Trojaner l�schen

10/07/2010 17:36 jonny5252#1

Hey,
Ich habe folgendes Problem ich habe seit neustem einen Trojaner der sich als Xampp-controlle.exe tarnt er ist in einem versteckten Ordner.
Ich kann diese Datei weder l�schen noch den dazugeh�rigen Autostart eintrag ,da sie nach wenigen Momenten wieder kommen, ein dazugeh�riger Prozess ist nicht offen, der Trojaner wei�t keine Internet aktivit�ten auf.
Ich abgesichteren Modus klappts auch nicht, gibts noch eine M�glichkeit ausser Formatieren?

Hijackthis:

Spoiler

Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:35:37, on 07.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\ICQ7.2\ICQ.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DSL-Manager\DslMgr.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\TeamSpeak 3 Client\ts3client_win32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\penis\Downloads\HiJackThis204.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: 74.208.10.249 gs.apple.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ParentalControl Bar - {A057A204-BACC-4D26-908B-27FCD4A32E85} - C:\PROGRA~1\PARENT~1\PARENT~1.DLL
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HKLM] C:\Program Files\xampp\xampp-controll.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.2\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTAgent.exe" -autorun
[COLOR="Red"]O4 - HKCU\..\Run: [HKCU] C:\Program Files\xampp\xampp-controll.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files\xampp\xampp-controll.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files\xampp\xampp-controll.exe
[/COLOR]
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Users\penis\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: DSL-Manager.lnk = C:\Program Files\DSL-Manager\DslMgr.exe
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\DSL-Manager\DslMgrSvc.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7690 bytes

VIrustotal:
[Only registered and activated users can see links. Click Here To Register...]

10/07/2010 17:51 Diablo_#2

Wie kam die Datei denn auf deinen PC? Toolbars hast du auf jedenfall installiert aber ansonsten ist da nichts.

Ein Malwarebyte's AntiMalware Scan (Vollst�ndigen Suchlauf; C:/F:/E:/ usw...) bringt Gewissheit.

Den Scan wartem wir mal ab, danach sehen wir weiter.

//Edit: Auf eine Neuinstallation kannst du dich eigentlich schonmal vorbereiten.

10/07/2010 18:42 jonny5252#3

Der war bei nem Portable xampp dabei ...

Scan:

Spoiler

Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4770

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.10.2010 18:41:28
mbam-log-2010-10-07 (18-41-28).txt

Art des Suchlaufs: Vollst�ndiger Suchlauf (C:\|)
Durchsuchte Objekte: 314478
Laufzeit: 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl�ssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine b�sartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine b�sartigen Objekte gefunden)

Infizierte Registrierungsschl�ssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1utn56of-d12q-cf84-e2qj-k7b4h4lhor87} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{s2806183-840j-1c2d-0a62-e0ci8200lqtq} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine b�sartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine b�sartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine b�sartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\xampp\xampp-controll.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Users\penis\Desktop\derskt\WoW\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Desktop\derskt\WoW\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\WPE\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\WPE\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\Wpe- Pro\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\Wpe- Pro\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\AppData\Roaming\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\penis\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\penis\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.

10/07/2010 18:43 Es19#4

Diese xampp-controller.exe bitte auf [Only registered and activated users can see links. Click Here To Register...] (Ergebnis kommt per Mail nach etwa 10 min) hochladen.

Ergebnisse verlinken.

EDIT: Du h�ttest mit Malwarebytes nichts l�schen sollen...

Quote:

C:\Users\penis\AppData\Local\Temp\XxX.xXx (Malware.Trace) Backdoor-Sch�dling: Bifrost

Der Rechner ist nicht mehr unter deiner Kontrolle, unverz�glich neu aufsetzen und dann ein Sicherheitskonzept befolgen: [Only registered and activated users can see links. Click Here To Register...]

10/07/2010 19:11 jonny5252#5

Ich hab jetzt im Abgesichten Erst den Reg. Eintrag gel�scht dann alle Datein die damit was zu tuen haben jetzt findet hijackthis ,malwarebytes, Antivir nichts mehr und die .exe ist auch weg.
Danke f�r eure hilfe.

10/07/2010 19:12 Es19#6

Geschenkt.

Wenn du dich damit zufrieden gibst...

10/07/2010 19:23 Diablo_#7

Quote:

Originally Posted by jonny5252

Ich hab jetzt im Abgesichten Erst den Reg. Eintrag gel�scht dann alle Datein die damit was zu tuen haben jetzt findet hijackthis ,malwarebytes, Antivir nichts mehr und die .exe ist auch weg.
Danke f�r eure hilfe.

Denk nicht mal dran :pimp: Es besteht immernoch eine (hohe) Chance das sich die Trojaner regenerieren. Neu aufsetzen ist das Beste. Woher hast du den Schei� �berhaupt? :confused: :D

Quote:

Originally Posted by Es19

Geschenkt.

Wenn du dich damit zufrieden gibst...

Sollte man aber nicht.

10/07/2010 19:25 jonny5252#8

Auf ne Website gefunden ist schon l�nger her deshalb wei� ich nicht mehr welche, naja ich bin halt nicht so der Fan von neu aufsetzen ist immer mit soviel Datenverlust und Arbeit verbunden

10/07/2010 19:25 Es19#9

Quote:

Sollte man aber nicht.

Wei� ich. �berzeugungsarbeit hab ich nach all den Jahren nun aber aufgegeben...

Quote:

ist immer mit soviel Datenverlust und Arbeit verbunden

Aber Datenklau ist besser?

10/07/2010 19:33 jonny5252#10

eig nicht , naja ich werd dann glaub ich morgen neu aufsetzen m�ssen ...

10/07/2010 19:36 Diablo_#11

Quote:

Originally Posted by Es19

Wei� ich. �berzeugungsarbeit hab ich nach all den Jahren nun aber aufgegeben...

Aber Datenklau ist besser?

Ja, es gibt viele Leute die es nicht verstehen. Aber man kann ja machen was man will, nur man muss damit leben das man nachher die Hosen ausgezogen bekommt auf gut Deutsch gesagt. Aber man sollte es immer wieder probieren denn es ist in gewisser Weise unsere Aufgabe das zu tun. (Finde ich)

Von daher: Es19 Hat Recht jonny, und niemand ist ein Fan von soetwas. Aber es sind maximal 2 Stunden "Arbeit" (du machst bei einer Neuaufsetzung kaum etwas) aber daf�r ist dein System vertrauensw�rdig.

Au�erdem musst du nichtmal Datenverlust haben, du kannst ja deine Daten sichern per Live CD.

//Edit: Sorry hab den Beitrag von dir nicht mehr gesehen. Du hast den Weg der Erl�sung gefunden. Es ist auf jedenfall das Richtige. :D