Trojaner löschen

jonny5252 · 10/07/2010, 17:36

Hey,
Ich habe folgendes Problem ich habe seit neustem einen Trojaner der sich als Xampp-controlle.exe tarnt er ist in einem versteckten Ordner.
Ich kann diese Datei weder löschen noch den dazugehörigen Autostart eintrag ,da sie nach wenigen Momenten wieder kommen, ein dazugehöriger Prozess ist nicht offen, der Trojaner weißt keine Internet aktivitäten auf.
Ich abgesichteren Modus klappts auch nicht, gibts noch eine Möglichkeit ausser Formatieren?

Hijackthis:

Spoiler

Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:35:37, on 07.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\ICQ7.2\ICQ.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DSL-Manager\DslMgr.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\TeamSpeak 3 Client\ts3client_win32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\penis\Downloads\HiJackThis204.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: 74.208.10.249 gs.apple.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ParentalControl Bar - {A057A204-BACC-4D26-908B-27FCD4A32E85} - C:\PROGRA~1\PARENT~1\PARENT~1.DLL
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HKLM] C:\Program Files\xampp\xampp-controll.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.2\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTAgent.exe" -autorun
[COLOR="Red"]O4 - HKCU\..\Run: [HKCU] C:\Program Files\xampp\xampp-controll.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files\xampp\xampp-controll.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files\xampp\xampp-controll.exe
[/COLOR]
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Users\penis\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: DSL-Manager.lnk = C:\Program Files\DSL-Manager\DslMgr.exe
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\DSL-Manager\DslMgrSvc.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7690 bytes

VIrustotal:

Diablo_ · 10/07/2010, 17:51

Wie kam die Datei denn auf deinen PC? Toolbars hast du auf jedenfall installiert aber ansonsten ist da nichts.

Ein Malwarebyte's AntiMalware Scan (Vollständigen Suchlauf; C:/F:/E:/ usw...) bringt Gewissheit.

Den Scan wartem wir mal ab, danach sehen wir weiter.

//Edit: Auf eine Neuinstallation kannst du dich eigentlich schonmal vorbereiten.

jonny5252 · 10/07/2010, 18:42

Der war bei nem Portable xampp dabei ...

Scan:

Spoiler

Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4770

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.10.2010 18:41:28
mbam-log-2010-10-07 (18-41-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 314478
Laufzeit: 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1utn56of-d12q-cf84-e2qj-k7b4h4lhor87} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{s2806183-840j-1c2d-0a62-e0ci8200lqtq} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\xampp\xampp-controll.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Users\penis\Desktop\derskt\WoW\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Desktop\derskt\WoW\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\WPE\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\WPE\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\Wpe- Pro\WPE PRO - modified.exe (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\Downloads\WPE Pro - Dupe Filter + Tutorial + Klassen Filter Download (3.3.3a & 3.3.5)\WPE + Converter\Wpe- Pro\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Not selected for removal.
C:\Users\penis\AppData\Roaming\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\penis\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\penis\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.

Es19 · 10/07/2010, 18:43

Diese xampp-controller.exe bitte auf

(Ergebnis kommt per Mail nach etwa 10 min) hochladen.

Ergebnisse verlinken.

EDIT: Du hättest mit Malwarebytes nichts löschen sollen...

Quote:

C:\Users\*****\AppData\Local\Temp\***.*** (Malware.Trace) Backdoor-Schädling: Bifrost

Der Rechner ist nicht mehr unter deiner Kontrolle, unverzüglich neu aufsetzen und dann ein Sicherheitskonzept befolgen:

jonny5252 · 10/07/2010, 19:11

Ich hab jetzt im Abgesichten Erst den Reg. Eintrag gelöscht dann alle Datein die damit was zu tuen haben jetzt findet hijackthis ,malwarebytes, Antivir nichts mehr und die .exe ist auch weg.
Danke für eure hilfe.

Es19 · 10/07/2010, 19:12

Geschenkt.

Wenn du dich damit zufrieden gibst...

Diablo_ · 10/07/2010, 19:23

Quote:

Originally Posted by jonny5252

Ich hab jetzt im Abgesichten Erst den Reg. Eintrag gelöscht dann alle Datein die damit was zu tuen haben jetzt findet hijackthis ,malwarebytes, Antivir nichts mehr und die .exe ist auch weg.
Danke für eure hilfe.

Denk nicht mal dran Es besteht immernoch eine (hohe) Chance das sich die Trojaner regenerieren. Neu aufsetzen ist das Beste. Woher hast du den Scheiß überhaupt?

Quote:

Originally Posted by Es19

Geschenkt.

Wenn du dich damit zufrieden gibst...

Sollte man aber nicht.

jonny5252 · 10/07/2010, 19:25

Auf ne Website gefunden ist schon länger her deshalb weiß ich nicht mehr welche, naja ich bin halt nicht so der Fan von neu aufsetzen ist immer mit soviel Datenverlust und Arbeit verbunden

Es19 · 10/07/2010, 19:25

Quote:

Sollte man aber nicht.

Weiß ich. Überzeugungsarbeit hab ich nach all den Jahren nun aber aufgegeben...

Quote:

ist immer mit soviel Datenverlust und Arbeit verbunden

Aber Datenklau ist besser?

jonny5252 · 10/07/2010, 19:33

eig nicht , naja ich werd dann glaub ich morgen neu aufsetzen müssen ...

Diablo_ · 10/07/2010, 19:36

Quote:

Originally Posted by Es19

Weiß ich. Überzeugungsarbeit hab ich nach all den Jahren nun aber aufgegeben...

Aber Datenklau ist besser?

Ja, es gibt viele Leute die es nicht verstehen. Aber man kann ja machen was man will, nur man muss damit leben das man nachher die Hosen ausgezogen bekommt auf gut Deutsch gesagt. Aber man sollte es immer wieder probieren denn es ist in gewisser Weise unsere Aufgabe das zu tun. (Finde ich)

Von daher: Es19 Hat Recht jonny, und niemand ist ein Fan von soetwas. Aber es sind maximal 2 Stunden "Arbeit" (du machst bei einer Neuaufsetzung kaum etwas) aber dafür ist dein System vertrauenswürdig.

Außerdem musst du nichtmal Datenverlust haben, du kannst ja deine Daten sichern per Live CD.

//Edit: Sorry hab den Beitrag von dir nicht mehr gesehen. Du hast den Weg der Erlösung gefunden. Es ist auf jedenfall das Richtige.