Trojaner TR/VB.AA

In meinem Netzwerk gehe ich mit einem Laptop über Lan und einem Desktop-PC über Wan an einen DSL-Router und darüber ins Netz. BS ist XP Home.

Gestern hab ich mir einen Trojaner TR/VB.AA gefangen. Bei der weiteren Überprüfung wurden noch TR/Donnld.0.3 und TR/Barole.A.1 gefunden. Ich hab sie mit AntiVir pers. und mit a2 (aQuadrat) aufgespürt und entfernt. Weitere Überprüfungen mit den genannten Progs und mit adaware und Search & Destroy lassen vermuten, dass die Trojaner entfernt sind.

Was ist jetzt zu tun? Welchen Schaden können sie in der kurzen Zeit angerichtet haben? Was ist mit Backdoors? Habe davon gehört, weiß aber kaum etwas darüber. Im Trojaner Info konnte ich nichts über die obigen Trojaner erfahren. Brauche unberdingt fachlichen Rat, um die Sicherheit meiner Rechner nicht weiter aufs Spiel zu setzen.

Gruß
hj

hj schrieb:

Weitere Überprüfungen mit den genannten Progs und mit adaware und Search & Destroy lassen vermuten, dass die Trojaner entfernt sind.

Zum Vergrößern anklicken....

Nur mal zu diesem Satz: Wie der Name dieser Programme schon sagt, sind diese für Ad-Ware und Spyware, jedoch nicht gegen Viren, Würmer oder Trojaner.

Es wäre sinnvoll, mal ein vollständiges HijackThis-Log von beiden Rechnern zu posten. Zu diesem Thema gibt es einen Sticky-Thread in diesem Forum.

vollständiges HijackThis-Log

Was ist das?

hj


Hab den Thread gefunden. Mache mich da erst einmal kundig.

Auf meinen PCs gibt es z.Zt. keinerlei Probleme. Sie arbeiten wie gewünscht. Keine Probleme mit den Startseiten.

Ich möchte gern eine Bewertung der Vorgänge, die ich schilderte, wenn das möglich ist. Inzwischen überprüfe ich die Geräte weiter. Die Progs gegen Ad Ware und Spyware habe ich vorsichtshalber zusätzlich zu den Virenscannern eingesetzt.

Zunächst aber schon mal danke, Smartie.

hj

So wie es im Tipp von PCDpan_fee ausführlich beschrieben wurde. Hier der Sticky-Thread: http://www.wintotal-forum.de/?board=35;action=display;threadid=33317

Mit vollständig meine ich, dass du nichts herauskürzen solltest aus dem Logfile.

Edit: Aja.

Ist dieser Aufwand in meinem Fall denn notwendig? Deuten die auf meinen PCs gefundenen Trojaner auf eine solche Gefährdung?

hj

Unbekannterweise, weil ich nicht weiß, worauf du dich genau beziehst: Unterschätze nie die Fähigkeiten der Schädlingsprogrammierer.

Mich beunruhigt, dass eventuell im Hintergrund spioniert wird. Denke da in erster Linie an Online Banking. Andere spektakuläre Daten finden sich auf meinen Geräten nicht.

hj

Hier der Check vom Laptop:

Logfile of HijackThis v1.97.7
Scan saved at 23:36:20, on 01.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RUNTOP\Cardbus WLAN Utility\WLANApp.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - Startup: Cardbus WLAN Utility.lnk = C:\Programme\RUNTOP\Cardbus WLAN Utility\WLANApp.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07f4e72efafd2d094817/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F7611C-2BDC-468E-84B3-46D364D9A461}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D27ED0-7DBD-4DD2-8000-1FA29F72AA9C}: NameServer = 192.168.0.1

Mit einem Image-Programm beschränkt sich der Aufwand auf 10 Minuten. :

Wenn du schon solche Sorgen vor dich her schiebst, solltest du erst recht handeln.

Vor allem in Hinblick darauf, dass du einen Trojaner aktiv bemerkt hast, und dabei auf noch mehr Schadsoftware gestoßen bist, bei der du nicht mal weißt, wie lange diese schon auf deinem Rechner ist.

Wie kam es eigentlich dazu? Internet Explorer und/oder Outlook (Express) in Benutzung?


Edit: Plötzlich ist ein Log da.

IE 6.0 und OE werden genutzt. Weiß auch, wie und von welcher Seite die Lümmel stammen. Einen Moment die Maus nicht kontrolliert. Die 3 Trojaner wurden im selben Augenblick gemeldet.

Ich halte meine Schutzprogs immer auf dem neuesten Stand und kontrolliere meine Rechner fast täglich. Habe daher bisher äußerst selten solche gefährlichen Strolche eingefangen.

Was sagt ein Kenner zu meinem Log? Nach Lsass hab ich gegoogelt. Bin aber nicht viel schlauer geworden.

hj

Zitat Smartie: Wenn du schon solche Sorgen vor dich her schiebst, solltest du erst recht handeln.

Ein Image nützt jetzt ja nichts mehr,weil keins vom sauberen System existiert.
Also Neuinstallation? Hab ich schon früher gemacht, nutze meine Zeit aber lieber für Schöneres.

Moin,

deine LOG ist OK und lsass gehört auch zum System. Also nix drauf, was unbedingt runter muss.

Ein kleiner Trost zur guten Nacht.
Morgen schicke ich dann die Log von meinem Desktop-PC mit der Bitte um Prüfung.

Vielen Dank euch beiden und angenehme Ruhe.

hj

Guten Morgen,

hier nun die Log von meinem Desktop-PC. Wäre sehr nett, wenn ihr die auch überprüfen würdet. Danke im Voraus!

Schönen Sonntag
hj

Logfile of HijackThis v1.97.7
Scan saved at 10:19:55, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37944.9717592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED300838-846C-41E4-B397-F7DFB47CC704}: NameServer = 192.168.0.1

War eben wohl noch nicht ganz wach.
Danke für das nette Wecken!

moin hj,

wo ist es denn?

Hallo,

ich hab zum Abschluss noch die Bitte, meine zweite Log zu prüfen, denn da möchte ich nichts falsch machen. Vielen Dank im Voraus!

hj

hj schrieb:

O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)

Zum Vergrößern anklicken....

Der ist wahrscheinlich unnötig, wenngleich aber nicht schädlich.

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB

Zum Vergrößern anklicken....

Was das sein soll, da bin ich mir nicht so ganz sicher.

Der Rest ist meiner Meinung nach in Ordnung.

Danke Flocke,

soll ich die beiden löschen?
Nach dem Installer hab ich gegoogelt. Viele Antworten, aber alle in Englisch, keine in Deutsch. Vielleicht meldet sich noch eine anderer netter Mensch.

hj

Dann nimm lieber das Erledigt-Häkchen raus....... :-*

Das hatte ich auch nicht gesetzt, aber ein weiterer netter Mensch hat's entfernt. Dann mal weiter, so hoffe ich.

Inzwischen hab ich den Installer gelöscht, denn ich fand ihn unter den temporären Internet Files. Da konnte, meine ich, nicht viel passieren, oder?

hj

Moin,

jup, hast alles richtig gemacht und soweit ist alles OK.

Vielen Dank euch!

hj