Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte um Rat zu Trojaner. (https://www.trojaner-board.de/35663-bitte-um-rat-trojaner.html)

Pathos 24.01.2007 20:18
Bitte um Rat zu Trojaner.
 
Seit einiger Zeit macht mir mein PC ziemliche Sorgen.
Ich habe mir einen Trojaner eingefangen.
Konnte ihn schon lokalsieren jedoch nicht entfernen, auch nicht im Abgesicherten modus.
Habe die datei dann von virustotalscan überprüfen lassen.
Mit diesem Ergebnis:

Complete scanning result of "rege2usb.dll", received in VirusTotal at 01.24.2007, 17:02:15 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.24.2007 BDS/Haxdoor.GJ.1
Authentium 4.93.8 01.23.2007 W32/Trojan.OEM
Avast 4.7.936.0 01.24.2007 Win32:Goldun-FK
AVG 386 01.23.2007 PSW.Generic2.PBX
BitDefender 7.2 01.24.2007 Generic.Malware.SFYdlwdld.155A6060
CAT-QuickHeal 9.00 01.24.2007 no virus found
ClamAV devel-20060426 01.24.2007 no virus found
DrWeb 4.33 01.24.2007 Trojan.PWS.GoldSpy
eSafe 7.0.14.0 01.23.2007 no virus found
eTrust-InoculateIT 23.73.121 01.24.2007 Win32/Haxdoor.6ef!DLL!Trojan
eTrust-Vet 30.3.3347 01.24.2007 Win32/Starimp!generic
Ewido 4.0 01.24.2007 Logger.Goldun.nj
Fortinet 2.85.0.0 01.24.2007 W32/Goldun.NJ!tr.spy
F-Prot 3.16f 01.23.2007 destructive program named W32/Trojan.OEM
F-Prot4 4.2.1.29 01.23.2007 W32/Trojan.OEM
Ikarus T3.1.0.27 01.24.2007 Trojan-Spy.Win32.Goldun
Kaspersky 4.0.2.24 01.24.2007 Trojan-Spy.Win32.Goldun.nj
McAfee 4947 01.23.2007 no virus found
Microsoft 1.1904 01.24.2007 TrojanSpy:Win32/Goldun.gen!dll
NOD32v2 2002 01.24.2007 a variant of Win32/Spy.Goldun.GU
Norman 5.80.02 01.24.2007 W32/Haxdoor.BAW
Panda 9.0.0.4 01.24.2007 Suspicious file
Prevx1 V2 01.24.2007 no virus found
Sophos 4.13.0 01.24.2007 Troj/Haxdor-Fam
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.155 01.24.2007 Trojan/Spy.Goldun.nj
UNA 1.83 01.24.2007 Trojan.Spy.Win32.Goldun.C0F7
VBA32 3.11.2 01.23.2007 suspected of Malware.Agent.40
VirusBuster 4.3.19:9 01.23.2007 TrojanSpy.Goldun.OJ

Aditional Information
File size: 20239 bytes
MD5: af441e157cfd893ed42e06e9bf683248
SHA1: 72e3ece26cdf029a5270bbb13dfc548db3f85298
packers: UPX
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Ich habe keine Ahnung wie ich HJT als Link hinterlege also kopiere ich den logfile hier rein.
Der scan hat Folgendes ergeben:

Logfile of HijackThis v1.99.1
Scan saved at 17:21:34, on 24.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\wpmgpro.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Creative\Bluetooth Software\BTTray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Creative\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Creative\Bluetooth Software\bin\btwdins.exe
D:\feel good\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\feel good\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Windows Control] wpmgpro.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe
O4 - HKLM\..\RunServices: [Windows Control] wpmgpro.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [WinInit] "C:\DOKUME~1\"Realname"\LOKALE~1\Temp\453051.exe "
O4 - HKCU\..\Run: [WinUpdate] "C:\DOKUME~1\"realname"\LOKALE~1\Temp\453241.exe "
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [Windows Control] wpmgpro.exe
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKCU\..\Run: [ÑÒFÌÎN.EXE] C:\WINDOWS\ÑÒFÌÎN.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Fake\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Creative\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Fake\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Fake\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Creative\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Creative\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: rege2usb - C:\WINDOWS\SYSTEM32\rege2usb.dll
O21 - SSODL: ExfyfAJy - {25450FE9-8FEF-A543-E04C-DF225C388AC6} - C:\WINDOWS\System32\ryen.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Creative\Bluetooth Software\bin\btwdins.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000273 (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\icf.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\feel good\iPod\bin\iPodService.exe

Würde mich über Hilfe bei der Auswertung sehr freuen!
Ich habe schon über diese Art Trojaner gelesen jedoch wurde stets nur ein neu Aufsetzen des Systems empfohlen. Das wäre jedoch sehr schmerzhaft da ich nur USB1 habe und die Datensicherung somit sehr schwierig werden würde.
Ich hoffe das es eine ander Lösung gibt!

Über ratschläge würde ich mich SEHR freuen!!!
MfG

Sunny 24.01.2007 21:36
Hallo. :)

Kurz und knapp gesagt, hier hilft nur noch eine Neuinstallation!

Das System ist Kompromittiert, und keine Bereinigung mehr möglich.

Wurm
Trojan.Abwiz.F-Rootkit
W32/Brontok-BB
Troj/Goldun-T

und noch vieles mehr... :dummguck:

Zitat:
Zitat von Schaden
* Stiehlt Kreditkarten-Daten
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung
* Hinterlässt nicht infizierte Dateien auf dem Computer
Gruß
Sunny

Pathos 24.01.2007 21:58
Nun ja.:headbang:
ich wills mal so ausdrücken.
Vielen dank für diese schlechte Nachricht.
Manche Äpfel sind Sauer aber dennoch sind sie Gesund.
Ich hoffe das dieser F*#% mir nicht noch später Ärger bereitet.
In diesem Sinne bis im neuen System.
MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:09 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129