Trojaner-Board - Blauer Smilie beim Start

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Blauer Smilie beim Start (https://www.trojaner-board.de/69974-blauer-smilie-beim-start.html)

Blauer Smilie beim Start

Hallo,

beim Start von XP ohne Logo fällt mir schon seit Monaten ein blauer Smilie auf, der für Bruchteile einer Sekunde in der oberen linken Ecke erscheint. Kann das ein Trojaner sein. AVG und Malwarebytes meldet nichts.

Hallo NB3000,

kann sein, poste eine HiJackThis - Logfile.

Grüße
45cl3p1u5

Zitat:

Zitat von 45cl3p1u5 (Beitrag 412921)

Hallo NB3000,

kann sein, poste eine HiJackThis - Logfile.

Grüße
45cl3p1u5

Hallo 45cl..,

dort ist nichts auffälliges zu sehen

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 00:14:34, on 14.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OnlineControl\ocontrol1.1.0.22.exe
C:\Programme\TOPCOM\Common\Topcom_USB_4001g.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\GMER-Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ip-adresse.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ocontrol1.1.0.22] C:\Programme\OnlineControl\ocontrol1.1.0.22.exe
O4 - HKCU\..\Run: [Topcom Wireless Konfigurationstool] C:\Programme\TOPCOM\Common\Topcom_USB_4001g.exe -s
O4 - HKCU\..\Run: [DSL-Manager Application] C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: TurboIRC - {56A7479A-D51F-46da-A6B2-6DE465E39F70} - C:\PROGRA~1\Tools\TurboIRC\T.EXE
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{6852A366-22A6-4B2C-8548-CDF3E201B51C}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\PSSDNSVC.EXE
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

Gruß NB3000

Hallo NB3000,

erscheint der blaue Smiley auch beim Start von Windows XP, wenn Du mit der Original Windows CD startest und in die Wiederherstelungskonsole gehst?
Wenn ja, könnten wir das Problem auf das Bios (evtl. Boot Virus) oder auf einen Fehler der Festplatte reduzieren.

Grüße
45cl3p1u5

Zitat:

Zitat von 45cl3p1u5 (Beitrag 412958)

Hallo ,

das habe ich noch nicht probiert, aber er erscheint auch im abgesicherten Modus. Bei unseren 2 anderen Rechnern im Heimnetz ist das nicht so. Er erscheint mitten beim Start wenn der Cursor oben blinkt kurz danach blinken kurz die LED´s von der Tastatur.

Ich bemerke sonst nichts, keine Fehler, keine Meldungen von Scannern. Es soll einen Pombero-Virus geben der sich so zeigt, aber das würde AVG doch erkennen.

Also so sieht das Ding aus, ein Smilie. Leider etwas unscharf.

http://img18.imageshack.us/img18/173...rsmiliexm2.jpg

Keiner eine Vermutung?

siehe diesen thread

Zitat:

Zitat von NB3000 (Beitrag 413808)

Hallo Alex,

verstehe schon. Ich war auch schon versucht alles neu zu machen, aber ich warte erst mal ab. Ich habe jetzt etliche Sicherheitsupdates installiert, einen Haufen Software deinstalliert und gesäubert, die Scanner melden nichts mehr.

Den PC habe ich jetzt über 6 Jahre ohne eine Störung am laufen gehabt, ohne Virenscanner und sonstwas. An fing das, als ich vor 2 Monaten T-Online 6.0 statt AVM zur Einwahl genutzt habe und dann plötzlich Werbeeinblendungen kamen. Nach Ablauf der 30 Tage Installation von Kaspersky kam dann die Sache mit dem Trojaner hier, der sich bei pppoe-Verbindungen eingeklinkt hat. Seit dem beschäftige ich mich mit Virenbekämpfung. :schmoll:

Gruß NB3000

BataAlexander hat bereits alles gesagt. Mach den Laden endlich platt und fixe den mbr, zB mit mbr.exe. Du hast dir vermutlich eine ITW Variante des bootroots von 2005 reingezogen.

Zitat:

Zitat von DaleCooper (Beitrag 414146)

siehe diesen thread
BataAlexander hat bereits alles gesagt. Mach den Laden endlich platt und fixe den mbr, zB mit mbr.exe. Du hast dir vermutlich eine ITW Variante des bootroots von 2005 reingezogen.

Hallo DaleCooper,

über diesen blauen Smilie wurde schon 2003 berichtet http://www.win-tipps-tweaks.de/forum...dowsstart.html , aber ob das ein Trojaner oder Virus ist weiß keiner. mbr.exe meldet auch nichts.

Ich habe jetzt erst mal 180 Updates für XP installiert.

und Du willst jetzt getreu nach dem Motto: wenn keiner was weiß, renn ich ins Verderben, den Smiley drauf lassen?

Da sag ich nur: "Ich bin weg"

Grüße
45cl3p1u5

P.S.: Wenn Du Dich irrst: Stichwörter - Bankdaten, Interntkrimialität über Deinen Internetanschluss, Ersteigerungen im Internet ...

Zitat:

Zitat von NB3000 (Beitrag 414202)

Ich habe jetzt erst mal 180 Updates für XP installiert.

