Downloader Tiny ACT Trojan entfernen

#1 Hallo,

ich habe mir heute einen Trojaner mit dem Namen "Downloader Tiny ACT Trojan" eingefangen. Mein Virenscanner gab mir dabei als Pfadangabe software\microsoft\windows\current version\run\remotecontrol an. Leider kann ich diesen Pfad auf meinem Rechner nicht finden. Ferner wurde angegeben, dass es sich um eine registry value handelt.

Mein HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07:35, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpac.cf.ac.uk/resicache.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 9821 bytes




Die Ergebnisse von datfindbat:

Verzeichnis von C:\WINDOWS\system32

21.03.2008 20:49 53.098 perfc009.dat
21.03.2008 20:49 391.574 perfh007.dat
21.03.2008 20:49 380.684 perfh009.dat
21.03.2008 20:49 63.976 perfc007.dat
21.03.2008 20:49 897.778 PerfStringBackup.INI
21.03.2008 20:45 45.378 nvapps.xml
21.03.2008 20:45 1.158 wpa.dbl
05.03.2008 17:30 19.148.408 MRT.exe
11.01.2008 06:32 44.544 pngfilt.dll
31.12.2007 18:43 185.952 rmoc3260.dll
31.12.2007 18:43 5.632 pndx5032.dll
31.12.2007 18:43 6.656 pndx5016.dll
31.12.2007 18:43 278.528 pncrt.dll
29.12.2007 13:28 9.857 jupdate-1.5.0_11-b03.log



Verzeichnis von C:\DOKUME~1\LOKALE~1\Temp

21.03.2008 22:12 98.407 datfind.txt
21.03.2008 22:11 16.384 Perflib_Perfdata_e10.dat
21.03.2008 22:09 512 ~DFD01E.tmp
21.03.2008 22:09 512 ~DFCC8F.tmp
21.03.2008 20:50 80.094 jusched.log
21.03.2008 20:45 1.449.984 tmp2.tmp
21.03.2008 20:45 16.384 ~DF396D.tmp
21.03.2008 20:45 0 JETC062.tmp
15.03.2008 22:45 51.864 c27c_appcompat.txt
15.03.2008 21:03 16.384 ~DF87AA.tmp
15.03.2008 20:56 596 hpzcoi05.log
15.03.2008 20:56 596 hpzcoi04.log
15.03.2008 20:55 596 hpzcoi03.log
15.03.2008 20:55 596 hpzcoi02.log
12.03.2008 21:50 0 fla15.tmp
10.03.2008 22:33 51.864 86a8_appcompat.txt
09.03.2008 22:55 51.864 5c81_appcompat.txt
08.03.2008 23:02 50.180 a25f_appcompat.txt
08.03.2008 11:01 16.384 ~DFD8F9.tmp
07.03.2008 21:31 16.384 ~DF88FA.tmp
06.03.2008 22:59 51.864 4168_appcompat.txt
06.03.2008 21:14 156 dw.log
03.03.2008 22:45 51.864 14bd_appcompat.txt
01.03.2008 22:28 51.864 ca31_appcompat.txt
28.02.2008 20:54 16.384 ~DF1521.tmp
27.02.2008 22:18 51.864 e57d_appcompat.txt
27.02.2008 20:39 0 h2r8.tmp
25.02.2008 20:40 16.384 ~DFF1C1.tmp
24.02.2008 20:33 16.384 ~DFC6.tmp
24.02.2008 20:20 0 flaC.tmp
24.02.2008 20:15 0 fla7.tmp
17.02.2008 20:51 0 h2r1A.tmp
14.02.2008 23:00 51.864 57ac_appcompat.txt
12.02.2008 22:39 12.818 control.xml
09.02.2008 20:33 16.384 ~DFD29C.tmp
06.02.2008 20:43 8.872 wecerr.txt
06.02.2008 20:30 7.226 TWAIN.LOG
06.02.2008 20:29 5 Twain001.Mtx
06.02.2008 20:29 156 Twunk001.MTX
06.02.2008 20:19 16.731.840 hpgD.tmp
02.02.2008 23:10 51.864 180b_appcompat.txt
02.02.2008 19:37 0 mso8.tmp
25.01.2008 21:59 16.384 ~DF62FA.tmp
18.01.2008 19:17 16.384 ~DFB1AF.tmp
13.01.2008 20:09 51.864 4921_appcompat.txt
12.01.2008 13:42 16.384 ~DFFF45.tmp
12.01.2008 13:42 0 JETD263.tmp
10.01.2008 21:56 0 fla19.tmp
10.01.2008 21:51 0 fla17.tmp
10.01.2008 21:15 0 flaB.tmp
09.01.2008 21:09 78.848 mso8C.doc
09.01.2008 21:04 93.674 MSI3899c.LOG
09.01.2008 21:04 126.464 mso1B5.doc
09.01.2008 19:52 16.384 ~DFFF73.tmp
06.01.2008 18:36 16.384 ~DF682B.tmp
05.01.2008 21:39 797.676 IMT32.xml
05.01.2008 21:39 426 IMT31.xml
05.01.2008 21:39 2.036 IMT30.xml
05.01.2008 21:39 797.676 IMT2D.xml
05.01.2008 21:39 426 IMT2C.xml
05.01.2008 21:39 2.036 IMT2B.xml
05.01.2008 21:32 797.676 IMT25.xml
05.01.2008 21:32 426 IMT24.xml
05.01.2008 21:32 2.036 IMT23.xml
03.01.2008 20:33 1.002 Outlook Startup.Log
02.01.2008 21:28 16.384 ~DF2A21.tmp
30.12.2007 20:07 16.384 ~DF7201.tmp
29.12.2007 23:10 51.864 6ab1_appcompat.txt
21.12.2007 19:27 16.384 ~DFF6CF.tmp
19.12.2007 22:30 51.864 2307_appcompat.txt



