Verdacht auf Virus/Trojaner / nicht eindeutig - Hilfe?

#1 Hallo,

brauche mal bitte dringend fachkundige Hilfe.

Antivir hat bei einem Virenscan den Trojaner(?) downloader brok 1 gefunden und gefixt, allerdings vermute ich, dass damit das Problem noch nicht aus der Welt ist. Trotz normalen Internet Nutzens kommen riesige up- und downloadraten zustande, an einem Tag ueber 100mb.

Laufende Prozesse die ich nicht einordnen kann sind folgende (lt. Trojanreport):

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run sp regedit -s C:\WINDOWS\sp.reg

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ztidkzk rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll, Init 1

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunOnce *ztidkzk rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1

Kann damit irgendjemand was anfangen? Die ominoese ztidkzk.dll befindet sich in der registry in run und runonce und beim Versuch sie zu loeschen stellt sie sich im jeweils anderen Ordner wieder her. ztidkzk.dll befindet sich auch im Autostart, ohne ersichtliche Moeglichkeit sie zu entfernen. Betriebssystem ist Windows ME und Systemwiederherstellung wurde schon deaktiviert.


HijackThis sagt folgendes zu der dll:

04 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1

Detailed information in item 04

This part of the scan checks for several suspicious entries that autoload when Windows starts. Autoloading entries can load a Registry script, VB script or Java scriptfile, possibly causing the IE Start Page, Search Page, Search Bar and Search Assistent to revert back to a hijackers page after a system reboot. also a DLL file can be loaded that can hook into several parts of you system.

infected examples:

regedit c:\windows\system\sp.tmp\s
Kernell32.VBS
c:\windows\temp\install.js
rundll32 C:\Program Files\NewDoNet\newdonet4_5.dll,NewDoNetStartup

Dr. Watson hat ausserdem ausgespuckt, dass Module folgende Systemaspekte unterbrochen haetten:

tastatur
getmessage
windosprozedur
maus


Hat jemand einen Verdacht was da auf dem Rechner los ist und wie man das beheben kann? Bin mit meinem Latein langsam am Ende...
Waere echt lieb wenn jemand weiterhelfen koennte.

Danke und Gruss,
vlinsanity

#2 Also ich weiß, das willst du bestimmt nicht hören, aber wie wärs mit
Format C/D/E ...
Dann Xp drauf mit neuer Firewall und Anti-Vir und dann hat man keine Prob.
mehr...
Sonst kann ich dir auch nicht helfen, aber ich schau mal ob ich Hilfe finde.


MFG
DAFRA

P.s.
Wie wärs wenn du mal en Hijack-log posten würdest, da wird dir Raman denk ich mal gleich helfen können...
@ Raman
es gibt Arbeit ;-)

#3 Sieht nach nem "subseven-Trojaner" oä. aus. AntiVir(neuster Stand!) nochmal drüberlaufen lassen und das ganze dann nochmal im abgesichertem Modus.
Und wie schon gesagt, ein Hijack-Log posten und auf raman warten!(wenn er noch lust hat der GUTE)

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#4 Also mit Sub7, hatte ich mal RIESIGE Prob.
Ich hatte mal zu Selbsttest ( ich weiß ich war dumm)
den draufgemacht, und nix lief mehr. Ich hab ihn nicht mehr runter gekriegt,
und hab alles neu Formatiert...

MFG
DAFRA

P.s.
Formatieren, was für ein Wort, es bedeutet für Programme den TOOOOOOD

#5 Erstmal Danke fuer Eure bisherigen Antworten.

Neu formatieren sollte hoffentlich die letzte Moeglichkeit in diesem Fall sein.. *grausen*

Antivir checkt grad nochmal abgesichert nach Trojanern, da es sich auch nicht um meinen Rechner handelt mache ich momentan auch nur Ferndiagnose. Nach sobig.f habe ich mir eh geschworen dass auf meine Kiste kein Virus mehr kommt ;)

Habe nun das hijack log geschickt bekommen und poste es mal, hoffe es kann jemand interpretieren :)

Logfile of HijackThis v1.97.7
Scan saved at 20:09:55, on 16.12.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ICQ\NDETECT.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ONTRACK\FIX-IT\MXTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetstarthere.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKLM\..\RunOnce: [*ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
O4 - Startup: Fix-It.lnk = C:\Programme\Ontrack\Fix-It\mxtask.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

Hmmm.. gleich noch eine Frage, bei den running processes steht ja
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
hat das was mit der Systemwiederherstellung zu tun? Weil eigentlich ist die deaktiviert.

