Hallo Trojaner-Team,
ich hoffe einfach mal, dass mein erster Beitrag hier nicht total in die Hose geht. Wenn da Informationen von mir nicht gegeben wurden oder noch logfiles fehlen, die reiche ich gerne nach.
Also, zur Problembeschreibung.
Auf meinem Laptop scheinen sich mehrere Trojaner zu tummeln. Beim Hochfahren aktivieren sich auf dem Desktop drei Verlinkungen mit den Titeln "Error Cleaner", "Privacy Protector" und "Spyware&Malware Protection." Diese verlinken auf äußerst fragwürdige Seiten, auf denen man sich einen Virenscanner downloaden soll.
Außerdem lassen sich in der Taskleiste nach der Datumsangabe "VIRUS ALERT!" und ein blinkendes Kreuz finden (anscheinend vom System selbst), die darauf hinweisen, dass man Viren im System hat und diese bereinigen sollte.
Des Weiteren poppen ca. alle 2-5 Minuten Fenster auf, die fragen, ob man sein System von Viren reinigen will - wieder mit äußerst merkwürdigen Verlinkungen.
Außerdem versucht der Wurm ca. alle 3 min., die Standartinternetseite des Internet Explorers zu ändern - was bisher von meinem Antivirenprogramm verhindert wurde.
Über den Arbeitsplatz lassen sich die lokalen Festplatten C:/ (Windowspartition) und D:/ nicht mehr aufrufen. Die externe Festplatte scheint jedoch von diesem Schwund nicht betroffen zu sein.
Nun meine Schritte, die ich bisher unternommen habe.
1) Mit McAfee VirusScan mehrmals durchgescannt - es konnten leider keine Viren entdeckt werden
Logfile:
Code:
31.08.2008 23:05:16 Statistik:
31.08.2008 23:05:16 Gescannte Dateien: 69765
31.08.2008 23:05:16 Erkannte Dateien: 0
31.08.2008 23:05:16 Gesäuberte Dateien: 0
31.08.2008 23:05:16 Gelöschte Dateien: 0
31.08.2008 23:05:16 Verschobene Dateien: 0
31.08.2008 23:07:17 Modulversion = 5.3.00
31.08.2008 23:07:17 DAT-Version = 5373
31.08.2008 23:07:17 Anzahl der Virussignaturen in EXTRA.DAT = Kein
31.08.2008 23:07:17 Namen der Viren, die von EXTRA.DAT erkannt werden können= Kein
Mit SUPER AntiSpyware ein paar Mal durchgescannt - folgende Ergebnisse:
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 08/31/2008 at 11:02 PM
Application Version : 4.20.1046
Core Rules Database Version : 3552
Trace Rules Database Version: 1540
Scan type : Complete Scan
Total Scan Time : 02:39:51
Memory items scanned : 449
Memory threats detected : 0
Registry items scanned : 6707
Registry threats detected : 1
File items scanned : 72197
File threats detected : 7
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[2].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt
C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt
Browser Hijacker.Internet Explorer Settings Hijack
HKU\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\Internet Explorer\Main#Start Page [ h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]
Desktop Hijacker.AboutYourPrivacy
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url
Dies scheinen die Störenfriede zu sein - hoffentlich alle.
Ein entfernen der bezeichneten Dateien, sowie ein Bereinigen des Quarantäne-Ordners bringt allerdings nichts - beim Rebooten sind die Dateien wieder an Ort und Stelle.
Die "Windows-Warnungen" sehen übrigens folgendermaßen aus. Bisher hab ich da noch nichts gemacht und hoffe, ich liege damit richtig, dass der Virus und nicht Windows mir die Nachrichten schickt.
[img]
http://img222.imageshack.us/img222/6310/warninggy4.png
[/img]
Da ich mich damit wirklich nicht auskenne, hoffe ich mal auf eure Hilfe. Mit dem Hijack-Logfile konnte ich leider bisher nichts anfangen.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51: VIRUS ALERT!, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LxrJD31s.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DDE4FC8-F5D0-4983-8AE4-E88A06E27A45} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {A0B4FFEA-D466-49A8-9BB0-B7BBD2FCB449} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206113951437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206115840375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O17 - HKLM\System\CCS\Services\Tcpip\..\{620A1774-A125-43CB-99E9-D6FF6A46476B}: NameServer = 172.17.24.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{65198C73-DCF8-4F75-ADF5-9B186590C122}: NameServer = 131.188.24.147,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O17 - HKLM\System\CS2\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O20 - Winlogon Notify: xxyaabaw - xxyaabaw.dll (file missing)
O21 - SSODL: pdoskegl - {305A8ECF-356A-4053-BC3A-F33DE1CED254} - C:\WINDOWS\pdoskegl.dll
O21 - SSODL: rqbmvpso - {9CC8AE1A-7B50-4849-A981-42D344084221} - (no file)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
--
End of file - 10191 bytes
Meine Frage also: Wie bringe ich diese Viren dazu, dauerhaft zu verschwinden? Gibt es vielleicht irgendeinen wirkungsvolleren Remover? Muss ich etwa mein ganzes System neu aufsetzen? Wie ernst ist die Gefahr?
Noch dazu einige Logs
mbr:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
fsbl:
Code:
08/31/08 23:59:35 [Info]: BlackLight Engine 1.0.70 initialized
08/31/08 23:59:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/31/08 23:59:35 [Note]: 7019 4
08/31/08 23:59:35 [Note]: 7005 0
08/31/08 23:59:38 [Note]: 7006 0
08/31/08 23:59:38 [Note]: 7011 232
08/31/08 23:59:38 [Note]: 7035 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:42 [Note]: FSRAW library version 1.7.1024
09/01/08 00:03:48 [Note]: 2000 1012
09/01/08 00:04:14 [Note]: 7007 0
Schon mal im Voraus vielen Dank für eure Hilfe.
Armano
P.S.: Wie gesagt, falls ich noch irgendwas vergessen habe, liefere ich das gerne nach. Hoffe mal, ich hab jetzt nicht allzuviele Fehler gemacht.