Verzeichnis von C:\WINDOWS

21.03.2008 22:11 868 win.ini
21.03.2008 20:48 1.455.286 WindowsUpdate.log
21.03.2008 20:45 0 0.log
21.03.2008 20:45 157 wiadebug.log
21.03.2008 20:45 50 wiaservc.log
21.03.2008 20:45 2.048 bootstat.dat
19.03.2008 22:41 32.460 SchedLgU.Txt
19.03.2008 22:41 69 NeroDigital.ini
16.03.2008 22:33 136.339 iis6.log
16.03.2008 22:33 331.625 tsoc.log
16.03.2008 22:33 47.397 ocmsn.log
16.03.2008 22:33 1.374 imsins.log
16.03.2008 22:33 294.919 comsetup.log
16.03.2008 22:33 177.261 ntdtcsetup.log
16.03.2008 22:33 11.257 KB938127-IE7.log
16.03.2008 22:33 42.895 msgsocm.log
16.03.2008 22:33 411.261 ocgen.log
16.03.2008 22:33 852.437 FaxSetup.log
16.03.2008 22:33 923.635 setupapi.log
15.03.2008 21:03 8.974 spupdsvc.log
15.03.2008 21:00 61.674 ie7_main.log
15.03.2008 21:00 1.374 imsins.BAK
15.03.2008 21:00 59.424 KB944533-IE7.log
15.03.2008 21:00 81.613 updspapi.log
15.03.2008 20:59 74.773 KB942615-IE7.log
15.03.2008 20:58 61.106 ie7.log
15.03.2008 20:56 7.565 IDNMitigationAPIs.log
15.03.2008 20:55 6.338 NLSDownlevelMapping.log
15.03.2008 20:55 6.466 KB915865.log
15.03.2008 20:53 5.229 KB914440.log
15.03.2008 20:53 13.610 KB904942.log
13.02.2008 22:49 14.425 KB946026.log
13.02.2008 22:49 18.324 KB944533.log
13.02.2008 22:49 11.494 KB943055.log
12.02.2008 22:40 80.729 wmsetup.log
08.01.2008 22:43 11.232 KB941644.log
08.01.2008 22:43 11.398 KB943485.log
21.12.2007 22:41 6.153 KB946627.log



Verzeichnis von C:\WINDOWS\temp

21.03.2008 20:45 409 WGANotify.settings
21.03.2008 20:45 255 WGAErrLog.txt
12.01.2008 14:00 5.792.021 HP000000.IDX



Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, da ich nicht weiß, wie ich den Trojaner wieder wegbekommen soll...

Vielen Dank schon mal im Voraus!

#2 Hallo allstarnight

wende bitte CC leaner an + Combofix « findest du beides auf der Seite
poste dann hier das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo Pinguin,

vielen Dank für deine schnelle Anwort!

Kann man den Trojaner nicht auch ohne Combofix wieder entfernen? Ich habe ein bisschen Angst, das anzuwenden, weil da die Nachricht kommt, dass einer von hundert Computern den Reinigungsprozess nicht heil übersteht. Wäre sehr schlecht, wenn dann mein Computer überhaupt nicht mehr ginge...

Viele Grüße,
allstarnight

#4 nein, keine Angst haben, Combofix ist sicher (Inzwischen)
aber wenn du doch sehr unsicher bist, mache einen Onlinescan mit Bitdefender + poste den report
http://board.protecus.de/t8642.htm

Pinguin
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe über die Pfadangabe den Trojaner mittlerweile entfernen können. Mein Virenscanner hat danach nichts mehr gefunden und der Computer läuft wieder problemlos.

Habe zur Sicherheit auch nochmal den Bitdefender Onlinescan durchlaufen lassen, aber es wurde auch hier nichts mehr gefunden .

Auf jeden Fall aber vielen Dank für die schnelle Hilfe und schöne Ostern!

Grüße,
allstarnight