Hilfe beim entf. eines Trojaners

patrick_l · 19.12.2009

Hallo allerseits,
ich habe folgendes Problem. Bei mir hat sich ein Trojaner Namens renos.JM eingeschlichen. Habe mein System erst vor einigen Tagen neu aufgesetzt und habe kein Verlangen wieder von Neu anzufangen. Kennt sich einer mit dem Problem aus und kann mir Helfen diesen Schädling wieder los zu werden. Google hat mir zwar einiges Verraten aber auch nicht zur Lösung beigetragen.
Ich hoffe also das jetzt hier einer ist der Ahnung von der Materie hat.

lieben Gruß, DerOtto

Screenshot:
Das sagt mir der Win-Defender

Hier meine Logfiles:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:31:43, on 19.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\********* Bytes\Virtual*****Drive\V****emon.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\VistaOSX\spaces.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: ContributeBHO Class - {****-****-****-*****-*****} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {****-****-****-*****-*****} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {****-****-****-*****-*****} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {****-****-****-*****-*****} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {*****-*****-*****-*****-******} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {******-*****-*****-****-*****} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {****-****-****-*****-*****} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Virtual*****Drive] "C:\Program Files\********* Bytes\Virtual*****Drive\V****emon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MobileConnect] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{****-****-****-*****-*****}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ZagrebLand] C:\Users\Patrick\AppData\Local\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Leftisder.lnk = C:\Program Files\VistaOSX\leftsider.exe
O4 - Global Startup: Spaces.lnk = C:\Program Files\VistaOSX\spaces.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: ICQ6 - {****-****-****-*****-*****} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {****-****-****-*****-*****} - C:\Program Files\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O13 - Gopher Prefix: 
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8303 bytes

fcharon · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Haste nach dem AUfsetzen eine Sicherungskopie/Backup gemacht? Dann Schmeiß die wieder drauf. Oder, Du setzt das System neu auf - aber dann sofort ein Backup ziehen! Das geht wahrscheinlich schneller als den Trojaner zu entfernen. Ich hab mal was ähnliches gehabt und hab mir 3 BootCD's runtergeladen von Antivir, FSecure, Gdata und die nacheinander laufen lassen. Die haben zwar letztlich das Ding gefunden, aber die einzige Möglichkeit war dann die Files zu löschen, weil eine Reparatur nicht funzte. Danach waren jedoch wichtige Dateien futsch und ich konnte doch neu aufsetzen. Ca 1 Woche für den Ar....
Ach so, das Ding hatte als erstes den Kaspersky föllig ausgeschaltet und unbrauchbar gemacht. Dieser ließ sich dann auch nicht mehr deinstallieren, Dann im BIOS die DVD laufwerke unsichtbar gemacht etc etc. Ich wollte auch unbedingt mein System retten trotzdem einige Experten mir schon die Neuinstallation empfohlen hatten. Leider habe die recht behalten. Jetzt gibts regelmäßig Großvater, Vater, Sohn Backups

LG

patrick_l · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Ja, ich habe jetzt auch noch nebenbei weiter gegoogelt. Werde jetzt in den Sauren Apfel beißen und neu aufsetzen. Kann nicht sogar mit der CD das System überschreiben und trotzdem Programme behalten. Also quasi Nur das System? Habe beim Aufsetzen von Vista so einen Punkt gesehen - auch nur Möglich wenn das System am laufen ist.

Ossi_L · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Hallo,
du kannst versuchen, die Viren mittels einer Rescue-Cd zu entfernen. Dazu musst du das Image auf einer CD brennen und anschließend von dieser CD starten. Die CD hat ein eigenes Betriebssystem (Linux - keine Angst , selbst ich hab es geschafft), überprüft deinen Rechner und entfernt gefundene Viren. Wenn du Glück hast funktioniert es.

Sollten jedoch Systemdateien betroffen sein, wird dein System nicht mehr starten.

Das Image gibt es kostenlos unter

"http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html"

Ich würde allerdings in den sauren Apfel beißen und das System neu aufsetzten - ein ungutes Gefühl bleibt immer.

fcharon · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

hab ich ja auch probiert. Die rescue CD's laufen 24 Stunden und am Ende blieb nur löschen der befallenen Dateien. Danach - wie oben beschrieben SysDatein weg und System neu aufsetzen. Alles neu installieren dauert zwar auch ein oder zwei Tage aber dann funzt wieder alles...

LG

patrick_l · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Ja, ich bin gerade dabei alles für einen Neuanfang vorzubereiten. Also wichtige Daten sichern wie Bilderdatenbank und Co. Mache lieber jetzt das volle Programm und nicht nur eine Patention. Habt Ihr den eine zu empfehlende Software für System-Backups? Oder reichen auch die Windows eigenen Wiederherstellungspunkte?

Edit:

Kann ich denn die Microsoft-Updates sichern? - oder kann der Trojaner auch dort verankert sein?
So spare ich mir den neuen Download. Da ich leider noch für ein par Tage nur UMTS habe.

oxygen · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

DerOtto schrieb:
Habt Ihr den eine zu empfehlende Software für System-Backups? Oder reichen auch die Windows eigenen Wiederherstellungspunkte?

also ich schwöre seit jahren auf acronis true image
gibt es leider nur für windows

DerOtto schrieb:
oder kann der Trojaner auch dort verankert sein?

ich bin zwar die letzte die was für billy übrig hätte - aber n trojaner von der original microsoftseite .... neee - kann nicht sein

ich würde die platte zusätzlich "nullen" also mit daten überschreiben - bevor du neu installierst - da es neuinstallstionsresistente viren gibt

edit:
bevor ich es vergesse - an der tu berlin gibt es leute die sich damit befassen
... wenn du also n interessantes exemplan hast - also nen neuen virus - kannste den dahin schicken ... und bekommst interessante informationen

Voodoo_Guz · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Hey,

ich hab bei meinen Eltern, vor einem Jahr, auch einmal das Antivir-Tool genutzt (avira_antivir_rescue_system). Auf deren Laptop war auch ein Trojaner drauf, weis aber leider nicht mehr welcher, sry.
Aufjedenfall hat das Tool funktioniert. Hab danach noch den Rechner gescannt, heruntergefahren und noch einmal gescannt. Dadurch kann man dann doch das ungute Gefuehl etwas vergessen ;-)
Evt. funktioniert es ja auch bei dir.

