Habe ich einen Trojaner?

#1 Ich habe glaube ich einen Trojaner!
Allerdings ist mein Virenprogramm (vielleicht auch der Bediener) zu blöd um ihn zu finden.
Ist mein logfile ok?
Logfile of HijackThis v1.99.1
Scan saved at 22:43:56, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Trojan Remover\nqu8.exe
C:\Programme\Trojan Remover\nqu8.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Name\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Bitte Jungs, helft mir!

#2 Hallo Julia,

wie kommst Du auf diese Vermutung? Sind irgendwelche auffälligen Symptome am Rechner zu beobachten?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3

Zitat

Heron postete
Hallo Julia,

wie kommst Du auf diese Vermutung? Sind irgendwelche auffälligen Symptome am Rechner zu beobachten?

Gruß
Heron

Ja mein Virenprogramm motzt die ganze Zeit!
Oder blockt der diesen Trojaner ab?

#4

Zitat

JuliaK postete
Ja mein Virenprogramm motzt die ganze Zeit!
Oder blockt der diesen Trojaner ab?

Poste bitte die exakte Meldung des AV-Programmes. Wo genau wurde ein Schädling entdeckt, und als welcher wurder er bezeichnet?

#5 Die Frage, ob ich einen Trojaner oder sonstwas habe, stelle ich mir auch. NAV, Spybot und Ad-aware finden nichts.

Aber es gibt einige Ungereimtheiten:

- In Norton Anti-Virus ist die automatische Update-Funktion deaktiviert und kann nicht wieder aktiviert werden. Virendefinitionen von der Symantec-Seite downloaden ging nicht mehr, weil ich die Update-Links nicht angezeigt bekam. (Seit Aktualisierung von lusetup.exe kann ich allerdings wenigstens wieder manuell downloaden.)

- Ich komme nicht auf manche Security-Webseiten: Meldung "this object has been blocked".

- Ich habe Win XP/SP2 seit 5 Wochen in Betrieb, aber bisher nicht angemeldet. Es erfolgt auch keine Aufforderung dazu. Dürfte also eigentlich gar nicht mehr laufen. (Dies ist schon die Zweit-Installation, da bei der ersten wegen Inkompatibilität mit der Logitech-Maus-Software der Shutdown nicht funktionierte. Damals wurde ich aber dauernd zur Registrierung aufgefordert und nach 3 Wochen war erwartungsgemäß Schluß).

- Windows-Updates funktionieren nicht mehr.

- Das Programm Process Viewer zeigt mir "unknown process" an bestimmten Ports an.

- Das Programm Easy Cleaner sucht nicht mehr nach überflüssigen Dateien.

- Das Progamm XPClean sucht gleichfalls nicht mehr nach allen Dateierweiterungen.

Ist das alles ernstzunehmen oder bin ich nur paranoid? Danke für jede Hilfe!

#6 Hallo Rosabelverde,

1. Warum registrierst Du nicht einfach erst einmal Win XP? Oder sprechen zwingende Gründe (fehlende Original-CD) dagegen?

2. HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Installiere das Programm in einem eigenen Ordner.
Starte das Programm mit der exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 @ Heron:

erstmal danke für Deine Antwort. Nein, es spricht überhaupt nichts gegen die Win-Registrierung, die Original-CD hab ich, aber ich wollte einfach mal abwarten, was passiert, nachdem ich merkte, daß keine Registrierungsaufforderung mehr kommt. Im Moment spricht aber auch nicht viel *dafür*, denn auf die Gefahr hin, daß ich den Schrott eh zum drittenmal installieren lassen muß, weil ich selbst zu blöd bin ...

Hier mein HijackThis-Logfile, leider werd ich nicht klug daraus:

Logfile of HijackThis v1.99.1
Scan saved at 15:47:12, on 12.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\smartision\ScreenCopy\SSC.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [smartision] C:\Programme\smartision\ScreenCopy\SSC.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109248594368
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC38233-3677-43BF-B1F1-9EE92838932C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#8 Hallo@Rosabelverde

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 @Rosabelverde

Dein Logfile zeigt, dass Du offensichtlich wenigstens zwei Firewalls (Norton, Zone Alarm) und vielleicht auch noch die XP-Firewall (?) am laufen hast. Möglicherweise ist das die Ursache für einige der geschilderten Probleme.
Entscheide Dich für eine Firewall und deaktiviere die andere(n).

