Ungewissheit, ob Trojaner noch installiert ist
 

Hallo!

Ich habe mir eine .exe Datei aus dem Netz runtergeladen, nachdem ich sie anklickte und nichts passierte wurde ich erstmal skeptisch. Nachdem sich dann meine Outpost und mein Antivir schloss hatte ich dann Gewissheit das es sich um einen Trojaner handeln müsse. Ich habe dann erstmal meinen Netzstecker gezogen und Antivir durchlaufen lassen, das hat dann wohl auch irgendwas gefunden und gelöscht. Da mein Antivir Guard an war ärgert es mich das Antivir nicht angesprungen ist bevor ich diese Datei anklickte.

Das Problem ist jetzt das sich immer noch Reste davon in meinem System befinden, bzw. weiß ich leider nicht ob der Trojaner quasi noch "handlungsfähig" ist oder nicht. unter Runonce in der Registry sind immer noch Einträge von Programmen die ich gar nicht besitze (ICQ, Kaspersky, obwohl ich ja Antivir habe). Außerdem kommen nach jedem booten Fehlermeldungen wie z.b. "Update.exe wurde nicht gefunden". Update.exe war meines Wissens die infizierte, aber bereits gelöschte Datei.

Meine Frage an euch: Wie kann ich diesen Trojaner restlos entfernen? Antivir und Outpost schließen sich mittlerweile nicht mehr automatisch, kann ich davon ausgehen das der Trojaner diese nicht so modifiziert hat das er wenn diese beiden Programme angeschaltet sind trotzdem funktionieren kann.

Habt vielen Dank für eure Hilfe!

Mit freundlichen Grüßen

PS: Leider weiß ich nicht um welchen Trojaner es sich handelt, allerdings kann ich den genauen Downloadlink nennen, vielleicht kann jemand die Datei durchscannen um zu schauen um welchen Trojaner es sich handelt und dann genau beschreiben wie man ihn entfernt? Wäre das möglich?

Das Logfile von Antivir sollte Dir darüber Auskunft geben können oder such Dir Sophos support knowledgebase einen aus.

Lieber nicht.

Erstelle doch erstmal ein HJT-Log (Anleitung dazu in der FAQ-Sektion). Ich würde allerdings um ein Bier im Nachtcafé wetten, dass ein Vertreter der überall sehr geschätzten RBot- oder SDBot-Familie bei Dir zu Besuch ist.

Hallo!

Danke für die späte Antwort!


Antvir hat folgendes ausgespuckt:

In der Datei 'C:\WINDOWS\system32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/Qhosts.A' [TR/Qhosts.A] gefunden.

Kann damit wer was anfangen?

Vielen Dank & Gruß


PS: Was bedeutet RBOT bzw SBOT? Stecke ich in ernsthaften Schwierigkeiten, oder eher harmlos?

Mach erstmal so ein lustiges HJT-Log. Dann sehen wir schon mal die großen Baustellen und wissen mehr. Qhosts ist nicht unbedingt ein Killer, aber wir wissen ja noch nicht wie es sonst so um Deine Flora und Fauna bestellt ist.

Vielen Dank das du dir die Mühe machst mir zu helfen, das gilt auch für alle anderen die mir helfen möchten.



Logfile of HijackThis v1.99.1
Scan saved at 17:36:36, on 08.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\AGNITU~1.7\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Babylon 5 Pro\Babylon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Treiber\MX 510\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp 5.03\winamp.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
F2 - REG:system.ini: Shell=Explorer.exe msiexec update.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\msiexec update.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum Outpost Firewall 2.7\outpost.exe /waitservice
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon 5 Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum Outpost Firewall 2.7\Plugins\BrowserBar\ie_bar.dll
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITU~1.7\wl_hook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITU~1.7\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Und, System kurz vor der nuklearen Detonation?


Vielen Dank!

Mfg

Allerdings! Das hier
ist grob fahrlässig um es mal ganz vorsichtig auszudrücken. Sollte nach Abschluss der Analyse feststehen, dass Dein System noch in Ordung ist, solltest Du hast-Du-nicht-gesehen das Service Pack 2 für Windows XP inklusive aller nachfolgenden, sicherheitsrelevanten Updates einspielen.
Das Service Pack 2 kannst Du hier herunterladen (am besten auf CD sichern):
Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler

Die nachfolgenden Patches bekommst Du per Windows-Update.

