Trojanisches Pferd (Florian Groß)

Florian Groß
Gast

« am: 10.01.05, 15:34:54 »

$:-\$
Hallo an alle,

ich hab ne hartnäckige Nuß, die ich (so hoffe ich) mit eurer Hilfe knacken kann.

In folgenden Datein versteckt sich ein Trojaner namens
Backdoor.win32.haxdoor.nz:

draw32.dll
Vtd_16.dll
DRAW32.dll
VTD_16.dll
VTD_16.exe

Mit allen gängigen Virenprogrammen läßt er sich erkennen, teilweise auch entfernen, aber spätestens beim Neustart ist er wieder in voller Blüte aktiv

Bemerkbar macht er sich durch Öffnen des IE, bis schlimmstenfalls Absturz des Systems (hierbei ändert sich kurz das Anzeigelayout von XP, dann stürzt er ab)

Ich habe Windows XP mit Service Pack 2 (Trojaner hat sich allerdings vor der SP2-Installation eingenistet)

Mit dem Virenwächter von GDATA Antivirenkit kann ich ihn in Kontrolle halten (indem ich auf genannte Dateien den Zugriff sperre), auch erkennen und in Quaratäne stellen, allerdings nicht entfernen.

Wer kann mir helfen? Ich lege ein Hijack-Logfile bei, vielleicht ist das was ersichtlich, meine Kenntnisse reichen da nicht aus.

Vielen Dank schon im Voraus
Mfg Florian

Logfile of HijackThis v1.99.0
Scan saved at 15:33:15, on 10.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\DELLMMKB.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\Netropa\OSD.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVirenKit 2004\avk.exe
C:\Dokumente und Einstellungen\Nadine Wolf.NADINE-LW29YMYW\Desktop\hijackthis199\HijackThis.exe
C:\Dokumente und Einstellungen\Nadine Wolf.NADINE-LW29YMYW\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe
O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 24***
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nldfylc] C:\WINDOWS\System32\w?nlogon.exe
O4 - HKCU\..\Run: [Zucbq] C:\WINDOWS\System32\??chost.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Netropa NHK Server - Unknown - C:\WINDOWS\Nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Moderator informieren

Nighty
Gast

Re: Trojanisches Pferd

« Antwort #1 am: 10.01.05, 17:04:11 »

Hier kannste ne Auswertung machen lassen: www.hijackthis.de

Dann mach mal nochmal ein Log mit V1.99.2
Da werden auch Services angezeigt die nicht von MS sind.

Gruß

Moderator informieren

Florian Gross
Gast

Re: Trojanisches Pferd

« Antwort #2 am: 10.01.05, 19:10:04 »

Bei mir hat es geheißen 1.99.0 ist die aktuellste...
Wo krieg ich 1.99.2 (bekomm es nicht hergegoogelt )

Danke fürn Link, mal sehen obs was bringt.

Moderator informieren

rolwei (4.786)

51x Beste Antwort

147x "Danke"

Re: Trojanisches Pferd

« Antwort #3 am: 10.01.05, 21:15:43 »

Hat dir diese Antwort geholfen?

Hallo, versuchs mal von Hier:

http://www.spywareinfo.com/~merijn/downloads.html

Und ansonsten gibts hier was gegen hartnäckige Trojaner:

http://www.pctipp.ch/downloads/dl/17804.asp

Moderator informieren

Florian Gross
Gast

Re: Trojanisches Pferd

« Antwort #4 am: 11.01.05, 21:22:18 »

Hm, einen Versuch wars Wert... keine Chance, viele Programme erkennen ihn gar nicht (!), obwohl ich haargenau weiß wo ich suchen muß.

Gibts sonst noch Vorschläge? Langsam dreh ich am Rad.... ???

Moderator informieren

rolwei (4.786)

51x Beste Antwort

147x "Danke"

Re: Trojanisches Pferd

« Antwort #5 am: 11.01.05, 22:09:48 »

Hat dir diese Antwort geholfen?

Hallo, hast du denn die Auswertung auf http://www.hijackthis.de/ gemacht?

Wenn ja hat du diese gefixt?
(Nur Geduld, bei Trojanern und Hijackern musst du zäh sein)

O1 - Hosts: 69.20.16.183 auto.search.msn.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 search.netscape.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 ieautosearch
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 ieautosearch
Nasty This entry should be fixed immediately! Must be fixed!

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe
Nasty The entered application WinProfile was identified: WinProfile. Hit rate: 99 % (result) Must be fixed!

Kennst du diese Beiden?
(sehen aus wie Systemdateien, was sie nicht sind!):

O4 - HKCU\..\Run: [Nldfylc] C:\WINDOWS\System32\w?nlogon.exe
Unknown The entered application Nldfylc was identified: None. Hit rate: 8 % (result) Unknown application.
O4 - HKCU\..\Run: [Zucbq] C:\WINDOWS\System32\??chost.exe
Unknown The entered application Zucbq was identified: None. Hit rate: -1 % (result) Unknown application. (anschliessend Dateien löschen)

Siehe:
http://www.chip.de/forum/thread.html?bwthreadid=752795

http://www.trojaner-board.de/showthread.php?t=11462

http://forum.xp-portal.de/thread4140.html

« Letzte Änderung: 11.01.05, 22:16:03 von rolwei »

Moderator informieren

Trojanisches Pferd

Antworten zu Trojanisches Pferd:

Re: Trojanisches Pferd

Mehr zu Trojanisches Pferd

« Win98: windbg.exe fehlt und nichts geht mehr		Win XP: nix geht mehr...komischer virus »