MerkwÜrdiger Trojaner !

Dieses Thema im Forum "Sicherheit" wurde erstellt von KUHL1337, 18. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. KUHL1337

    KUHL1337 ROM

    Registriert seit:
    18. Februar 2006
    Beiträge:
    6
    Hi Leute , bin hier neu im Forum und brauche echt dringend eure Hilfe. Also ich hab seit neuestem den bzw. die krassesten Trojaner auf meinem PC. Ich habe wirklich alles probiert , von "Antivir" bis hin zu "Kaspersky" , tja und beide haben so bis zu ca. 12000 Viren gefunden !!! ( Welche alle von /C:shared stammen ) , aber keines von diesen Programmen konnte diese Viren entfernen , ich habe noch viel mehr Sachen ausprobiert aber nix hilft und formatieren will ich auch nich wirklich.

    Hier mein HiJackthis log : http://www.hijackthis.de/logfiles/a3764314d4d5fc8c16f563eda6ed1084.html

    Ich bitte ernsthaft um eure Hilfe , ich bi mir sicher ihr kennt euch da aus.

    Danke:bet:
     
  2. Saftschubse

    Saftschubse Byte

    Registriert seit:
    4. Mai 2005
    Beiträge:
    92
    Es wäre mal interessant zu erfahren um welchen Trojaner es sich handelt - was meldet die AV-Software?

    Vielleicht zur Info: http://www.trojaner-info.de/

    Allerdings würde ich bei einem echtem Trojanerbefall die HD formatieren. Hingrund ist einfach, Du kannst nie sicher sein das der Virenscanner diesen auch komplett entfernt und das der erkannte Trojaner nicht evtl. schon Schadfunktionen nachgeladen hat, die (noch) nicht erkannt werden.
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    bist schon der zweite der diese Symptome schlildert. An deinem HijackThis Logfile ist nichts zu erkennen. Poste mal ein Log von Silentrunners und eines von F-Secure Blacklight (wird nach dem Scan automatisch im selben Ordner erstellt fsbl**.txt).



    Grüße Jasager
     
  4. KUHL1337

    KUHL1337 ROM

    Registriert seit:
    18. Februar 2006
    Beiträge:
    6
    Hi , erstens danke ich euch für die raschen Antworten und auch dafür dass ihr mir helft.

    @ Saftschube : leider weiss ich nicht wie der Trojaner heisst , falss es wirklich einer war , denn ich habe letztens einen scann gemacht und du stand auf einmal "WORM" und noch irgendwas.


    @ Jasager : Ich hoffe ich habe die 2 logs richtig ausgeführt :

    F-Secure Blacklight-LOG :

    02/18/06 14:46:15 [Info]: BlackLight Engine 1.0.32 initialized
    02/18/06 14:46:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    02/18/06 14:46:15 [Note]: 7019 4
    02/18/06 14:46:15 [Note]: 7005 0
    02/18/06 14:46:19 [Note]: 7006 0
    02/18/06 14:46:19 [Note]: 7011 1968
    02/18/06 14:46:19 [Note]: 7015 240
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 724
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 784
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 1100
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 1296
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 1364
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 1472
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 1928
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 2432
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: 7015 3224
    02/18/06 14:46:19 [Note]: 7015 5
    02/18/06 14:46:19 [Note]: FSRAW library version 1.7.1015
    02/18/06 14:47:04 [Note]: 7007 0



    Silent Runners-LOG :

    "Silent Runners.vbs", revision 43, http://www.silentrunners.org/
    Operating System: Windows XP SP2
    Output limited to non-default values, except where indicated by "{++}"


    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "LDM" = "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" ["Logitech"]
    "Steam" = ""C:\Programme\Steam\Steam.exe" -silent" ["Valve Corporation"]
    "a-squared" = ""C:\Programme\a-squared\a2guard.exe"" [null data]
    "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "Lexmark X74-X75" = ""C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"" ["Lexmark International, Inc."]
    "LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
    "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
    "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
    "KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
    "{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\msaccrt\Access 97\soa800.dll" [MS]
    "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
    "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
    "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
    "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\a-squared\a2contmenu.dll" [null data]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
    INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

