Trojanerproblem

#1 Hallo zusammen,

mein McAfee Antivirus-Programm hat zwei Trojaner ausfindig gemacht, die es nicht löschen kann. Ich bin nicht keinesfalls ein Computerversteher und bitte daher um Hilfe.

Es handelt sich um zwei Dateien, namens
-Exploit-CodeBase.gen
-JS/Keylog-Briss.ldr

HijackThis sagt dazu:

Logfile of HijackThis v1.98.0
Scan saved at 12:22:11, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\NVATray.exe
D:\Programme\Antivirus\SHSTAT.EXE
D:\Programme\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ywqeor.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\Common Framework\FrameworkService.exe
D:\Programme\Antivirus\Mcshield.exe
D:\Programme\Antivirus\VsTskMgr.exe
D:\PROGRA~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
c:\programme\180solutions\msbb.exe
E:\Eigene Dateien\Downloads\HiJackThis_Last.exe
C:\WINDOWS\System32\winupdt.exe
D:\PROGRA~1\T-ONLI~1.0\BSW4\ToDuCAlC.EXE
d:\progra~1\t-onli~1.0\browser\browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=153164
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=153164
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=153164
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=153164
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ginstall.corpsument.net/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Antivirus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKLM\..\Run: [nhusdlyz] C:\WINDOWS\System32\ywqeor.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [wfwvsjmv] C:\WINDOWS\wfwvsjmv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "D:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - AppInit_DLLs: NVDESK32.DLL

Hilfe!!!!!!!!!!!

Was soll ich tun???

#2 @Foxman

Du hast dir einige malware eingefangen

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

McAfee updaten

Geh in den Abgesicherten Modus von Win XP

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=153164
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=153164
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=153164
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=153164
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKLM\..\Run: [nhusdlyz] C:\WINDOWS\System32\ywqeor.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [wfwvsjmv] C:\WINDOWS\wfwvsjmv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe

Dann mit Escan scannen

Mit McAfee die ganze Festplatet scannen
Das dauert eine Weile

Dann normalen neustart machen und nochmal HiJackThis Logfile Posten

Schick bitte das Logfile von Escan gezippt an
mike_hangover@gozomail.com (Meine FakeEMail)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Ok, bin gerade dabei. Hab aber noch ein paar Fragen:

- Escan hab ich jetzt und gescannt hab ich auch schon im Vorfeld.
Aber löscht er die Dateien von selbst oder muß ich noch was tun?
Und wie kann ich das Logfile versenden?

- Bevor ich in den abgesicherten Bereich gehe, soll ich da die Systemwiederherstellung deaktivieren oder nicht?

- Bin ich dann in Zukunft eigentlich vor diesem Schei.. geschützt oder wie schütze ich mich?

Gruß Foxman

#4

Zitat

Foxman postete
Ok, bin gerade dabei. Hab aber noch ein paar Fragen:

- Escan hab ich jetzt und gescannt hab ich auch schon im Vorfeld.
Aber löscht er die Dateien von selbst oder muß ich noch was tun?
Und wie kann ich das Logfile versenden?

Einfach das Logfile suchen und an eine Email anhängen

Zitat

- Bevor ich in den abgesicherten Bereich gehe, soll ich da die Systemwiederherstellung deaktivieren oder nicht?

Kannste machen , hätte man aber auch später machen können
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Zitat

- Bin ich dann in Zukunft eigentlich vor diesem Schei.. geschützt oder wie schütze ich mich?
Gruß Foxman

Geschützt bist du leider nie. Man kann nur Verhaltensmaßregeln beachten.
Die Tools hier löschen nur den "Dreck", den du schon auf dem Rechner hast.

Schutz
1. Virenscanner aktuell halten
2. WIndows immer updaten
3. Firewall
4. NICHT DEN INTERNET EXPLORER BENUTZEN, opera oder firefox benutzen
5. Beim surfen nicht jede "ominöse" Seite anwählen
6. Bei EMails aufpassen
7. Nicht jede Software aus dem Netz installieren. Besonders aufpassen bei FileSharingProgs. Immer erstmal informieren!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Danke für die Tips!!!

Ich versuch es jetzt mal und melde mich dann später nochmal.

Gruß Foxman

#6

Zitat

Foxman postete
Danke für die Tips!!!

Ich versuch es jetzt mal und melde mich dann später nochmal.

Gruß Foxman

Alles Klar
Viel Glück

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Hey Paff,

Ich habe alles erledigt glaube ich. Schau Dir bitte nochmal meinen Bericht von HiJackThis an. Stimmt jetzt alles???

Logfile of HijackThis v1.98.0
Scan saved at 15:45:43, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\NVATray.exe
D:\Programme\Antivirus\SHSTAT.EXE
D:\Programme\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\Common Framework\FrameworkService.exe
D:\Programme\Antivirus\Mcshield.exe
D:\Programme\Antivirus\VsTskMgr.exe
C:\WINDOWS\System32\wuauclt.exe
E:\Eigene Dateien\Downloads\HiJackThis_Last.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ginstall.corpsument.net/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Antivirus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - AppInit_DLLs: NVDESK32.DLL


Ach ja, den Logfile von Escan hab ich immernoch nicht gefunden. Wie müßte die Datei denn aussehen oder heißen?

Gruß Foxman

#8 @Foxman
Ein wichtiger ist noch drin
O4 - HKCU\..\Run: [Microsoft Ethernet Driver] EtherDrv.exe
Bitte in HiJackThis fixen

Dann dieses noch Fixen
Nur der Schönheit wegen
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Diese sind völlig unnötig, also auch fixen
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Zitat

Ach ja, den Logfile von Escan hab ich immernoch nicht gefunden. Wie müßte die Datei denn aussehen oder heißen?

In welches Verzeichnis hast du Escan installiert?
Dort müßte eine Datei namens *.log irgendwo sein!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 So Paff, hab alles erledigt. Die Datei habe ich auch endlich gefunden. Warum hab ich die eigentlich weggeschickt?

Schau nochmal mein HiJackThis an. Gut so???

Logfile of HijackThis v1.98.0
Scan saved at 16:56:20, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\NVATray.exe
D:\Programme\Antivirus\SHSTAT.EXE
D:\Programme\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\Common Framework\FrameworkService.exe
D:\Programme\Antivirus\Mcshield.exe
D:\Programme\Antivirus\VsTskMgr.exe
C:\WINDOWS\system32\ntvdm.exe
D:\PROGRA~1\T-ONLI~1.0\BSW4\ToDuCAlC.EXE
d:\progra~1\t-onli~1.0\browser\browser.exe
E:\Eigene Dateien\Downloads\HiJackThis_Last.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ginstall.corpsument.net/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Antivirus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E1EA4DC-8EB2-4F53-9AFF-2ABB68804D4A}: NameServer = 217.237.150.33 194.25.2.129
O20 - AppInit_DLLs: NVDESK32.DLL

#10 Du kannst noch das Fixen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

no file bedeute, dass die Datei nicht mehr vorhanden ist, kann also getrost gefixt werden....
MFG
DAFRA