Trojaner?

[McFly]

Hi,

da ich jetzt schon alles versucht habe und nichts geklappt hat, schildere ich hier mal mein Problem. Vielleicht weiß jemand bescheid:

Vorweg einige Fakten:
- ich habe immer ne Firewall und nen Virenscanner mit Echtzeitschutz laufen (ZoneAlarm; Kaspersky)
- Sicherheitsupdates sind alle installiert
- benutze über WLAN den Router meines Nachbarn mit

Vor einigen Wochen fing es damit an, dass der Internet Explorer ständig als ich am surfen war (mit Opera) irgendwelche Popups geöffnet hat, auch wenn ich auf garkeiner Page war. Zudem ist mir im Taskmanager aufgefallen, dass der Internet Explorer ständig aktiv war (und ca. 50 mb Ram in Anspruch nahm), schließen ließ er sich im Taskmanager auch nicht. (führte sich immer neu aus)

Also zuerst mal einige Spyware Programme und nen kompletten Scan mit Kaspersky durchgeführt, der nichts gefunden hat. Da mich der Internetexplorer sowieso schon immer genervt hat, habe ich ihn mit XPLite deinstalliert, was das Popup-Problem schonmal beseitigte. Der Internet Explorer war daraufhin auch nicht mehr im Taskmanager zu sehen. Stattdessen zog nun folgendes Programm ca 50 mb Ram: "htmmath.exe", genau wie der Internet Explorer lässt es sich nicht schließen (bzw führt sich neu aus).

Das zweite Programm das mir im Taskmanager auffiel war "Second boob.exe", klang mir sehr nach irgendnem Trojaner.

Allerdings habe ich zu diesem Stichwort nichts gefunden im Internet, und da nichtmal Kaspersky was findet bin ich langsam wirklich am Ende mit meinem Latein. Vielleicht erkennt von euch ja jemand, um was es sich handelt...

Gruß

[Neo]

Lade dir mal "hijackthis" und poste hier das damit erzeugte Logfile, dann kann ich dir sagen, welche Einträge aus dem Systemstart entfernt werden müssen, denn meist wird diese Art von Spyware im Bootvorgang geladen.

Grüße
Neo

[Strahlemann]

..und diese Boob.exe gibt es in verschiedenen Varianten als Trojaner (Move Dash; First etc). Hijackthis ist sicherlich der erste Weg. Zusätzlich am besten "Start - Ausführen - msconfig" und dort unter Systemstart ungewöhnliche Einträge, evtl sogar von deinen genannten .exe-Dateien entfernen und anschließend die Registry nach diesen Einträgen durchsuchen und entsprechende löschen. Das sind so die üblichen vorgehensweisen bei hartnäckiger Spyware/Trojanern(Nach dem nächsten Neustart wiederholen, da die manchmal doch noch zurückkehren). Adaware wäre am Rand auch noch eine einfache Lösung.

[McFly]

Logfile of HijackThis v1.99.1
Scan saved at 21:34:31, on 30.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\System32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\wdfmgr.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ShutDownKoenig\sdkpro.exe
C:\Programme\LMPC3\lockpc.exe
C:\DOKUME~1\PORTER~1.COM\ANWEND~1\UPCITY~1\Second Boob.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\YzDock\YzDock.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\Opera.exe
C:\WINXP\system32\taskmgr.exe
C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\CDROMI~1\htmmath.exe
C:\WINXP\system32\wuauclt.exe
C:\temp\subtemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {219D8043-8E01-274A-2185-F728A462B5DB} - (no file)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [SDK] C:\Programme\ShutDownKoenig\sdkpro.exe
O4 - HKCU\..\Run: [Lock My PC] C:\Programme\LMPC3\lockpc.exe /s
O4 - HKCU\..\Run: [ROAM README] C:\DOKUME~1\PORTER~1.COM\ANWEND~1\UPCITY~1\Second Boob.exe
O4 - HKCU\..\RunServices: [Windows Task Manager] taskmngr.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: YzDock.lnk = C:\Programme\YzDock\YzDock.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125687134844
O20 - Winlogon Notify: WgaLogon - C:\WINXP\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe


Also es werden ja schon beide Prozesse angezeigt. Werde sie mal aus dem Systemstart entfernen. Mal sehen wie hartnäckig das Teil ist...

[Strahlemann]

Also viele deiner Prozesse sind Böse und sollten dringend gefixt werden oder sind unnötig. Wie man das behebt, überlasse ich allerdings einem Profi, ich erkenne nur, dass du mindestens 1 Wurm auf deiner Kiste mit dir führst. Da wird sich aber bestimmt Neo nochmal zu Wort melden und dir ALLES erklären.

[McFly]

Also habe die Einträge entfernt, neugestartet und die Exes gelöscht. Ich denke mal nicht, dass sich das Teil noch irgendwie reproduziert aber ich lasse grad nochmal nen Scan laufen.

Danke schonmal.

[Neo]

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {219D8043-8E01-274A-2185-F728A462B5DB} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

unbedingt:
O4 - HKCU\..\Run: [ROAM README] C:\DOKUME~1\PORTER~1.COM\ANWEND~1\UPCITY~1\Second Boob.exe

????  O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
????  O4 - Startup: YzDock.lnk = C:\Programme\YzDock\YzDock.exe


die können auch raus (unnötig, im Start zu laden)

die zwei mit den Fragezeichen musst du checken, ob es reguläre Software oder Spyware etc. ist.

Grüße
Neo

[dÜnni]

Du hast einen Trojaner auf der Kiste, also wäre die Konsequenz Windows neu aufzusetzen. Du kannst nie wissen was die Dinger aus dem Netz nachgeladen haben und was noch alles auf deinem Rechner ist. Auch HiJackThis muss nicht alles finden. Du kannst, auch wenn du scheinbar alles gelöscht hast, nicht zu 100% sicher sein das wirklich alles weg ist und der Rechner nicht in 2 Tagen wieder so aussieht wie jetzt.

Rainlendar und YzDock sind solche Widgetprogramme, so ein Desktopkalenderdingens und eine Launchbar, die hast du sicher mal irgendwann installiert.

[McFly]

Naja so schlimm sieht es doch nun nicht aus ;) ich weiß natürlich welche Programme das sonst alles sind im Log... mein Rechner ist sonst auch eigentlich immer sehr "aufgeräumt". Daher kam Kaspersky die letzen Jahre nie wirklich zum Einsatz...

Deswegen erstaunt es mich umso mehr, dass es mal eins von diesen Dingern wirklich auf meinen Rechner geschafft hat. Ich werde später nochmal nen Boot-Scan mit Kaspersky durchführen, das sollte reichen.

Also danke nochmal.