Bitte anschauen! Habe null Ahnung... Einstellungen

[Hallodri]

Hallo Leute,

ich habe mit AntiVir den Trojaner TR/PoeBot.AR auf meinem Computer gefunden. Habe die Datei gelöscht. Ich würde nun gern wissen, ob der Trojaner bereits aktiv war und was ich tun muss, wenn ja. Ich bitte Euch, mein HijackThis Log durchzuschauen (auch wenn es das 1000ste ist ;-)) und mir Tipps zu geben:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:17:28, on 19.12.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\Users\Christel\Christel\HiJackThis.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nigeria-forum.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uni-potsdam.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;127.0.0.1;*uni-potsdam.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Tunebite] C:\Program Files\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\Program Files\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader...ache=20071128-1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\COMMON~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

--
End of file - 9060 bytes


Ich bin für jeden Hinweis sehr dankbar, da ich wirklich null Ahnung habe.

Lg
Hallodri

[Voyager]

Im Log ist keine Infektion zu sehen allerdings solltest du alle deine Passwörter im Internet schnell ändern da in der Malware-Beschreibung drinn steht das dieser Bot Daten vom Computer stielt.

Interesannt wäre zu wissen Wo das AV-Programm die Infektion gefunden hatte und welche Einstellungen du am Vista vorgenomm hast um feststellen zu können ob die Malware jemals Aktiv war.

Der Beitrag wurde von bond7 bearbeitet: 19.12.2007, 00:48

[BataAlexander]

Wo wurde die Infektion gefunden? Wie Bond schon sagte, Passwörter ändern, wobei wenn der Bot aktiv war, würde ich die Installation neu machen.
Dann fällt mir noch auf das Du McAfee und AntiVir verwendest. Ein AV Programm reicht, zwei behindern sich des öfteren auch gern.
Da Du schon Open Office verwendest, solltest Du auch von der ICQ Software auf Miranda oder gaim umsteigen.
Wir können es mal hiermit versuchen

tcpview

1. Das Programm tcpview herunterladen und auf dem Desktop entpacken.
2. Im Ordner tcpview die Datei tcpview.exe starten.
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

[kiebitz]

Hallo(Dri), vorweg, ich bin auch nur Laie,
schau mal <hier> es kommt wohl drauf an, wo der PoeBot sich eingenistet hat.

Hast du auch ein ein AnitSpywaretool auf dem Rechner? Würde jenes auch noch mal drüberlaufen lassen, zb.a-squared Free und/oder <SpyBot>

Der Beitrag wurde von kiebitz bearbeitet: 19.12.2007, 07:25

[Hallodri]

Erstmal danke für die Antworten. Der Trojaner wurde in kmd.exe gefunden. Laut Google eine Kazaa-Datei. Ich habe vor vier Jahren, als ich noch meinen alten Rechner hatte, einmal versucht, Kazaa zu installieren. Davon ist bestimmt die kmd.exe. Da die Installation damals nicht klappte, hab ich es auf sich beruhen lassen. Das Dumme ist nur, dass ich jetzt auf den neuen Computer meine alten Verzeichnisse aufgespielt habe und dabei die kmd.exe wieder drauf habe. Da wusste ich noch nicht, dass die schädlich war. Jetzt würde mich mal interessieren, da ich erst seit ca. 2 Jahren wieder Internet habe, ob der Trojaner seit damals überhaupt noch aktiv ist. Schließlich liegen zwischen dem Datum der Erstellung der Datei kmd.exe und dem Wiedereinstieg ins Netz 2-3 Jahre. Ruht der Trojaner in dieser Zeit und wird dann wieder aktiv, trotz Web-Pause und Einsatz eines neuen Computers?

Außerdem soll dieser Trojaner ja Backdoor-Funktionen haben (ich glaub, das heißt so). Kann man an dem Log sehen, ob er sowas bei mir eingerichtet hat? Was sind denn typische Anzeichen eines Computerbefalls mit diesem Trojanertypen, also typische Zeichen von Aktivität?

@BataAlexander:

Danke für den Link, ich mach das gleich und stell das Log dann nochmal ein. Mc Afee war schon vorinstalliert. Ich mag es aber nicht, finde AntiVir besser. Kann ich McAfee bedenkenlos deinstallieren? Ich meine, bleibt dann die Firewall erhalten?

@Kiebitz:
Ich hab denk ich kein Anti-Spyware-Tool. Ich hab glaube mal gelesen, dass sowas wenig sinnvoll ist, kann das aber nicht beurteilen. Danke für den Link.

@Bond7:
Ich habe eigentlich keine Einstellungen vorgenommen bei Vista, zumindest nicht bewusst. Ich bin aber leider auch chronisch ahnugslos, was das angeht. Wie gesagt, der Trojaner war in kmd.exe in einem meiner Verzeichnisse. Und bringt es wirklich etwas, die Passwörter zu ändern, wenn ich nichtmal weiß, ob der Trojaner noch aktiv ist? Ich meine, die neuen würden dann ja auch wieder ausgespäht, oder?

[Voyager]

Das Dumme ist nur, dass ich jetzt auf den neuen Computer meine alten Verzeichnisse aufgespielt habe und dabei die kmd.exe wieder drauf habe.

Jetzt würde mich mal interessieren, da ich erst seit ca. 2 Jahren wieder Internet habe, ob der Trojaner seit damals überhaupt noch aktiv ist.

Nein.

Schließlich liegen zwischen dem Datum der Erstellung der Datei kmd.exe und dem Wiedereinstieg ins Netz 2-3 Jahre. Ruht der Trojaner in dieser Zeit und wird dann wieder aktiv, trotz Web-Pause und Einsatz eines neuen Computers?

