Verdacht auf Virus/Trojaner / nicht eindeutig - Hilfe? |
||
---|---|---|
#0
| ||
16.12.2003, 18:39
...neu hier
Beiträge: 9 |
||
|
||
16.12.2003, 18:59
Member
Beiträge: 1122 |
#2
Also ich weiß, das willst du bestimmt nicht hören, aber wie wärs mit
Format C/D/E ... Dann Xp drauf mit neuer Firewall und Anti-Vir und dann hat man keine Prob. mehr... Sonst kann ich dir auch nicht helfen, aber ich schau mal ob ich Hilfe finde. MFG DAFRA P.s. Wie wärs wenn du mal en Hijack-log posten würdest, da wird dir Raman denk ich mal gleich helfen können... @ Raman es gibt Arbeit ;-) |
|
|
||
16.12.2003, 19:44
Member
Beiträge: 133 |
#3
Sieht nach nem "subseven-Trojaner" oä. aus. AntiVir(neuster Stand!) nochmal drüberlaufen lassen und das ganze dann nochmal im abgesichertem Modus.
Und wie schon gesagt, ein Hijack-Log posten und auf raman warten!(wenn er noch lust hat der GUTE) MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
16.12.2003, 20:34
Member
Beiträge: 1122 |
#4
Also mit Sub7, hatte ich mal RIESIGE Prob.
Ich hatte mal zu Selbsttest ( ich weiß ich war dumm) den draufgemacht, und nix lief mehr. Ich hab ihn nicht mehr runter gekriegt, und hab alles neu Formatiert... MFG DAFRA P.s. Formatieren, was für ein Wort, es bedeutet für Programme den TOOOOOOD |
|
|
||
16.12.2003, 20:49
...neu hier
Themenstarter Beiträge: 9 |
#5
Erstmal Danke fuer Eure bisherigen Antworten.
Neu formatieren sollte hoffentlich die letzte Moeglichkeit in diesem Fall sein.. *grausen* Antivir checkt grad nochmal abgesichert nach Trojanern, da es sich auch nicht um meinen Rechner handelt mache ich momentan auch nur Ferndiagnose. Nach sobig.f habe ich mir eh geschworen dass auf meine Kiste kein Virus mehr kommt ;) Habe nun das hijack log geschickt bekommen und poste es mal, hoffe es kann jemand interpretieren :) Logfile of HijackThis v1.97.7 Scan saved at 20:09:55, on 16.12.2003 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ICQ\NDETECT.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\ONTRACK\FIX-IT\MXTASK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetstarthere.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1 O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background O4 - HKLM\..\RunOnce: [*ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1 O4 - Startup: Fix-It.lnk = C:\Programme\Ontrack\Fix-It\mxtask.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) - O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) - O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab Hmmm.. gleich noch eine Frage, bei den running processes steht ja C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE hat das was mit der Systemwiederherstellung zu tun? Weil eigentlich ist die deaktiviert. Lieben Gruss, vlinsanity |
|
|
||
16.12.2003, 21:17
Moderator
Beiträge: 7805 |
#6
Lasse mal folgendes von Hijackthis fixen:
Alles was unter R steht und alles unter 016 O4 - HKLM\..\Run: [LoadQM] loadqm.exe O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file) O4 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1 O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background O4 - HKLM\..\RunOnce: [*ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1 Nach einem Neustart bittedir Datei ztidkzk.dll loeschen und dein Windows und IE via www.windowsupdate.com aktualisieren. Ja, die STMGR.EXE hat etwas mit der Systemwiederherstellung zu tun. Entweder ist sie nicht deaktiviert(warum auch, das kann dein System unter umstaenden wiederherstellen nach einem Fehler/Fehlerhaften Programminstallation). Es gab da aber auch mal einen Bug in der Systemwiederherstellung(es lies sich nicht ab oder wieder anschalten), der durch ein Update behoben werden kann. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2003, 22:50
...neu hier
Themenstarter Beiträge: 9 |
#7
Hi,
leider funktioniert das nicht so einfach :/ Sofort nach dem fixen mit hijack zeigt er bei erneutem scan alles wieder so an. Die ztidkzk.dll laesst sich nicht loeschen, da von windows verwendet wird, auch wenn die meisten Prozesse beendet sind. Weiss leider nicht welches Programm genau die dll benutzt. Loeschen und endgueltig beheben lassen ist auch im abgesicherten Modus nicht moeglich. Problem ist eben auch dass massig up- und downloads stattfinden, 200mb gestern, davon auch 100mb upload. Muesste mit Firewall ja zunaechst erstmal zu unterbinden sein.. Danke fuer die Erklaerung von der stmgr.exe, ich deaktivier die Wiederherstellung gern beim Viren beseitigen. Langsam hab ich das Gefuehl dass wirklich nur noch format C bleibt. Eine dll kann sich ja auch nicht einfach so installieren, und ein dazugehoeriges Programm zeigt kein Virenscanner an, auch antivir hat im abgesicherten Modus keinen Trojaner mehr gefunden. Was kann denn diese riesigen Datenmengen verursachen? Hat noch jemand eine Idee? LG vlinsanity |
|
|
||
17.12.2003, 05:44
Moderator
Beiträge: 7805 |
#8
Locker bleiben! Dann machst du es halt im abgesicherten Modus. Sollte kein Problem sein.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.12.2003, 15:08
...neu hier
Themenstarter Beiträge: 9 |
#9
Langsam geht die Lockerheit verloren ;)
Abgesichert funktioniert leider auch nicht.. alles sofort wieder da. Und ztidkzk.dll sagt auch im abgesichterten Modus dass sie gerade verwendet wird und nicht geloescht werden kann. LG vlinsanity |
|
|
||
17.12.2003, 15:25
Member
Beiträge: 133 |
#10
Möglich das sich der Trojaner die C:\WINDOWS\SYSTEM.INI verändert hat und automatisch mit startet, du mußt aber auf die wirklichen Experten hoffen, ich kann dir leider keine Hilre sein. Bin aber auch auf die Lös. gespannt!