    HKLM\System\CurrentControlSet\Control\Session Manager\
    INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found], [MS], [file not found], [file not found]

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
    INFECTION WARNING! winccf32\DLLName = "winccf32.dll" [file not found]
    INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" [file not found]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
    ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
    TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
    ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
    TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\a-squared\a2contmenu.dll" [null data]
    Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\Dokumente und Einstellungen\SCHPAIKY\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\sstext3d.scr" [MS]


    Startup items in "SCHPAIKY" & "All Users" startup folders:
    ----------------------------------------------------------

    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    "Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]


    Enabled Scheduled Tasks:
    ------------------------

    "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
    "XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" [file not found]


    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000004\LibraryPath = "C:\Programme\NewDotNet\newdotnet7_22.dll" [file not found]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Toolbars

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

    "{2E608F70-C430-4BC5-96F6-608E02EBA5B2}" = "BitComet Toolbar" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll" [null data]

    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

    "{2E608F70-C430-4BC5-96F6-608E02EBA5B2}" = "BitComet Toolbar"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll" [null data]

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    "MenuText" = "Sun Java Konsole"
    "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

    {B863453A-26C3-4E1F-A54D-A2CD196348E9}\
    "ButtonText" = "ICQ Lite"
    "MenuText" = "ICQ Lite"
    "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "Messenger"
    "MenuText" = "Windows Messenger"
    "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


    Miscellaneous IE Hijack Points
    ------------------------------

    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

    Missing lines (compared with English-language version):
    "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

    HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
    HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
    ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
    ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
    kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
    LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
    TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" ["TuneUp Software GmbH"]
    Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


    Print Monitors:
    ---------------

    HKLM\System\CurrentControlSet\Control\Print\Monitors\
    Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + The search for DESKTOP.INI DLL launch points on all local fixed drives
    took 52 seconds.
    + The search for all Registry CLSIDs containing dormant Explorer Bars
    took 7 seconds.
    ---------- (total run time: 84 seconds)
     
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kann in beiden Logs wenig auffällige entdecken. Kannst du noch mal in dem Log von Kaspersky schauen welche Viren gefunden wurden. Übrigens habe ich den Verdacht das es mit deinem Filesharing zusammen hängt (viel. Bitcomet).


    Grüße Jasager
     
  6. KUHL1337

    KUHL1337 ROM

    Registriert seit:
    18. Februar 2006
    Beiträge:
    6
    Ja du hast recht , ich benutze öfters das Programm "Bitcomet" und lade mir öfters Sachen bei ... runter.
    Sollte ich Bitcomet deinstallieren und dann nochmal einen Scann machen ?


    Und in Bezug auf den Kaspersky-Log , den kann ich dir leider nicht geben , weil ich nur die Trial-Version hatte und die ganz zufällig heute abgelaufen ist :aua: :aua: :aua:
    Aber ich kann mich ganz deutlich erinner dass da irgendwas von einem "WORM" stand :bahnhof:
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Als erstes nimmst du mal die Internetseite aus deinem Beitrag raus, es ist nicht erlaubt sie im Forum zu nennen.
    Also ich würde an deiner Stelle das System neu aufsetzen, das die Virus Bezeichnung mit Worm beginnt läßt schon auf einen Backdoor schließen, mit dem man volle Kontrolle über das System übernehmen kann. Da nicht gesagt werden kann was alles verändert wurde ist dein System kompromittiert und sollte nach folgender Anleitung neu aufgesetzt und abgesichert worden. Es scheint als ob du Opfer eines P2P Wurms geworden ist das sollte dir zu denken geben, ausführbare Dateien aus sehr fragwürdigen Quellen haben einfach nichts auf einem sicheren System zu suchen.



    Grüße Jasager
     
  8. KUHL1337

    KUHL1337 ROM

    Registriert seit:
    18. Februar 2006
    Beiträge:
    6
    habe neu formatiert , danke dir für deine hilfe jasager :cool:
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    gute Entscheidung :spitze:
    Hoffe du hast die Anleitung und die weiterführenden Links darin gut durchgelesen, dann sollte soetwas nicht so schnell wieder vorkommen.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen