win32:Zlob-BN[Trj] und win32:Trojano-CL[Trj] (2)

[Ricki]

wartet bitte mal... das kann doch nicht sein!!!

Mein Avast hat mir heute auch einen Win32-Zlob-BM(Trj) gemeldet und gleich anschliessend einen Win32-Trojano-CL(Trj)...

Also habe ich mal gegoogelt um Infos zu finden über diesen Trojaner und lande in diesem Forum.
Der Thread ist mittlerweile 4 Seiten lang und der arme Andi rackert sich morgens bis nachts ab. "Mach dies, poste ein log file, mach das, lade das herunter, poste ein log file" und es ist noch immer nicht fertig!

Das wegen einem (oder 2) Trojaner! Das kann doch nicht sein!

So, wisst ihr inzwischen was genaueres vielleicht?
Es müsste doch ein Progrämmchen geben, das man runterlädt und das alles wegblässt?
Ich will jetzt nicht 2 Wochen lang Tag und Nacht "einen Trojaner jagen!"
Lieber mache ich alles platt und neu.

PS: die 2 Trojanis haben sich gerade wieder zurückgemeldet

[Ruby]

Hallo Ricki

mach deinen Rechner platt oder lass es, aber eröffne bitte einen eigenen Thread und poste nicht wild in andere rein.

Thread getrennt.

[Ricki]

Hallo Ruby,

sorry ich bin neu, gelobe Besserung.
Was würdest du mir evtl. empfehlen? Kann es schneller gehen als bei Andi?
Zeit bringt Erfahrung, nicht?
Lass mich mal raten... einen HJT Log file!
bringt es was, wenn ich eine Systemwiederherstellung mache?

Die 2 ungebetenen Gäste melden sich im 10 Minutentakt zurück...
Warum kann Avast die nicht ausmerzen?
Warum muss alles so schwierig sein?

ich freue mich, dieses Forum gefunden zu haben. Der Support scheint Spitze zu sein!

[Ruby]

Hallo Ricki

ich weiss nicht, was du auf deinem Rechner hast?
Du kannst eine Systemrückstellung versuchen:
Start-> Alle Programme-> Zubehör-> Systemprogramme-> Systemwiederherstellung-> Computer auf ein früheren Zeitpunkt wiederherstellen-> ok-> zurückliegendes Datum wählen (Info).

Aber in jedem Fall brauchen wir ein Hijack>This Log und eventuell darüberhinaus noch mehr Information, das hängt dann von deinem Logfile ab:

lade HijackThis runter, entpacke es in den Ordner C:\Programme\HijackThis
(Kostenloses Zip-Tool: SIMPLYZIP)
Erstelle ein HijackThis Logfile laut Anleitung und poste es.

[Ricki]

Hallo Ruby,
sa mal, du bist ja immer da! gestern noch bis nach Mitternacht und heute schon vor 10 Uhr! Machst du das beruflich, oder ehrenamtlich? Dein Support ist echt klasse! Ich werde auf jeden Fall im Anschluss etwas spenden. Hier ist mein Log File:
Die Auswertung online hat einen bösen Eintrag gezeigt:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

und daß ich keinen Firewall benutze, bzw. den Windows Firewall (stimmt). Meine DSL Box hat doch auch einen Firewall! Brauche ich unbedingt einen?


Logfile of HijackThis v1.99.1
Scan saved at 11:31:57, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\NB Probe\NBProbe.exe
C:\Programme\ASUS\Wireless Console\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NB Probe] C:\Programme\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C793261-D4B6-4FC0-A11C-DAAA703BDE9F}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe

[Ricki]

Möchte noch was hinzufügen:
Vor 2 Wochen ca., als ich mich abmelden wollte, kam die Meldung, daß ein anderer Benutzer verbunden ist und ob ich die Verbindung wirklich trennen wollte.
Schrecklich, nicht? Sowas nennt ihr einen Backdoor Trojaner.

Ich habe dann meinen Zugangscodes für online banking, Mail, Foren, paypal, e-gold auf einen USB-Speicher geladen und auf C gelöscht.
Anschliessend habe ich AdAware und Spybot runtergeladen und durchlaufen lassen (so um die 15 Einträge), danach noch AVAST laufen lassen (1 Trojaner).
Dann dachte ich ist die Sache geregelt.
Bis gestern, da habe ich einen Video-Codec runtergelden und der war wohl infiziert. Schon bei der Installation hat er sich aufgehängt.

Sowieso.. wenn "der Fremde" auf meinem Bankkonto schaut, kriegt er Mittleid und überweist mir womöglich noch was ;-D!

[Ruby]

Hallo Rickie

zu O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE hat Karl geantwortet: bitte klicken.

Video-Codec scheint ein sehr riskantes Tool zu sein, bitte lesen.

In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.

Aus deinem HJT Log geht leider nicht genug Information hervor.

Lade bitte die windatfindbat
von unserem Moderator Karl83 (für alle Betriebssysteme) herunter. Bitte
auf die Datei klicken, es erscheint ein DOS-Fensterchen, nun wird eine
Notepad-Datei unter C:\ erstellt.
Bitte von diesem Text >> jeweils die letzten 30 Tage kopieren << und hier posten:

C:\
C:\%WinDir%\%System%
C:\%WinDir%
C:\%WinDir%\TEMP

Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

[Ricki]

Noch was hatte ich vergessen zu erzählen:
Seit gestern habe ich 2 neue Icons auf dem Desktop und im Startmenü. Sie sehen aus wie dreieckige Schilder. Einer ist grün und da steht "security troubleshooting", das andere ist blau und da steht "online security guide". Daß die Dinger nicht OK sind ist wohl sicher wie der Tod und die Steuer. Ich habe keines angeklickt.
So hier meine dirdat, die letzten 30 Tage:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\

29.05.2006 13:08 0 dirdat.txt
29.05.2006 11:03 1.073.074.176 hiberfil.sys
29.05.2006 11:03 1.610.612.736 pagefile.sys
20.05.2006 10:07 0 BOOTLOG.TXT
13.05.2006 11:29 0 BOOTLOG.PRV

Verzeichnis von C:\WINDOWS\system32

29.05.2006 13:06 4.940 stdole3.tlb
29.05.2006 11:10 41.485 ld101.tmp
28.05.2006 22:11 4.286 ts.ico
28.05.2006 22:11 4.286 ot.ico
28.05.2006 22:04 50.701 regperf.exe
27.05.2006 17:57 58.952 MsgPlusLoader.dll
08.05.2006 11:24 3.002 CONFIG.NT
08.05.2006 11:03 1.158 wpa.dbl
04.05.2006 06:26 5.818.784 MRT.exe

Verzeichnis von C:\WINDOWS

29.05.2006 11:10 159 wiadebug.log
29.05.2006 11:10 54.156 QTFont.qfn
29.05.2006 11:03 0 0.log
29.05.2006 11:03 2.048 bootstat.dat
29.05.2006 00:32 1.177.100 WindowsUpdate.log
29.05.2006 00:32 32.622 SchedLgU.Txt
29.05.2006 00:32 50 wiaservc.log
28.05.2006 14:55 116 NeroDigital.ini
27.05.2006 17:57 1.409 QTFont.for
27.05.2006 10:58 41.253 wmsetup.log
23.05.2006 23:57 592.443 setupapi.log
16.05.2006 20:37 1.864 OEWABLog.txt
10.05.2006 02:09 1.374 imsins.log
10.05.2006 02:09 289.817 FaxSetup.log
10.05.2006 02:09 145.905 ocgen.log
10.05.2006 02:09 46.395 iis6.log
10.05.2006 02:09 16.275 ocmsn.log
10.05.2006 02:09 14.776 msgsocm.log
10.05.2006 02:09 108.371 comsetup.log
10.05.2006 02:09 116.259 tsoc.log
10.05.2006 02:09 63.944 ntdtcsetup.log
10.05.2006 02:09 11.627 KB913580.log
10.05.2006 02:08 28.093 updspapi.log

Verzeichnis von C:\DOKUME~1\Ricki\LOKALE~1\Temp

29.05.2006 11:20 33.409 jusched.log
29.05.2006 11:17 49.152 ~DFC668.tmp
29.05.2006 00:31 49.152 ~DF81A0.tmp
28.05.2006 22:52 16.384 ~DFECB8.tmp
28.05.2006 14:28 43.914 mps00076.tmp
27.05.2006 18:06 480.522 mps070F4.tmp
27.05.2006 16:49 67.994 TFR3B.tmp
27.05.2006 10:58 717 control.xml
23.05.2006 13:32 939 jupdate1.5.0.xml
22.05.2006 21:45 92.705 TFR62.tmp
22.05.2006 21:44 62.205 TFR4A.tmp
22.05.2006 21:44 50.917 TFR46.tmp
22.05.2006 21:44 71.682 TFR33.tmp
22.05.2006 21:44 21.122 TFR3E.tmp
22.05.2006 21:44 67.560 TFR42.tmp
22.05.2006 21:44 23.427 TFR3A.tmp
22.05.2006 21:44 10.225 TFR31.tmp
22.05.2006 21:44 32.204 TFR27.tmp
22.05.2006 21:44 35.574 TFR2E.tmp
22.05.2006 21:44 27.777 TFR26.tmp
22.05.2006 21:43 73.578 TFR22.tmp
22.05.2006 21:43 62.753 TFR1D.tmp
22.05.2006 21:41 116.853 TFR18.tmp
22.05.2006 21:41 80.121 TFR14.tmp
22.05.2006 21:40 72.455 TFR10.tmp
20.05.2006 03:30 1.591 gn.gif
18.05.2006 14:33 0 y48A4.tmp
14.05.2006 13:39 27.777 TFR3F.tmp
14.05.2006 13:39 59.218 TFR20.tmp
14.05.2006 13:39 67.560 TFR21.tmp
14.05.2006 13:39 10.225 TFR32.tmp
14.05.2006 13:39 21.122 TFR25.tmp
14.05.2006 13:39 23.427 TFR29.tmp
14.05.2006 13:39 46.660 TFR17.tmp
14.05.2006 13:39 71.682 TFR2D.tmp
14.05.2006 13:39 40.950 TFRE.tmp
14.05.2006 13:39 32.204 TFR3C.tmp
14.05.2006 13:39 56.657 TFR1C.tmp
14.05.2006 13:39 46.021 TFR8.tmp
14.05.2006 13:39 20.560 TFR11.tmp
14.05.2006 13:39 35.574 TFR36.tmp
14.05.2006 13:39 67.994 TFR9.tmp
14.05.2006 12:10 2.872 java_install_reg.log
14.05.2006 11:56 92.864 au_setuph.dll
14.05.2006 11:56 302.611 au_all.cab
14.05.2006 11:56 9.920 au_res.dll
14.05.2006 11:56 14.238 msntb.cfg
14.05.2006 11:56 602 manifest.cfg

[Ruby]

Wende bitte das SmitfraudFix laut Anleitung an.
Bitte den 1. rapport.txt kennzeichnen: rapport_1.txt, damit der zweite, den ersten nicht überschreibt.
Wir wollen bitte beide Logfiles sehen.

Bitte danach die Systemwiederherstellung deaktivieren, den Rechner booten, dann die SWH wieder aktivieren. Vergib einen vorläufigen Systemwiederherstellungspunkt.

Erstelle und poste dann bitte auch ein neues HJT Log.

[Ricki]

ok, mache ich gleich.
Inzwischen wollte ich diesen ALCMTR.EXE nach der Anleitung von Karl löschen. Ging aber nicht, weil sich das "Spybot resident..." dazwischen geschaltet hat.
"Änderungen an der Registrierungsdatenbank verboten". Jetzt habe ich den Spybot "Mitläufer" deaktiviert, der nervt nur. Soll ich nicht Spybot komplett weghauen?