Kompromittiert bleibt kompromittiert bleibt kompromittert. Das nachträgliche patchen bringt null.

Nichts gefunden heißt nicht: Nichts da! Ich habe eine kleine Demo aufgezeichnet; weder gmer noch kaspersky finden den ndis.sys-patch. Die Demo basiert auf dem alten code von eeye, dort steht der code auch noch zum Download. btw hattest du nachweislich einen rootkit im System.

http://www.file-upload.net/download-...troot.rar.html

Aber du kannst gern weiter frickeln und dich an dem schönen smiley erfreuen.

Zitat:

blue smiley
In your presentation you mention the blue smiley as indicator for the rootkit installation...

About 3 years ago I installed a ring 0 debugger, and then there was a Blue smiley, too.

How old is BootRoot really ?
reply to this message

Posted by dereksoeder () [ip info hidden] - Oct 05 2005, 23:36 (UTC+0)
Re: blue smiley
An ordinary blue smiley is just two consecutive 01h bytes in color text memory -- one for the character (1=smiley) and one for the color (1=blue). Boot driver problems, hardware glitches, and even viruses may cause such a blue smiley to appear.

But don't be fooled by cheap imitations! Our Blue Smiley is actually bright blue (color 9) -- that's 99% more blue intensity than other brands! -- and appears after the "Starting Windows..." bar has filled up, but before any boot drivers execute. But wait, there's more! This Blue Smiley is backed by a 100% Lifetime Guarantee*. If at any time you feel your Blue Smiley has lost its chipper demeanor, simply return the unused portion for a full refund. It's that easy!

* Void where prohibited. Some restrictions apply. Offer may not be available in all areas. We apologize for any inconvenience.

Quelle: http://www.rootkit.com/board.php?thr...=4574&closed=1

Zitat:

Zitat von DaleCooper (Beitrag 414282)

Kompromittiert bleibt kompromittiert bleibt kompromittert. Das nachträgliche patchen bringt null.

Nichts gefunden heißt nicht: Nichts da! Ich habe eine kleine Demo aufgezeichnet; weder gmer noch kaspersky finden den ndis.sys-patch. Die Demo basiert auf dem alten code von eeye, dort steht der code auch noch zum Download. btw hattest du nachweislich einen rootkit im System.

File-Upload.net - bootroot.rar

Aber du kannst gern weiter frickeln und dich an dem schönen smiley erfreuen. Quelle: rootkit.com

Hallo DaleCooper,

es ist gar nicht sicher, ob es überhaupt ein Virus ist, auch deswegen frage ich. Wäre doch Quatsch den Rechner neu aufzusetzen, wenn man nichts über die Ursache weiß. Das gelöschte Rootkit hat mit dem Smilie nichts zu tun. Der andere Rechner, wo der gleiche Trojaner auch drauf war zeigt keinen Smilie.

Den Smilie beobachte ich schon seit Monaten. Kann auch sein, dass er schon Jahre zu sehen war, da man nicht drauf achtet und er nur Bruchteile einer Sekunde sichtbar ist und nur, wenn der Startbildschirm abgeschaltet ist.

Ich muss mich übrigens korrigieren, im abgesicherten Modus ist er nicht da. Es muss wohl mit den Treibern zu tun haben, aber welcher. Einzelstart nach Tastenbdruck ist bei XP nicht möglich.

Zitat:

Zitat von 45cl3p1u5 (Beitrag 414207)

Genauso kann es sein, ich setze alles stundenlang neu auf, spiele alle Treiber und Programme ein und der Smilie ist wieder da, weil er zu einem regulärem Programm gehört.

Ich habe jetzt alle möglichen Scanner und Tools laufen lassen, nichts gefunden bis auf ein paar Cookies. :confused:

Hi NB3000,

Du hast dir wohl einen sogenannten "Fun Virus" eingefangen.
Diese Vieren machen komische sachen wie z.B. dein Smily oder ein anderes Beispiel nähmlich auf w*w.youareanidiot.*rg kommen 3 Smilys mit dem volgenden Text : You are an Idiot! und nervender Musik. Dazu öffnen sich viele PopUps mit den gleichen smilys. auf youareanidiot lädst du dir dazu aber noch nen trojan runter also probiers nich aus :singsing:

Naja aber dein smily ist wohl nicht gefährlich.
Zur Sicherheit lade dir SpyBot runter und scane durch.

Sag mir bescheid wenn sich was tut.

MFG

grandnic11

Hallo nochmal,

Mir war gerade langweilig und ich habe mal gegoogelt.
Es stellte sich heraus das dieses Problem mehrmals auftrat.
Manche baupteten es wäre ein Systemprogramm (Treiber, Programme...)
andere es hätte was mit deiner Hauptplatiene zutun.
Dein LogFile sieht für mich sauber aus :daumenhoc
Ein Trojaner ist es warscheinlich nicht.
Aber auszuschließen ist es nicht.

Sag bescheid wenn sich was regt,

MFG

grandnic11

EDIT

Das bild von deinem "Smily" sieht eher aus wie ein symbol eines Programmes.