Bin mit dir!!! MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
17.12.2003, 16:13
Member
Beiträge: 1122 |
#11
Was ist mit nem Removal-tool
geht da was??? |
|
|
||
17.12.2003, 16:26
Moderator
Beiträge: 7805 |
#12
Hm, dll injection? Teste diese DLL mal hier: http://www.kaspersky.com/remoteviruschk.html
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.12.2003, 18:25
...neu hier
Themenstarter Beiträge: 9 |
#13
Also, der dll check ergab dass sie okay waere.
Haben jetzt mal alles mit ner firewall geblockt, wegen des Traffic, und eine IP versucht staendig auf den Rechner zuzugreifen, denke mal davon ging auch der riesige traffic aus. Allerdings findet kein Virenscanner momentan noch eine infizierte Datei. Die IP geht von einem Provider in Oesterreich aus, aber das muss ja nicht viel heissen. Was bedeutet es, wenn staendig jmd auf den Rechner zugreifen will? Kann das mit der ztidkzk.dll in Zusammenhang stehen? LG vlinsanity |
|
|
||
17.12.2003, 18:45
Moderator
Beiträge: 7805 |
#14
Schicke die Datei bitte mal an virus@protecus.de oder an meine Adresse(siehe Profil).
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.12.2003, 18:47
Member
Beiträge: 133 |
#15
Kann, muss aber nicht! welche Firewall nutzt du denn und welche "block-meldung" bringt sie?
MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
brauche mal bitte dringend fachkundige Hilfe.
Antivir hat bei einem Virenscan den Trojaner(?) downloader brok 1 gefunden und gefixt, allerdings vermute ich, dass damit das Problem noch nicht aus der Welt ist. Trotz normalen Internet Nutzens kommen riesige up- und downloadraten zustande, an einem Tag ueber 100mb.
Laufende Prozesse die ich nicht einordnen kann sind folgende (lt. Trojanreport):
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run sp regedit -s C:\WINDOWS\sp.reg
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ztidkzk rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll, Init 1
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunOnce *ztidkzk rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
Kann damit irgendjemand was anfangen? Die ominoese ztidkzk.dll befindet sich in der registry in run und runonce und beim Versuch sie zu loeschen stellt sie sich im jeweils anderen Ordner wieder her. ztidkzk.dll befindet sich auch im Autostart, ohne ersichtliche Moeglichkeit sie zu entfernen. Betriebssystem ist Windows ME und Systemwiederherstellung wurde schon deaktiviert.
HijackThis sagt folgendes zu der dll:
04 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
Detailed information in item 04
This part of the scan checks for several suspicious entries that autoload when Windows starts. Autoloading entries can load a Registry script, VB script or Java scriptfile, possibly causing the IE Start Page, Search Page, Search Bar and Search Assistent to revert back to a hijackers page after a system reboot. also a DLL file can be loaded that can hook into several parts of you system.
infected examples:
regedit c:\windows\system\sp.tmp\s
Kernell32.VBS
c:\windows\temp\install.js
rundll32 C:\Program Files\NewDoNet\newdonet4_5.dll,NewDoNetStartup
Dr. Watson hat ausserdem ausgespuckt, dass Module folgende Systemaspekte unterbrochen haetten:
tastatur
getmessage
windosprozedur
maus
Hat jemand einen Verdacht was da auf dem Rechner los ist und wie man das beheben kann? Bin mit meinem Latein langsam am Ende...
Waere echt lieb wenn jemand weiterhelfen koennte.
Danke und Gruss,
vlinsanity