Trojanerfund, was tun, brauche hilfe Einstellungen

[Gast_Linkin_*]

vorweg : ich kenne mich nicht groß mit computern aus und habe angst was falsch zu machen , bzw mein pc nicht sauber zu kriegen


Also ich hatte gestern abend 2 Meldungen von Antivir das ein Trojaner gefunden wurde , ich habe beide male auf Löschen geklickt

danach habe ich adeware einmal durchlaufen lassen und , hatte der hat so einiges gefunden (hießen , backdoragent, trojanerdownload und so ähnlich) und einige sahen nach registrydatein aus , habe diese sachen gelöscht

heute habe ich nochmal antivir durchlaufen lassen , hat nix mehr gefunden , aber adeware hatte wieder diese dateien gefunden


ich habe kein plan was ich nun machen soll



hier der HiJackThis log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:26, on 03.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
D:\Deamontool\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Neuer Ordner\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Deamontool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [AAW] "D:\adware\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\icq\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\tunedup\WinStylerThemeSvc.exe

--
End of file - 5462 bytes


Der Beitrag wurde von Linkin bearbeitet: 03.10.2007, 10:45

[raman]

Ja, da sind boese, boese Sachen dabei. Nutze ersteinmal combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop

Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.



und stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm

[Smoky]

2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,

ambesten währe es dein system neu aufzusetzten meiner meinung nach.

[Gast_Linkin_*]

autsch

heist das nun da ist nix mehr zu retten ?

[Smoky]

mmh mach erst mal das was raman gesagt hat der ist experte dafür im gegensatz zu mir . evt kann man ja noch was machen

[Gast_Linkin_*]

ok

Antivir sagt mir gleich beim start von Combofix

C:\ComboFix\nircmd.exe

Enthält Signatur der Anwendung APPL/NirCmd.1


was tun ? Ignorieren ?

[raman]

Ja, APPL solltest du generell aus der Erkennung herausnehmen, wie auch in dem Link oben zu lesen ist: "Gefahrenkategorien (Die Option Anwendung(APPL)sollte DEAKTIVIERT bleiben)" Am besten du deaktivierst beim Start von Combofix den Antivir guard

[Gast_Linkin_*]

hier der Log


ComboFix 07-10-03.7 - XTREME SOLDIER 2007-10-03 12:29:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.180 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XTREME SOLDIER\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-03 bis 2007-10-03 ))))))))))))))))))))))))))))))
.

2007-10-03 12:26 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-23 12:30 22,328 --a------ C:\Dokumente und Einstellungen\XTREME SOLDIER\Anwendungsdaten\PnkBstrK.sys
2007-09-22 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\XTREME SOLDIER\Anwendungsdaten\MSN6
2007-09-22 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-09-21 23:52 <DIR> d--hs---- C:\WINDOWS\system32\wsnpoem

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-30 17:39 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-09-25 11:36 --------- d--h----- C:\Programme\InstallShield Installation Information
2003-07-31 11:53 147456 --a--c--- C:\WINDOWS\inf\EL2K_XP.sys
2003-07-31 11:50 448768 --a--c--- C:\WINDOWS\inf\EL2K_N64.sys
2003-07-31 11:43 147456 --a--c--- C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="D:\Deamontool\daemon.exe" [2004-03-12 22:43]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-27 15:17]
"Gtwatch"="C:\WINDOWS\gtwatch.exe" [2000-10-24 19:51]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-12 13:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys
S3 GT680x;Grand Tech GT680x NT;C:\WINDOWS\system32\DRIVERS\GT680x.SYS
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-09-28 16:08:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\tunedup\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-03 12:50:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-03 12:51:02 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-03 12:50
.
--- E O F ---





Nach dem Neustart hat Antivir wieder den Trojaner gefunden,

C:\WINDOWS\system32\ntos.exe

Ist das Trojanische Pferd TR/Spy.ZBot.R



zudem schaltet sich des öfteren meine Firewall aus ...

Der Beitrag wurde von Linkin bearbeitet: 03.10.2007, 11:56

[raman]

Also loeschen der Datei wird nicht das Problem sein, aber bei dem was dieser Backdoor angerichtet hat, siehts schlechter aus. Das scheint eine Banker/Infostealer Variante zu sein. Sprich Passwortwechsel ist angesagt und das am besten schnell von einem sauberen Rechner aus.
Also doch lieber http://www.rokop-security.de/index.php?s=&...st&p=215940

[Gast_Linkin_*]

danke euch für die schnelle hilfe !

okay dann setzt ichs system neu auf , sicher ist sicher


linkin