Bin mir nicht sicher, ober mein PC trojaner frei ist!?! Bitte um Hilfe!

#1 Hallo

Als ich am Donnerstag surfte wurde mir plötzlich ein Trojaner abgeladen.

Dieser Trojaner öffnete mir immer neue Symbolen auf dem Desktop. Habe die immer wieder gelöscht, aber die wurden immer wieder neu auf dem Desktop/Computer aufgeladen. Als ich noch einmal versucht habe, ins Internet zu gehen kamm ich immer auf der gleiche Hp. Habe nachher die Startseite gewechselt, auf google, hat aber nichts geholfen.

Der PC hat mir den Trojaner gemeldet. Da ich ein Laie bin, wusst ich nicht was machen, also habe ich die Verbindung mit dem Internet unterbrochen.
Nachher habe ich einem Kolleg angerufen, der meint dass es am besten wäre, den Computer nochmals neu auflzuladen. Habe das auch gemacht. Dank einer Revocery CD.
Habe anschliessend einen Anitivirusprogramm (Antivirus profi packet) aufgeladen und eine Firewall, die Ceiro. Habe alles gescannt und war auch in Ordung. Nacher habe ich noch die Testversion von a2Guard vom Internet abgeladen, dieser zeigte mir noch 2 Maul... an.

Also mein Frage, ist mein PC jetzt Viren, Trojaner, etc frei oder nicht? Kann man es inrgendwie herausfinden?

Habe irendwo gelesen das mit dem Befehl netstat -a, sehen kann, welche Verbindungen hergestellt sind oder abhören. Da stehen ziemlich viele auf Abhören! Das ist doch kein gutes Zeichen, oder? Wie gesagt, bin nur ein Laie, der zu dumm war, schon am amfang eine Friewall aufzuladen.

Schon im Voraus Danke.

#2 Hallo@Mr. Monk

ich brauche folgendes:

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo.
Also ich musste die meisten Dataien Extrahieren, sonst lief nichts.

Von rkfiles.zip habe ich leider nichts, Startet nur den MS-Dos eingabeauffoerung.
Sind das die Daten die du wolltest? Hoffe schon. Kanst du mit hilfe dieser Daten einen Trojaner oder Virus finden????
Danke.
_________________________________________________________________

"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"LDM" = "C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [file not found]
"a-squared" = ""C:\Programme\a2\a2guard.exe"" [null data]
"Spamihilator" = ""C:\Programme\Spamihilator\spamihilator.exe"" ["Michel Krämer"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}



_________________________________________________________________




* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.159 items found: 1.159 files, 0 directories.
Total of file sizes: 230.316.072 bytes 219,64 M

Administrator Account = True

--------------------End log---------------------


_________________________________________________________________



Logfile of HijackThis v1.99.1
Scan saved at 17:47:23, on 24.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus-Profi-Paket\AVKService.exe
C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\953a9cb86706ade89c5e0f457bab54e9\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://janas.tiscali.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://janas.tiscali.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://janas.tiscali.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://janas.tiscali.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116605191531
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKService.exe
O23 - Service: Antivirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

_________________________________________________________________





Kurz nach dem ich diese Tests gemacht habe, und diese im Forum eingetragen habe, liess ich den antivirus und a2squarg programm gestartet, dieser zeigte mit wieder Malware an:
a² Report
Dateiname Diagnose
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@windowsmedia[2].txt Trace.TrackingCookie

was bedetuet das schon wieder?

Schon im Voraus danke!!

#4 Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat-->

warten bis sich
das DOS-Fenster schliesst--->auch wenn es lange dauert

-->poste C:\log.txt

-------------
mache die Windowsupdates, lade SP2 und richte dir ein eingeschranktes Benutzerkonto ein
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

entschuldige wenn ich mich vordrängele. Ich habe mir aus Neugier auch mal die zwei Programme geladen.

Der silentrunner meldet

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "NVDESK32.DLL" ["NVIDIA Corporation"]

Da muss ich mich wundern, denn es ist die Original-Datei des Herstellers, die beim Neukauf des PC vorinstalliert war. Das Datum war auch nicht verändert. Jotti brachte kein Ergebnis.
Soll / kann ich diesen Registry-Eintrag löschen?

Bei rkfiles.bat (jou, das war wirklich lange) gab es dies:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\CoreAAC.ax: UPX!
C:\WINDOWS\system32\RLMPCDec.ax: UPX!
C:\WINDOWS\system32\we.dll: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\CoreAAC.ax: UPX!
C:\WINDOWS\system32\RLMPCDec.ax: UPX!
C:\WINDOWS\system32\we.dll: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye

Die dfrg.msc ist die Defragmentierungskonsole, die war laut jotti auch OK.
Die we.dll gehört zum Programm Wise-FTP, das ich vor kurzem installiert habe, und jotti beurteilte die sowie die beiden .ax-Dateien (irgendwelche Decoder, wie sich im Google gezeigt hat) so:

EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Gilt es da irgendwas zu unternehmen?

Danke im voraus für Antwort.
Liebe Grüße
Ganzneuer

#6 Hallo@Ganzneuer

Es ist alles in Ordnung, soweit ich das beurteilen kann. Der Silentrunner ist ein gutes Tool, aber auch mit Vorsicht zu geniessen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 http://board.protecus.de/templates/smilies/icon_yo.gif

Danke @ Sabina.

Ganzneuer

Oh je, das mit den Smilies muss ich noch üben *g*.

#8

Klicke auf: Img
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina.
rkfiles.zip komme ich einfach nicht klar!
Das öffnet mir MS-Dos Eingabeaufforderung und schliesst gerade wieder!
Da werden mir die Dataien verweigert.
Was mache ich falsch mit diesem Programm??????
Danke

#10 Hallo@Mr.Monk

Keine Ahnung, was los ist, bis jetzt hat das Tool immer funktioniert, wenn es auch lange dauert, bis alles gescannt ist und das Fenster sich schliesst.

Mache mal bitte mit dem IE einen Onlinescan mit PANDA und berichte (aber im Prinzip duerfte dein PC virenfrei sein)

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo

Habe nochmals probiert das Programm laufen zu lassen. Weis nicht ob es geklapt hat!

C:\Dokumente und Einstellungen\Besitzer\Desktop\rkfiles

Meinst du das hier?
Schon im voraus Danke


PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\oembios.bin: uPx!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\oembios.bin: uPx!
Files Found in all users windows Folder............
------------------------
Finished
bye

#12 Mr. Monk

was ich sehen kann , ist nicht "boese"
Mache mal bitte Onlinescans +berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit