Home » Viren, Trojaner & Malware Forum » Trojaner Startpage.215 im System » Themenansicht

Trojaner Startpage.215 im System
#0
08.04.2005, 19:44
proust2000
Member

Beiträge: 13
#1 Guten Abend, Forum,

ich erbitte Eure Hilfe. Offensichtlich habe ich einen Trojaner im System, den ich bzw. AntiVir aber nicht vollständig beseitigen kann.

Immer wieder bekomme ich durch Antivir mitgeteilt, dass ich den Trojaner Startpage.215 hätte, den ich dann auch (nach entsprechender Rückfrage) lösche. Aber kurze Zeit später kommt die gleiche Meldung...

Hier ist mein Logfile:


Logfile of HijackThis v1.98.2
Scan saved at 19:39:13, on 08.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
D:\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\officeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html


Gruß an das Forum
proust2000
Dieser Beitrag wurde am 08.04.2005 um 19:45 Uhr von proust2000 editiert.
Seitenanfang Seitenende
08.04.2005, 22:42
Rolfs
Member

Beiträge: 239
#2 Du hast eine alte Version von HijackThis.
Lade bitte die neue Version und poste dann die Logfile.
Rolfs
Seitenanfang Seitenende
11.04.2005, 19:50
proust2000
Member

Themenstarter

Beiträge: 13
#3 hallo Rolfs,

vielen Dank für Deine Rückmeldung!!

die automatische e-Mail-Benachrichtigung scheint nicht zu funktionieren, deshalb habe ich die Antwort erst heute entdeckt. Pardon!

Hier nun die aktualisierte log-Datei der Version 1.99.1:

Logfile of HijackThis v1.99.1
Scan saved at 19:45:57, on 11.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
D:\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
H:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\officeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe

Besten Gruß aus Ronnenberg
proust2000
Dieser Beitrag wurde am 11.04.2005 um 19:51 Uhr von proust2000 editiert.
Seitenanfang Seitenende
12.04.2005, 09:14
Heron
Member

Beiträge: 1132
#4 Hallo proust2000,

das ist der Übeltäter:
C:\WINDOWS\System32\ntddetect.exe = Troj/Agent-CU (Sophos)
http://www.sophos.de/virusinfo/analyses/trojagentcu.html

Zitat

Troj/Agent-CU ist ein Backdoor-Trojaner für die Windows-Plattform.

Troj/Agent-CU öffnet eine Backdoor an einem beliebigen Port und teilt einer vorkonfigurierten remoten Website seine Präsenz mit. Der Trojaner versucht, Konfigurationsdaten von dem gleichen Speicherort herunterzuladen:

nicosiamurssnuset.biz

Troj/Agent-CU kann Dateien herunterladen und starten, die von remoten Eindringlingen über den Backdoor-Port gesendet wurden.

Troj/Agent-CU kopiert sich als "ntddetect.exe" in den Windows-Systemordner und erstellt eine Textdatei namens "ntddetect.dat" und die Datei "perflibs__" für seinen eigenen Gebrauch. Der Trojaner erzeugt folgende Registrierungseinträge, um automatisch bei der Computeranmeldung zu starten:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ntddetect =
%System%\ntddetect.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
ntddetect =
%System%\ntddetect.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
ntddetect =
%System%\ntddetect.exe


Dein System ist kompromittiert und Du solltest XP neu aufsetzen und dabei auch gleich Service Pack 2 aufspielen.

Um ganz sicher zu gehen, kannst Du ja C:\WINDOWS\System32\ntddetect.exe noch mal dort überprüfen lassen:

Jotti's Malware Scan
http://virusscan.jotti.org/

virustotal
http://www.virustotal.com/flash/index_en.html

Gruß
Heron

edit:
Trojaner Startpage.215 ist ein Statrseiten-Trojaner, der die IE-Startseite verändert. Davon ist im Log aber nichts zu sehen. Wo findet Antivir den Trojaner?
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.04.2005 um 11:03 Uhr von Heron editiert.
Seitenanfang Seitenende
12.04.2005, 13:03
proust2000
Member

Themenstarter

Beiträge: 13
#5 hallo Heron,

danke für deine Rückmeldung!

Gibt es kein einfacheres Prozedere?? Bin zeitlich reichlich
angespannt (Internet-Shop) und hatte deshalb die Vorstellung,
man könnte mit dem entsprechenden Tool den Trojaner
wirklungslos machen...

Gruß
proust2000
Seitenanfang Seitenende
12.04.2005, 16:58
Heron
Member

Beiträge: 1132
#6 Ja, ja die schnellen und einfachen Lösungen!
Hast Du Dir nicht das Zitat der Trojaner-Beschreibung aufmerksam durchgelesen? Den/die Trojaner selbst kann man relativ leicht löschen, aber (!!) wer weiß, was er schon alles an Deinem System verändert hat!

Außerdem, wenn Deine Zeit derart knapp bemessen ist, dann reicht sie wohl ja auch nicht für eine einigermaßen gründliche Reinigung Deines Systems, mit allen Wenns und Abers!

Setze das System neu auf und Du machst einen sauberen Schnitt.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1