Trojanerfund, was tun, brauche hilfe |
Willkommen, Gast ( Anmelden | Registrierung )
Trojanerfund, was tun, brauche hilfe |
Gast_Linkin_* |
03.10.2007, 10:40
Beitrag
#1
|
Gäste |
vorweg : ich kenne mich nicht groß mit computern aus und habe angst was falsch zu machen , bzw mein pc nicht sauber zu kriegen
Also ich hatte gestern abend 2 Meldungen von Antivir das ein Trojaner gefunden wurde , ich habe beide male auf Löschen geklickt danach habe ich adeware einmal durchlaufen lassen und , hatte der hat so einiges gefunden (hießen , backdoragent, trojanerdownload und so ähnlich) und einige sahen nach registrydatein aus , habe diese sachen gelöscht heute habe ich nochmal antivir durchlaufen lassen , hat nix mehr gefunden , aber adeware hatte wieder diese dateien gefunden ich habe kein plan was ich nun machen soll hier der HiJackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:44:26, on 03.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\alg.exe D:\Deamontool\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\gtwatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wbem\wmiprvse.exe D:\Neuer Ordner\HiJackThis202.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Deamontool\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [AAW] "D:\adware\Ad-Aware SE Personal\Ad-Aware.exe" "+b1" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\icq\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\tunedup\WinStylerThemeSvc.exe -- End of file - 5462 bytes Der Beitrag wurde von Linkin bearbeitet: 03.10.2007, 10:45 |
|
|
03.10.2007, 11:05
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ja, da sind boese, boese Sachen dabei. Nutze ersteinmal combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. und stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm -------------------- MfG Ralf
|
|
|
03.10.2007, 11:07
Beitrag
#3
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 705 Mitglied seit: 12.11.2004 Wohnort: nähe Ulm Mitglieds-Nr.: 1.565 Betriebssystem: Win 7 x64 Virenscanner: Online Armor ++ Firewall: Online Armor ++ |
ZITAT 2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, ambesten währe es dein system neu aufzusetzten meiner meinung nach. |
|
|
Gast_Linkin_* |
03.10.2007, 11:16
Beitrag
#4
|
Threadersteller Gäste |
autsch
heist das nun da ist nix mehr zu retten ? |
|
|
03.10.2007, 11:18
Beitrag
#5
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 705 Mitglied seit: 12.11.2004 Wohnort: nähe Ulm Mitglieds-Nr.: 1.565 Betriebssystem: Win 7 x64 Virenscanner: Online Armor ++ Firewall: Online Armor ++ |
mmh mach erst mal das was raman gesagt hat der ist experte dafür im gegensatz zu mir . evt kann man ja noch was machen
|
|
|
Gast_Linkin_* |
03.10.2007, 11:24
Beitrag
#6
|
Threadersteller Gäste |
ok
Antivir sagt mir gleich beim start von Combofix C:\ComboFix\nircmd.exe Enthält Signatur der Anwendung APPL/NirCmd.1 was tun ? Ignorieren ? |
|
|
03.10.2007, 11:26
Beitrag
#7
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ja, APPL solltest du generell aus der Erkennung herausnehmen, wie auch in dem Link oben zu lesen ist: "Gefahrenkategorien (Die Option Anwendung(APPL)sollte DEAKTIVIERT bleiben)" Am besten du deaktivierst beim Start von Combofix den Antivir guard
-------------------- MfG Ralf
|
|
|
Gast_Linkin_* |
03.10.2007, 11:55
Beitrag
#8
|
Threadersteller Gäste |
hier der Log
ComboFix 07-10-03.7 - XTREME SOLDIER 2007-10-03 12:29:33.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.180 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\XTREME SOLDIER\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-09-03 bis 2007-10-03 )))))))))))))))))))))))))))))) . 2007-10-03 12:26 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-23 12:30 22,328 --a------ C:\Dokumente und Einstellungen\XTREME SOLDIER\Anwendungsdaten\PnkBstrK.sys 2007-09-22 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\XTREME SOLDIER\Anwendungsdaten\MSN6 2007-09-22 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6 2007-09-21 23:52 <DIR> d--hs---- C:\WINDOWS\system32\wsnpoem . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-30 17:39 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-09-25 11:36 --------- d--h----- C:\Programme\InstallShield Installation Information 2003-07-31 11:53 147456 --a--c--- C:\WINDOWS\inf\EL2K_XP.sys 2003-07-31 11:50 448768 --a--c--- C:\WINDOWS\inf\EL2K_N64.sys 2003-07-31 11:43 147456 --a--c--- C:\WINDOWS\inf\EL2K_2K.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools-1033"="D:\Deamontool\daemon.exe" [2004-03-12 22:43] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-27 15:17] "Gtwatch"="C:\WINDOWS\gtwatch.exe" [2000-10-24 19:51] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-12 13:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 nwprovau [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys S3 GT680x;Grand Tech GT680x NT;C:\WINDOWS\system32\DRIVERS\GT680x.SYS S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys . Inhalt des "geplante Tasks" Ordners "2007-09-28 16:08:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - D:\tunedup\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-03 12:50:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-03 12:51:02 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-10-03 12:50 . --- E O F --- Nach dem Neustart hat Antivir wieder den Trojaner gefunden, C:\WINDOWS\system32\ntos.exe Ist das Trojanische Pferd TR/Spy.ZBot.R zudem schaltet sich des öfteren meine Firewall aus ... Der Beitrag wurde von Linkin bearbeitet: 03.10.2007, 11:56 |
|
|
03.10.2007, 12:06
Beitrag
#9
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Also loeschen der Datei wird nicht das Problem sein, aber bei dem was dieser Backdoor angerichtet hat, siehts schlechter aus. Das scheint eine Banker/Infostealer Variante zu sein. Sprich Passwortwechsel ist angesagt und das am besten schnell von einem sauberen Rechner aus.
Also doch lieber http://www.rokop-security.de/index.php?s=&...st&p=215940 -------------------- MfG Ralf
|
|
|
Gast_Linkin_* |
03.10.2007, 12:14
Beitrag
#10
|
Threadersteller Gäste |
danke euch für die schnelle hilfe !
okay dann setzt ichs system neu auf , sicher ist sicher linkin |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 24.06.2024, 06:48 |