Trojanerbefall

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von sebban, 28.08.2008.

  1. sebban

    sebban Benutzer

    Dabei seit:
    08.02.2008
    Beiträge:
    68
    Zustimmungen:
    0
    Seit letztem Montag ist mein Laptop erstunlich langsam geworden (Ursprung könnte eine Videostremseite sein, sofern das möglich ist). Hinzu kommt, dass wenn ich mit google suche nicht die links geöffnet werden auf die ich klicke, sondern stattdessen Werbespamseiten (Handybilderwerbung etc.). Da dies für mich nach Malware befall aussieht, habe ich AVG Antivir durchlaufen lassen. Folgender Befall wurde festgestellt:
    Trojanerwarnung
    • tt.B0.tmp
    • phcp8dj0et81.exe | Downloader.Fraudload.in
    • phcp8dj0et81.scr | Downloader.Fraudload.inbl
    • Sysrest32.exe
    Ich habe die befallenen Dateien dann bereinigen/löschen lassen. Beim nächsten Neustart wurden sie aber nochmal gefunden (Ich schätze sie haben sich im Startup festgesetzt).

    Ich habe davon gehört, dass man den Stareintrag mit Hijackthis entfernen kann. Könnte mir jemand erklären, wie das genau funktioniert? Oder generell wie ich die/den Trojaner wieder loswerden könnte?

    Den Laptop habe ich übrigens vom Internet getrennt damit keine Daten von außen ausgelesen werden können. Ich habe aber die möglichkeit über einen anderen Computer im Haus die entsprechenden Tools runterzuladen.
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 28.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,

    Ccleaner laden und System bereingen.

    Danach mal Logfile von Hijackthis hier posten.
    HJT Anleitung

    Lade dir anschließend Malewarebytes (link in meiner Signatur), ausführen, updaten, alle Funde löschen, Report posten.

    Gruss Leonixx
     
  4. sebban

    sebban Benutzer

    Dabei seit:
    08.02.2008
    Beiträge:
    68
    Zustimmungen:
    0
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:00:04, on 29.08.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    D:\Malwarebytes' Anti-Malware\mbam.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
    O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
    O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
    O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
    O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
    O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [DNP] C:\Programme\Desktop Notepad\Desktop Notepad.exe
    O4 - HKLM\..\Run: [BigDogPath323VMSnap] C:\WINDOWS\VMSnap23.exe
    O4 - HKLM\..\Run: [BigDogPath323Domino] C:\WINDOWS\Domino.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -s
    O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
    O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
    O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: WINAMP (2).LNK = D:\Programme\Winamp\winamp.exe
    O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
    O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\Firewall\cmdagent.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
    O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    --
    End of file - 7893 bytes
     
  5. #4 Leonixx, 29.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Diese beiden Dateien bei Virustotal hochladen und Ergebnis posten. Scheint ein Trojaner zu sein. www.virustotal.com

    C:\Programme\Desktop Notepad\Desktop Notepad.exe

    C:\WINDOWS\system32\sysrest32.exe

    Hast du Malewarebytes schon ausgeführt? Report?
     
  6. sebban

    sebban Benutzer

    Dabei seit:
    08.02.2008
    Beiträge:
    68
    Zustimmungen:
    0
    Hey,
    hier das Ergbenis von Malwarebytes.
    hab es irgendwie nicht hinbekommen, die infizierten Dateien zu entfernen.

    Verbindung zum Internet herstellen funktioniert eher nicht mehr...kann ich die beiden Dateien über einen anderen PC auf der Seite posten oder ist davon eher abzuraten?




    Malwarebytes' Anti-Malware 1.25
    Datenbank Version: 1062
    Windows 5.1.2600 Service Pack 2

    19:19:41 29.08.2008
    mbam-log-08-29-2008 (19-18-59).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 88194
    Laufzeit: 2 hour(s), 5 minute(s), 38 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 6
    Infizierte Registrierungswerte: 2
    Infizierte Dateiobjekte der Registrierung: 2
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 13

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken.

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

    Infizierte Dateiobjekte der Registrierung:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\phcp8dj0et81.bmp (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> No action taken.
     
  7. #6 Leonixx, 30.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
  8. sebban

    sebban Benutzer

    Dabei seit:
    08.02.2008
    Beiträge:
    68
    Zustimmungen:
    0
    Die vorgeschlagenen Programme funktionieren nicht, da der pc aus sicherheitsgründen herunterfährt, sobald man sie startet. Würde es wohl reichen nur C zu formatieren? im Prinzip sind alle wichtigen dateien auf D
     
  9. #8 Leonixx, 31.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. sebban

    sebban Benutzer

    Dabei seit:
    08.02.2008
    Beiträge:
    68
    Zustimmungen:
    0
    Hallo,
    hab jetzt C formatiert und nachträglich alle .exe Dateien van D gelöscht.

    Scheint wieder alles zu funktionieren, bis auf, dass comodo firewall "Trojan.Win32.Patched.m(ID00x4d69a)" unter windows/system32/winlogon.exe findet.

    AVG findet nichts.
     
  12. #10 Leonixx, 03.09.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wenn diese Datei als Trojan.Patched gemeldet wird, dann lade diese bei Virustotal hoch und lasse sie auswerten. Könnte auch ein false positiv sein, was ich eher glaube.
    www.virustotal.com
    windows/system32/winlogon.exe

    Poste bitte nochmal ein HJT Logfile
     
Thema: Trojanerbefall
Besucher kamen mit folgenden Suchen
  1. java agent dnp trojaner

    ,
  2. Trojan.Win32.Patched.lm

    ,
  3. bigdogpath323domino

    ,
  4. rundll stareinträge wo