[HaBo]

tobsef

Anzeige

Ein Trojaner startet sich mit der Explorer.exe!

Nach dem ich für einige Programme manuell Updates herunterladen und installiert habe, viel mir auf, dass die CPU Auslastung von meinem Windows Explorer sehr gestiegen ist (immer über 20%) und beim kopieren über 90%.
Mit dem ProcessExplorer habe ich dann gesehen, dass die Explorer.exe einen unterprozess gestartet hat, nämlich meinen Firefox. Kurios war jedoch, dass dieser in der Taskleiste nicht sichtbar war. Sehr verdächtig war dann aber dass diese Firefox.exe von alleine ständig neue Verbindungen zu IP's in Russland aufnahm (SygeateFirewall, IP mit VisualTrace verfolgt).
Beende ich den die Firefox.exe wird sie vom Explorer neu gestartet. Starte ich den Firefox selbst, wird er als ein zusätzlicher Prozess angezeigt (beide im selben Ordner).

Ich habe bereits Antivir, AVG, Avast! und Spybot Shearch&Desdroy drüber laufen lassen -ohne Erfolg. Bei a2 hijack und HijackThis ist mir nichts außergewöhnliches aufgefallen. Ich habe sogar den Hash von der Explorer.exe mit dem von meinem Laptop (nicht infiziert) verglichen -sind beide identisch.
Also kann es nur noch an einen ExplorerAddon liegen!? -Wie Startet der original Explorer ein neues Programm?
Ich bin jetzt gerade am Ende mit meinem Latein.

Gibt es wirklich solche Trojaner, die nicht erkannt werden und mit Hilfe des Firefoxes (darf "nach hause telefonieren") meinen Computer ausspionieren?

Hier noch das Logfile von HijackThis v1.99.1

Scan saved at 14:34:14, on 25.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\winvnc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SYSTEM32\PROCEXP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcrobatInfo.exe
D:\Eigenes\Netzwerkordner\ExplorerXP\ExplorerXP.ex e
D:\Eigenes\Netzwerkordner\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Encarta Web Companion Helper Object - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Xilokit Deskloops BHO - {B0CD151E-D4F1-4474-9BED-7D0173050EAD} - C:\Programme\Xilokit\Deskloops\DLIEHelper.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\winvnc.exe" -service (file missing)

-nicht daran Sören, dass so viele Antivirenprogramme installiert sind
-UltraVNC ist selbstverständlich bewusst installiert

Danke im Voraus für eure Ratschläge,
mit freundlichen Grüssen,
Tobse

lightsaver

es ist gut möglich, dass der möglicherweise rootkit-funktionen benutzt und daher nicht gefunden wird.

einziger tip den man hier eigentlich geben kann ist: windows komplett neu aufsetzen

ERit

und wenn du den explorer von einem anderen rechner kopierst und mit hilfe einer live-cd über die alte explorer.exe drüberkopierst ?

lightsaver

@ erit:

wenn es da wirklich einen trojaner-befall gibt, wird der wohl kaum mit dem austausch der einen exe behoben sein! und ganz besonders wenn der sich so versteckt sollte man das system neu machen, alles andere wäre ziemlich dumm

ERit

so wie er das schildert ist laut seiner diagnose nur explorer.exe schuld. einen versuch wärs wert

lightsaver

ja nur die macht das nicht ohne grund, also muss ja doch noch was da sein. dann hast du das eine symptom vielleicht geheilt, der schädling ist aber immernoch da. und weißt du denn was der noch so alles macht und vielleicht auf anderen wegen sendet? das ist doch das kritische und daher sollte man auf experimente verzichten.

tobsef

Wie gesag habe ich mich versichert dass die explorer.exe nich infiziert ist.
-hat den gleichen Hash wert wie eine "gesunde" von meinem Laptop.
Um sicher zu gehen habe ich sie trotzdem ausgetauscht, was aber nichts geändert hat.

Wie schafft es der Trojaner sich mit dem Explorer zu starten? Wie kann ich Exploreraddons vernünftig überprüfen und löschen?

CDW

mit Autoruns von Sysinternals http://www.microsoft.com/technet/sys.../autoruns.mspx
kann man unter anderem auch Explorer"Plugins" sehen.
Allerdings halte ich diese Aussage für bedenklich:
Ja, insbesondere "professionell" eingesetzte (Botnet Aufbau, Kreditkarten usw. Spionage) werden eher nicht von AVs entdeckt. Auch wenn die Werbung etwas anderes suggeriert - es ist zwar schön, dass AVs 99% vom "Standardzeug" entdecken, alles (und die gefährlichste Malware) wird damit allerdings nicht abgedeckt.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

buggybunny

Nein, wäre es nicht.

Es gibt keine Alternative zum Neuaufsetzen / Image zurückspielen.

tobsef

Habe den Übeltäter gefunden. Mit AutoRuns ist mir folgender Regestry Schlüssel aufgefallen:
"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{1733BDA9-5A3F-F9C1-1D48-21CFE0F1A0B4}]"
mit dem Wert "subpath" und dem Eintrag:
C:\WINDOWS\system32\system\system.exe s

Der Explorer startet erst wenn das Programm weider geschlossen ist. Aber da es gleich einen Weiteren Prozess ausführt und sich dann beendet bekommt man davon nichts mit.

Aus Sicherheitsgründen habe ich inzwischen trotzdem eine Image zurück gespielt.
-Man weis ja nie

Vielen dank für die vielen, hilfreichen und vor allem schnellen Antworten,
Tobse