geliebte" datei windrv.exe läßt sich nicht mehr im Explorer finden. Und was nun? Alles okay? Keine Neuinstallierung?

Immerhin, ich kann wieder unbeschraenkt surfen. *glücklich-bin*

Ist denn jetzt alles in Ordnung nach meinem letzten Posten den Logfiles?

Der Antivir-Ordner ist geleert.

Grüße, Ellen

Bitte, bitte, lasst mich doch wissen, ob nun alles in Ordnung ist nach meinem letzten Logfile.

Ansonsten schon mal Danke für eure Hilfe. Kann ich euch was gutes tun?

Soweit man es aus der Ferne beurteilen kann, dürfte dein System sauber sein, zumindest sind es deine Logfiles.

Lektüre für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html

Danke. Die von dir empfohlenen Seiten sowie diese in einem anderen Thread gefundenen Links

Pflichtlektüre:
- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

werden meine nachweihnachtliche Lektüre sein. Eines habe ich schon befolgt: Ich gehe nicht mehr als Administrator ins Netz.

Frohe Weihnachten und ein dickes :bussi: für deine/eure Hilfe.