Wie gesagt , du hast nur die Sachen rüberkopiert und Nie doppelgeklickt , somit dürfte die aktuelle Partition auch nicht betroffen sein.

Und bringt es wirklich etwas, die Passwörter zu ändern, wenn ich nichtmal weiß, ob der Trojaner noch aktiv ist? Ich meine, die neuen würden dann ja auch wieder ausgespäht, oder?

Hat sich erledigt.

[Hallodri]

Hier das TcpView-Log. Ich hoffe, ich habe alles richtig gemacht.:

ICQ.exe:4000 TCP Oscar:49176 Oscar:0 LISTENING
ICQ.exe:4000 UDP Oscar:49203 *:*
iexplore.exe:5824 UDP Oscar:49204 *:*
lsass.exe:632 TCP Oscar:49156 Oscar:0 LISTENING
lsass.exe:632 TCPV6 oscar:49156 oscar:0 LISTENING
McNASvc.exe:1656 TCP Oscar:6646 Oscar:0 LISTENING
McNASvc.exe:1656 UDP oscar.stud.uni-potsdam.de:6646 *:*
services.exe:620 TCP Oscar:49158 Oscar:0 LISTENING
services.exe:620 TCPV6 oscar:49158 oscar:0 LISTENING
svchost.exe:1036 TCP Oscar:49153 Oscar:0 LISTENING
svchost.exe:1036 TCPV6 oscar:49153 oscar:0 LISTENING
svchost.exe:1128 TCP Oscar:49155 Oscar:0 LISTENING
svchost.exe:1128 UDP Oscar:isakmp *:*
svchost.exe:1128 UDP Oscar:ipsec-msft *:*
svchost.exe:1128 TCPV6 oscar:49155 oscar:0 LISTENING
svchost.exe:1128 UDPV6 oscar:500 *:*
svchost.exe:1292 TCP Oscar:49154 Oscar:0 LISTENING
svchost.exe:1292 UDP Oscar:ntp *:*
svchost.exe:1292 UDP Oscar:ssdp *:*
svchost.exe:1292 UDP oscar.stud.uni-potsdam.de:ssdp *:*
svchost.exe:1292 UDP Oscar:49221 *:*
svchost.exe:1292 TCPV6 oscar:49154 oscar:0 LISTENING
svchost.exe:1292 UDPV6 oscar:123 *:*
svchost.exe:1292 UDPV6 [0:0:0:0:0:0:0:1]:1900 *:*
svchost.exe:1292 UDPV6 [fe80:0:0:0:1462:37a0:72a6:b0a1]:1900 *:*
svchost.exe:1292 UDPV6 [fe80:0:0:0:68fa:242e:1ef:eee2]:1900 *:*
svchost.exe:1292 UDPV6 [fe80:0:0:0:b4cd:3bd8:da31:a49f]:1900 *:*
svchost.exe:1292 UDPV6 [0:0:0:0:0:0:0:1]:49220 *:*
svchost.exe:1480 UDP Oscar:llmnr *:*
svchost.exe:1480 UDPV6 oscar:5355 *:*
svchost.exe:888 TCP Oscar:epmap Oscar:0 LISTENING
svchost.exe:888 TCPV6 oscar:135 oscar:0 LISTENING
System:4 TCP oscar.stud.uni-potsdam.de:netbios-ssn Oscar:0 LISTENING
System:4 UDP oscar.stud.uni-potsdam.de:netbios-ns *:*
System:4 UDP oscar.stud.uni-potsdam.de:netbios-dgm *:*
System:4 TCPV6 oscar:445 oscar:0 LISTENING
System:4 TCPV6 oscar:5357 oscar:0 LISTENING
wininit.exe:576 TCP Oscar:49152 Oscar:0 LISTENING
wininit.exe:576 TCPV6 oscar:49152 oscar:0 LISTENING

[Hallodri]

@Bond7:

Auf dem neuen Computer habe ich die Datei definitiv nicht doppelgeklickt, auf dem alten aber vielleicht schon. Aber offenbar ist das wohl unerheblich. Also kann ich davon ausgehen, dass der Trojaner auf meinem neuen Computer nicht aktiv war, weil ich kmd nicht versucht habe, zu installieren? Auch trotz der Tatsache, dass AntiVir ihn in kmd exe noch gefunden hat?

[diddsen]

so wie ich das sehe hat antivir eben was erkannt beim rüberkopieren und da du es nicht ausgeführt hast ist alles in ordnung!
es ist nichts passiert.

ob diese kmd.exe natürlich jetzt wirklich infiziert ist lassen wir mal dahingestellt
antivir macht viele fales positives, wie alle ja wissen und deswegen zweifle ich erst mal diesen fund an;-)
kürzlich hat antivir sogar everest.exe bei mir angzeigt...tztz...klar everest kann gefährlich werden

am besten bei einer onlineprüfseite wie z.b.
http://virusscan.jotti.org/de/
oder
http://www.virscan.org/
hochladen und schauen wieviele was finden.

[Hallodri]

Also die Datei kann ich ja nicht mehr dort hochladen, weil ich sie gelöscht habe, statt sie in die Quarantäne zu verschieben . Oder gibt es da noch einen Weg?

[diddsen]

Also die Datei kann ich ja nicht mehr dort hochladen, weil ich sie gelöscht habe, statt sie in die Quarantäne zu verschieben . Oder gibt es da noch einen Weg?

tja, weg is weg

also hat antivir die von deiner quelle gelöscht, dann ist sie definitv weg...schade, hätt mich jetzt schon interessiert.