Trojaner an Bord - HJT/Adaware/Spybot machtlos?!
 

Guten Tag zusammen!

Ich habs hier offensichtlich mit nem absolut hartnäckigen Feind zu tun, der einfach nicht zu entfernen zu sein scheint - vielleicht kann mir ja jemand helfen, da ich ein Neuaufsetzen von Windows XP absolut vermeiden möchte...


HJT-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:28:00, on 08.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
D:\PROGRA~1\AVG-GR~1\avgcc.exe
D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
D:\PROGRA~1\AVG-GR~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Programme\RealVNC\VNC4\WinVNC4.exe
D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE
D:\Programme\opera\Opera.exe
D:\Programme\AVG-Grisoft\avgwb.dat
D:\Programme\AVG-Grisoft\avgvv.exe
D:\Download\Safety\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVG-GR~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero-Ahead\Nero BackItUp\NBJ.exe"
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG-GR~1\avgemc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



Spybot erkennt das hier:

Win32.Agent.pz: Settings (Registry value, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Win32.Agent.pz: Program directory (Directory, nothing done)
C:\WINDOWS\system32\wsnpoem\


--> Schau ich dann in der Registry (via Spybot) nach - unter:
Hkey_Local_Machine\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon

sieht dieser Schlüssel "UserInit" so aus:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Manuelle Änderung in in
C:\WINDOWS\system32\userinit.exe,

ist dann leider auch nach einem Neustart nicht erfolgreich, die Datei scheint sich einfach nicht entfernen zu lassen...:headbang:



Adaware zeigt mir an:

WIN32.BACKDOOR.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=RegValue : .DEFAULT\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"
obj[3]=RegValue : S-1-5-18\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"

WIN32.TROJANDOWNLOADER.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}"
obj[5]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{02ffac45-0b10-5633-4296-1801f1a36678}"
obj[6]=RegValue : .DEFAULT\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"
obj[7]=RegValue : S-1-5-18\\software\microsoft\windows\currentversion\explorer "{f710fa10-2031-3106-8872-93a2b5c5c620}"

Und mein AVG7.5 erkennt diverse Trojaner (PSW.Generic5.KFK, DownloaderAgent.RPX) immer wieder - beinahe bei jedem Scan, entweder neue oder die selben...ebenso wie adaware & spybot.

Nach diversen Recherchen im Netz hatte ichs davor u.a. mit SmitfraudFix (hat mir schonmal aus der Patsche geholfen) - leider erfolglos:

SmitFraudFix v2.215

Scan done at 3:14:02,79, 08.09.2007
Run from D:\Download\Safety\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
D:\PROGRA~1\AVG-GR~1\avgamsvr.exe
D:\PROGRA~1\AVG-GR~1\avgupsvc.exe
D:\PROGRA~1\AVG-GR~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\totalcommander\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hanonvt.ini FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{419FA5AA-2BB9-4F06-9826-FFADA0AC4D44}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{927F91D5-D0F2-4D2B-B26F-3868557D6F02}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Zwar ist mein Kampfgeist noch nicht erloschen (:kloppen:), aber so langsam gehen mir die tools aus, v.a. da ich nicht so der PC-Spezialist bin - weiß also jemand Rat? Wie gesagt, Neuaufsetzen will ich vermeiden...

Vielen Dank schon mal im Voraus für jede Hilfe!!!

Hallo

du wirst um ein Neuaufsetzen wohl nicht herum kommen, zum ersten ist dein Betriebssystem veraltet es fehlt dir mindestens das Servicepack 2 und zum zweiten sind auf deinem System eine Backdoor sowie ein weiterer Schädling unterwegs der weitere Schädlinge nachladen kann wenn ich mich nicht täusche.

Ich rate dir besorge dir das Servicepack 2 von einem Kumpel auf CD und setze die Kiste nach dieser Anleitung neu auf
Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation auch alle deine Pass/Kennwörter.

MFG

Danke für die Antwort.
SP2 hab ich wieder runtergenommen, weil das irgendwie nicht passen wollte, der Rechner nur am Rumzicken war & diverse Sachen einfach nicht liefen...

Aber es scheint jetzt zumindest so zu sein, dass ich die Kollegen Trojaner losgeworden bin (3x auf Holz geklopft!!!) - hab heute 2x nen escan gemacht & die aufgespürten Schad-Files per Killbox gelöscht...spybot & Freunde melden mir mittlerweile keine Schädlinge mehr & die Registry scheint auch wieder befreit zu sein...hat zwar Ewigkeiten gedauert, aber bin wohl ums Neuaufsetzen rum gekommen...aber hartnäckig war er, der Win32Agent.pz...

Nochmals Danke für die schnelle Antwort.

Aus meiner Sicht überhaupt nicht!
Du warst kompromittiert, da hilft es nichts, die Server der Backdoors zu löschen, weil du nicht weisst, welche Backdoors noch geöffnet wurden!
Also ran ans Neuaufsetzen!
Mfg