Diese Einträge sind ungewöhnlich, müssen aber nicht zwingend Böses bedeuten.

1. Suche bitte nach Dateien namesn "update.exe" und lasse jeden Fund mit exakt diesem Namen bei VIRUSTOTAL - Free Online Virus and Malware Scan und/oder Online Malware scan scannen. Die vollständigen! Reporte bitte hier posten.

2. Führe bitte einen Scan mit Rootkitrevealer durch und poste das Log hier (während des Scans - Dauer etwa 5 Minuten - nichts! am Computer machen).

3. Führe einen Scan mit Online Viren-Scanner durch.

Hallo

Update Exe war die Datei die mit dem Trojaner infiziert war, ich habe sie mittlerweile gelöscht. Allerdings bekomme ich nach jedem booten noch Fehlermeldungen die besagen "Update.Exe wurde nicht gefunden" etc., kann ich diese beiden Einträge einfach löschen?

Die anderen Sachen werde ich jetzt mal durcharbeiten, danke schonmal.

Ja, fixe sie mit HJT und dieses Problem sollte gelöst sein.

Punkt 1 kann ich leider nicht durchführen da beide Seiten gerade überlastet sind.

Punkt 2.)

HKLM\SECURITY\Policy\Secrets\SAC* 04.09.2001 05:35 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 04.09.2001 05:35 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 04.09.2005 16:16 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341\ProductName 04.09.2005 16:17 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 09.09.2005 22:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}\DisplayName 04.09.2005 16:17 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 02.12.2006 13:18 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 04.01.2007 02:45 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40 03.01.2007 17:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf41 21.09.2006 15:28 0 bytes Hidden from Windows API.
D:\System Volume Information\_restore{D6349A8C-7673-46CF-A730-1D524958367D}\RP58\A0073725.exe 11.07.2005 05:03 390.50 KB Visible in Windows API, but not in MFT or directory index.

Punkt 3.) Weder bei Opera noch bei Firefox passiert etwas wenn ich in dem neuen Fenster auf "Akzeptieren" drücke.

In diesem Fall ist leider der Internet Explorer Dein Freund. Ansonsten schaut es bisher ganz ok aus (nicht perfekt, aber ok). Falls der Scan mit Kaspersky partout nicht funktionieren will, findest Du in unserer FAQ-Sektion eine Anleitung für eScan
http://www.trojaner-board.de/24192-e...en-ab-7-x.html

Hallo

Vielen Dank erstmal!
Bei eScan habe ich ausversehen als Sprache deutsch ausgewählt obwohl das laut der Anleitung unbedingt vermieden werden sollte, ich kann das im nachhinein nicht mehr ändern, was nun?

Ist es wirklich notwendig eScan im abgesicherten Modus und mit abgestellter Systemwiederherstellung durchlaufen zu lassen? Ich habe es jetzt mal normal durchlaufen lassen, welche Auszüge aus der LogFile brauchst du denn?

Gruß

Wieso blos schreiben Leute hier Anleitungen ? :rolleyes:

Lade das Logfile bei Rapidshare.de hoch und schicke mir den Downloadlink per PM.

Hallo Marc

Danke für deine Mühe. eScan hab ich installiert und durchlaufen lassen bevor ich das gelesen hatte, den Blacklight Rootkit Eliminator übrigens auch. eScan hat einiges gefunden, 7 Einträge, es stand auch was von Trojaner dran.

Die Logfile ist gigantisch lang und es scheinen auch mehr Infos drinzustehen als bei HiJackThis, ich hoffe einfach mal ich kann dir vertrauen.

Bei Rapidshare hat es glaube ich für alled ie keine Premium User sind eine Upload Sperre, zumindest war es vor kurzem so. Wenn du mir per PM deine Emailadresse nennst schick ichs dir so.

Vielen Dank

Mfg

Hallo,
ich glaube ja das "chefvon30leuten" nicht wirklich Hilfe will oder braucht...
Wer sich so penetrant jeder Anleitung lesen verweigert,möchte den Trollstempel auf die Stirn gedrückt bekommen...:koch:
Irrlicht

Ein Herz für Trolle
 

Hallo Irrlicht

Ich habe doch geschrieben das ich eScan hab durchlaufen lassen bevor ich die Anleitung zu Gesicht bekam. Und an die Anleitungen von MightyMarc habe ich mich bisher gehalten.

Mfg