Lieben Gruss,
vlinsanity

#6 Lasse mal folgendes von Hijackthis fixen:
Alles was unter R steht und alles unter 016
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - (no file)
O4 - HKLM\..\Run: [ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKLM\..\RunOnce: [*ztidkzk] rundll32 C:\WINDOWS\SYSTEM\ztidkzk.dll,Init 1
Nach einem Neustart bittedir Datei ztidkzk.dll loeschen und dein Windows und IE via www.windowsupdate.com aktualisieren.

Ja, die STMGR.EXE hat etwas mit der Systemwiederherstellung zu tun. Entweder ist sie nicht deaktiviert(warum auch, das kann dein System unter umstaenden wiederherstellen nach einem Fehler/Fehlerhaften Programminstallation). Es gab da aber auch mal einen Bug in der Systemwiederherstellung(es lies sich nicht ab oder wieder anschalten), der durch ein Update behoben werden kann.
__________
MfG Ralf
SEO-Spam Hunter

#7 Hi,

leider funktioniert das nicht so einfach :/
Sofort nach dem fixen mit hijack zeigt er bei erneutem scan alles wieder so an.
Die ztidkzk.dll laesst sich nicht loeschen, da von windows verwendet wird, auch wenn die meisten Prozesse beendet sind. Weiss leider nicht welches Programm genau die dll benutzt. Loeschen und endgueltig beheben lassen ist auch im abgesicherten Modus nicht moeglich.

Problem ist eben auch dass massig up- und downloads stattfinden, 200mb gestern, davon auch 100mb upload. Muesste mit Firewall ja zunaechst erstmal zu unterbinden sein..

Danke fuer die Erklaerung von der stmgr.exe, ich deaktivier die Wiederherstellung gern beim Viren beseitigen.

Langsam hab ich das Gefuehl dass wirklich nur noch format C bleibt.

Eine dll kann sich ja auch nicht einfach so installieren, und ein dazugehoeriges Programm zeigt kein Virenscanner an, auch antivir hat im abgesicherten Modus keinen Trojaner mehr gefunden. Was kann denn diese riesigen Datenmengen verursachen?

Hat noch jemand eine Idee?

LG
vlinsanity

#8 Locker bleiben! Dann machst du es halt im abgesicherten Modus. Sollte kein Problem sein.
__________
MfG Ralf
SEO-Spam Hunter

#9 Langsam geht die Lockerheit verloren ;)
Abgesichert funktioniert leider auch nicht.. alles sofort wieder da.
Und ztidkzk.dll sagt auch im abgesichterten Modus dass sie gerade verwendet wird und nicht geloescht werden kann.

LG
vlinsanity

#10 Möglich das sich der Trojaner die C:\WINDOWS\SYSTEM.INI verändert hat und automatisch mit startet, du mußt aber auf die wirklichen Experten hoffen, ich kann dir leider keine Hilre sein. Bin aber auch auf die Lös. gespannt!

Bin mit dir!!!

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#11 Was ist mit nem Removal-tool
geht da was???

#12 Hm, dll injection? Teste diese DLL mal hier: http://www.kaspersky.com/remoteviruschk.html
__________
MfG Ralf
SEO-Spam Hunter

#13 Also, der dll check ergab dass sie okay waere.

Haben jetzt mal alles mit ner firewall geblockt, wegen des Traffic, und eine IP versucht staendig auf den Rechner zuzugreifen, denke mal davon ging auch der riesige traffic aus.
Allerdings findet kein Virenscanner momentan noch eine infizierte Datei.

Die IP geht von einem Provider in Oesterreich aus, aber das muss ja nicht viel heissen. Was bedeutet es, wenn staendig jmd auf den Rechner zugreifen will? Kann das mit der ztidkzk.dll in Zusammenhang stehen?

LG
vlinsanity

#14 Schicke die Datei bitte mal an virus@protecus.de oder an meine Adresse(siehe Profil).
__________
MfG Ralf
SEO-Spam Hunter

#15 Kann, muss aber nicht! welche Firewall nutzt du denn und welche "block-meldung" bringt sie?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)