Ansonsten arbeite das ab, was Dir Sabina empfohlen hat.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#10 Danke fürs erste, Sabina und Heron, ich mache mich an die Arbeit und sage, ob's geklappt hat.

Das mit den 2 oder 3 Firewalls verstehe ich aber nicht. Meines Wissens läuft nur ZoneAlarm, die Win-Firewall hab ich deaktiviert und von Norton noch nie eine gehabt.

(Fällt mir aber ein, daß es firewallmäßig tatsächlich neulich ein Problem gab: um e-Mails mit Thunderbird zu verschicken, mußte ich zusätzlich die Win-Firewall aktivieren!, kam im langen Telefonat mit t-online-Techniker und mehreren nach seinen Anweisungen ausgeführten Tests zutage. Hab das auch 2 Tage lang gemacht und nach dem Senden immer gleich wieder deaktiviert. Dieses Problem ist seit vorgestern einfach wieder verschwunden, Mails senden klappt ohne diesen komischen Trick.)

#11 Das hier
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
ist die Norton Firewall!

Wahrscheinlich hast Du Norton Internet Security installiert. Da ist eine Firewall inbegriffen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12 Sehr lieb von Euch, daß Ihr Euch solche Mühe gebt!


@ Heron:

> Das hier
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
ist die Norton Firewall!

> Wahrscheinlich hast Du Norton Internet Security installiert. Da ist eine Firewall inbegriffen.

Installiert hab ich das t-online-Komfort-Paket, das war seit 3 Jahren (hatte es schon auf dem vorigen Compi) immer nur Norton AV, hab grad meine CD mit der aktuellsten Version betrachtet: da ist nur Antivirus drauf. Anruf bei t-online: ich sei nur für Antivirus registriert, nicht für das Norton Internet Security Paket, das wär auch teurer. Wo die Norton Firewall herkommt, und warum die sich noch nie durch irgendwas bemerkbar gemacht hat, ist mir ein Rätsel.

Ach noch was: in den Windows-Diensten ist "Symantec Password Validation" deaktiviert und läßt sich auch nicht in Gang bringen!

@ Sabina:

Das Hoster-Tool kann ich zwar runterladen, aber nicht öffnen. Meldung von WinZip: "Datei kann nicht geöffnet werden: Offenbar handelt es sich nicht um ein gültiges Archiv." Dann wird erneuter Download empfohlen, hab ich versucht, das gleiche Ergebnis.

Wenn ich mit Zip-komprimierter Ordner öffnen will, kommt die Meldung: "Der Zip-komprimierte Ordner ist ungültig oder beschädigt."

Die Hosts-Datei hab ich ohnehin schon vergeblich gesucht. Es gibt nur hosts.sam bei mir. Hab mich schon gefragt, wo die Daten, die sonst in der Hosts-Datei stehen, bei mir gespeichert werden.

Soll ich ohne das Hoster-Tool mit den anderen Punkten aus Deiner Empfehlung weitermachen?

#13 Rosabelverde schrieb:

Zitat

ich sei nur für Antivirus registriert, nicht für das Norton Internet Security Paket, das wär auch teurer. Wo die Norton Firewall herkommt, und warum die sich noch nie durch irgendwas bemerkbar gemacht hat, ist mir ein Rätsel.

Dann lies Dir bitte die folgenden Informationen zu den beiden bei Dir aktiven Prozessen durch
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

http://www.liutilities.com/products/wintaskspro/processlibrary/SPBBCSvc/index.html
http://www.liutilities.com/products/wintaskspro/processlibrary/symlcsvc/index.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#14 Hallo@Rosabelverde

•Beispiel HOSTFILE:
öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager

oeffne alles mit dem Editor und kopiere es ab (oder schreib mir, was du

ausser --> 127.0.0.1 localhost

dort noch findest)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Heron,

ja, daß Du die Dateien richtig identifiziert hast, hätt ich Dir auch ohne Nachlesen geglaubt :-) ... bloß wo sie herkommen, versteh ich immer noch nicht. Könnte höchstens beim manuellen Downloaden der Virusdefinitionen mal was Falsches angeklickt und versehentlich Firewall-Dateien runtergeladen haben - ist das überhaupt möglich? Finde nämlich sonst nichts Norton-Firewallmäßiges bei mir.

Hallo Sabina:

das ist alles, was HijackThis liefert, sieht nicht grad ergiebig aus:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost