Trojaner.Downloader nach Installation von pplive

#1 Hallo!
Nachdem PPlive nach der Installation ein IE-Fenster geöffnet hatte, meldete AVG einen "Trojaner.Downloader" in einer Datei namens "klick[1].html". Weil ich das Dingen schnellstmöglich gelöscht hab, hab ich leider nicht mehr den genauen Namen :-(

Einige Minuten später fing die Internetverbindung an zu lahmen. Weil netstat -ab bei geschlossenem Browser trotzdem einige offene Verbindungen anzeigte, hab ich im Taskmanager einige Prozesse beendet. Danach veränderte sich die Taskleiste selbständig in der Größe, und einige Fenster bewegten sich. Das war der Moment, in dem ich das Netzwerkkabel gezogen habe...

Ich hab dann alles nochmal mit AVG gescannt, schien auch sauber, aber ich trau der ganzen Sache nicht.

Wäre sehr nett, wenn sich das mal jemand ansehen könnte:


1)
Logfile of HijackThis v1.99.1

Scan saved at 23:04:34, on 11.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\SpeedswitchXP\SpeedswitchXP.exe

C:\Programme\ZyAIR USB Utility\ZyAIR.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat

C:\Dokumente und Einstellungen\Konradl\Desktop\cleanup\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount

O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe

O4 - Global Startup: ZyAIR USB Utility.lnk = C:\Programme\ZyAIR USB Utility\ZyAIR.exe

O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CS5\Services\Tcpip\Parameters: SearchList = vpn.uni-freiburg.de

O17 - HKLM\System\CS5\Services\Tcpip\..\{12678F9D-CC52-4045-8401-7A4677619C83}: NameServer = 10.1.1.12

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\shared using\ExtraProgramme_C\VMwarePlayer\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



2)
Cleanup hab ich gemäß der Anleitung laufen lassen.

3)
ComboFix hatte ein Problem...hier die Fehlermeldung:
AppName: combofix.exe AppVer: 0.0.0.0 ModName: kernel32.dll

ModVer: 5.1.2600.2945 Offset: 00012a5b


4)
und noch das Ergebnis von Datfindbat:
Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: C8F3-9287



Verzeichnis von c:\



11.04.2007 23:25 0 dirdat.txt

11.04.2007 23:19 536.399.872 hiberfil.sys

11.04.2007 23:19 805.306.368 pagefile.sys

05.03.2007 03:17 1.062 README

24.12.2006 18:26 341 hpfr3420.log

24 Datei(en) 1.361.364.377 Bytes

0 Verzeichnis(se), 2.558.263.296 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: C8F3-9287



Verzeichnis von C:\WINDOWS\system32



11.04.2007 23:20 54.112 vsconfig.xml

11.04.2007 19:20 2.422 wpa.dbl

11.04.2007 13:14 57 peer.ini

10.04.2007 03:24 4.254 jupdate-1.6.0_01-b06.log

03.04.2007 21:28 131.856 FNTCACHE.DAT

30.03.2007 15:00 395.314 perfh009.dat

30.03.2007 15:00 60.140 perfc009.dat

30.03.2007 15:00 408.376 perfh007.dat

30.03.2007 15:00 72.186 perfc007.dat

30.03.2007 15:00 941.040 PerfStringBackup.INI

17.03.2007 15:44 293.376 winsrv.dll

14.03.2007 02:04 69.632 javacpl.cpl

14.03.2007 02:04 139.264 javaws.exe

14.03.2007 00:31 135.168 javaw.exe

14.03.2007 00:31 135.168 java.exe

09.03.2007 13:51 270.336 xpsp3res.dll

08.03.2007 17:36 281.600 gdi32.dll

08.03.2007 17:36 40.960 mf3216.dll

08.03.2007 17:36 579.072 user32.dll

08.03.2007 17:32 1.843.712 win32k.sys

07.03.2007 22:36 12.619.736 MRT.exe

28.02.2007 18:02 2.182.656 ntoskrnl.exe

28.02.2007 18:02 2.059.904 ntkrnlpa.exe

17.02.2007 04:02 122.142 TZLog.log

15.02.2007 10:46 294.912 pscp.exe

05.02.2007 22:18 185.856 upnphost.dll

29.01.2007 10:58 60.416 tzchange.exe

27.01.2007 17:25 8.233 lvcoinst.log

23.01.2007 21:30 546.304 hhctrl.ocx

23.01.2007 01:45 98.304 CmdLineExt.dll

23.01.2007 01:39 34 BD2030.DAT

16.01.2007 19:50 20.172 mlfcache.dat

12.01.2007 10:27 458.752 msfeeds.dll

12.01.2007 10:27 51.712 msfeedsbs.dll

12.01.2007 10:27 3.580.416 mshtml.dll

12.01.2007 10:27 232.960 webcheck.dll

12.01.2007 10:27 132.608 extmgr.dll

12.01.2007 10:27 6.054.400 ieframe.dll

12.01.2007 10:27 670.720 mstime.dll

12.01.2007 10:27 477.696 mshtmled.dll

12.01.2007 10:27 822.784 wininet.dll

12.01.2007 10:27 1.149.952 urlmon.dll

12.01.2007 10:27 27.136 jsproxy.dll

10.01.2007 18:42 1.040.384 ieframe.dll.mui

08.01.2007 20:04 105.984 url.dll

08.01.2007 20:04 102.400 occache.dll

08.01.2007 20:03 193.024 msrating.dll

08.01.2007 20:02 1.823.744 inetcpl.cpl

08.01.2007 20:02 44.544 iernonce.dll

08.01.2007 20:02 266.752 iertutil.dll

08.01.2007 20:02 383.488 ieapfltr.dll

08.01.2007 20:02 153.088 ieakeng.dll

08.01.2007 20:02 230.400 ieaksie.dll

08.01.2007 20:02 161.792 ieakui.dll

08.01.2007 20:02 384.000 iedkcs32.dll

08.01.2007 20:01 17.408 corpol.dll

08.01.2007 20:00 124.928 advpack.dll

08.01.2007 19:08 56.832 ie4uinit.exe

08.01.2007 19:08 13.824 ieudinit.exe

08.01.2007 18:26 9.132 jupdate-1.5.0_10-b03.log

19.12.2006 23:49 135.168 shsvcs.dll

19.12.2006 23:49 8.494.592 shell32.dll

19.12.2006 20:17 334.336 wiaservc.dll

13.12.2006 23:54 3.580 d3d9caps.dat

07.12.2006 07:29 2.374.472 wmvcore.dll

06.12.2006 17:04 20.480 H@tKeysH@@k.DLL

27.11.2006 16:54 539.136 msftedit.dll

27.11.2006 16:54 433.152 riched20.dll

17.11.2006 19:53 12.288 advpack.dll.mui

2092 Datei(en) 419.268.317 Bytes

0 Verzeichnis(se), 2.558.136.320 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: C8F3-9287



Verzeichnis von C:\WINDOWS



11.04.2007 23:22 345 wiadebug.log

11.04.2007 23:20 2.039.543 WindowsUpdate.log

11.04.2007 23:20 50 wiaservc.log

11.04.2007 23:19 0 0.log

11.04.2007 23:19 2.048 bootstat.dat

11.04.2007 23:18 32.556 SchedLgU.Txt

11.04.2007 21:24 307.565 setupapi.log

11.04.2007 18:42 53.364 ntdtcsetup.log

11.04.2007 18:42 42.809 iis6.log

11.04.2007 18:42 87.909 comsetup.log

11.04.2007 18:42 101.437 tsoc.log

11.04.2007 18:42 1.374 imsins.log

11.04.2007 18:42 14.706 ocmsn.log

11.04.2007 18:42 17.787 KB931784.log

11.04.2007 18:42 125.388 ocgen.log

11.04.2007 18:42 13.029 msgsocm.log

11.04.2007 18:42 265.859 FaxSetup.log

11.04.2007 18:41 1.374 imsins.BAK

11.04.2007 18:41 16.137 KB931261.log

11.04.2007 18:41 50.917 updspapi.log

11.04.2007 18:41 15.615 KB930178.log

11.04.2007 18:41 19.943 KB932168.log

11.04.2007 18:36 54.156 QTFont.qfn

10.04.2007 21:54 432 BRWMARK.INI

05.04.2007 23:19 2.002 wincmd.ini

04.04.2007 22:56 1.142 win.ini

03.04.2007 20:53 15.020 KB925902.log

02.04.2007 23:43 231 system.ini

26.03.2007 03:11 587 XWIN32.INI

25.03.2007 00:28 169 RtlRack.ini

20.03.2007 20:47 1.386 setupact.log

14.03.2007 23:35 14.640 KB929338.log

07.03.2007 00:06 25.911 scunin.dat

07.03.2007 00:06 70.656 ScUnin.exe

07.03.2007 00:06 967 ScUnin.pif

06.03.2007 02:25 70.347 wmsetup.log

05.03.2007 03:37 1.409 QTFont.for

17.02.2007 21:57 57 sierra.ini

17.02.2007 04:03 21.506 KB927779.log

17.02.2007 04:02 18.517 KB927802.log

17.02.2007 04:02 18.247 KB928255.log

17.02.2007 04:02 14.713 KB924667.log

17.02.2007 04:02 27.142 KB931836.log

17.02.2007 04:02 16.651 KB926436.log

17.02.2007 04:02 10.303 KB928090-IE7.log

17.02.2007 04:01 13.300 KB918118.log

17.02.2007 04:00 13.157 KB928843.log

16.02.2007 18:46 1.090.630 setupapi.log.1.old

21.01.2007 21:04 12.926 ModemLog_Smart Link 56K Modem.txt

17.01.2007 16:35 316.640 WMSysPr9.prx

11.01.2007 16:46 3.610 KB929969.log

25.12.2006 13:13 121 GEARInstall.log

170 Datei(en) 13.001.334 Bytes

0 Verzeichnis(se), 2.558.144.512 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: C8F3-9287



Verzeichnis von C:\DOKUME~1\Konradl\LOKALE~1\Temp



11.04.2007 23:22 16.384 ~DFF85C.tmp

11.04.2007 23:21 16.384 ~DF249B.tmp

2 Datei(en) 32.768 Bytes

0 Verzeichnis(se), 2.558.152.704 Bytes frei



Im Vorraus schoma vielsten Dank fürs Helfen!
Konrad

#2 koffel

ich kann in den logs nicht nichts weiter erkennen - und gescannt hast du ja inzwischen schon (siehe kaspersky, ewido...)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 na dann ists ja gut. dankeschön!