@oxygen, an wen oder welchen Fachbereich soll er den Trojaner schicken? (E-Mail Adresse waere nicht schlecht ;-)

Gruesse, Guz.

oxygen · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Voodoo_Guz schrieb:
@oxygen, an wen oder welchen Fachbereich soll er den Trojaner schicken? (E-Mail Adresse waere nicht schlecht ;-)

Gruesse, Guz.

hab vorhin schon gesucht - bin heut aber betriebsblind

probier mal den link

cebylon · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

passt bitte bei den Wiederherstellungspunkten auf:
Wenn nicht genug Platz auf der Festplatte ist, werden die jeweils letzten WHPunkte
einfach gelöscht, damit die "neuen" ... Platz haben.

Das Thema hatte ich vorgestern, als ich Office deinstallieren musste und die
Neuinstallation 3-mal hintereinander abbrach - Der manuelle Wiederherstellungspunkt
VOR der Deinstallation war nämlich nun weg, und 3 neue automatische drin.

System: Win VISTA 64 Ultimate

fcharon · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

Also die Windoofs updates die Du noch (im Original) auf der Platte findest kannste sichern. Han noch nicht gehört, dass diese Dateien auch befallen werden können. Dann haste wenigstens die updates gespart. Als Backup nehme ich seit Jahren Arconis true Image. Damit sicherst Du ganze Partitionen/Festplatten, der erstellt auch auf Wunsch start CD's falls mal gar nichts mehr geht. Den kannste aber auch dazu benutzen um Deine Daten/Dateien zu sichern, dabei gibt er auch die Möglichkeit nur incremental (also nur die veränderten Dateien) zu sichern. Dann haste Deine Daten wenigstens immer sicher (zB auf ner externen Festplatte). Und nach der Rohinstallation (Betriebssystem und Office etc) erst mal ein Backup. Dann kann auch mal was schief gehen wenn mit anderer Software die installiert wurde mal die "blue screens" einen zwingen wieder sauber auf einen "guten" Zwischenstand zurückzugehen. Noch ne Anmerkung zu den MS Widerherstellungspunkten: Die sind nur in Ausnahmefällen gut, weil nur MS relevante abgespeichert werden. Und wenn Du Schädlinge hast ziehen die sich gleich wieder die Schlabberlätzchen an und befallen die neuen alten auch direkt wieder. Wenn ich doch nur mal son Schädlingsersteller mal kriegen würde......
Der Sch... hat mich schon etliche 3/8 Stündchen gekostet....

LG

patrick_l · 19.12.2009

AW: Hilfe beim entf. eines Trojaners

So Leute, ich bin wieder Online. Nachdem ich jetzt über 7 Stunden damit verbracht habe mein System neu aufzusetzen, bin ich dann dochmal fertig geworden. Stehen "nur" noch die Updates an und dann läuft meine Maschine wieder 100%tig. Mich wundert aber eines, mein Leistungsindex bzw. Bewertung ist nen ganzes Stück nach oben gewandert. Vorher: 4,1 und jetzt: 5,5 - wie kann das? Ich mein das System wurde vor kurzem erst neu gemacht. Und da viel die Bewertung nicht so hoch aus.

Technische Daten:
Dual-Core 2,7 GHz - 3gb Ram - GraKa: GeForce 9800GT (1 gb ddr3 Ram)

Außerdem habe ich noch par Fragen was die Datensicherung angeht.
Wenn ich Arconis true Image einsetze kann ich also mein komplettes System auch auf Dvd sichern. Wie ist den die Funktionalität was das wieder Einspielen angeht? Ich habe jetzt extra meinen PC andester Aufgebaut. Statt 2 wurden es 3 Partitionen.

C: (ca. 160gb) Primäres System, Programme
D: (ca. 400gb) Meine Daten > Bilder, Unterlagen
E: (ca. 40gb) Recovery bzw. Backups - Außerdem noch 3 externe Festplatten mit 2 mal 1 TeraByte und 1 mal 300 GigaByte

Macht meine Aufteilung in der Form Sinn oder spielt das keine all zu große Rolle was Backup und so angeht. Ich bin halt noch bisschen aufgewühlt, halt das erstemal mit Trojanern so einen ärgern gehabt und all die Jahre nie über Backups erkundigt oder Nachgedacht. Google jetzt auch schon die ganze Zeit vor mich hin.

Lieben Gruß DerOtto

Edit:

@ oxygen :
Der Trojaner war nicht auf den Updates von Microsoft drauf. Es ging darum ob diese Updates die auf einem System sind ebenso befallen werden.
Sonst hätte ich diese Gesichert. Service-Packs beispielsweise habe ich immer auf einer Externen gesichert.

@ Voodoo_Gu: Antivir hat rein garnichts gebracht, nur das ich immer deutlicher zu spüren bekommen habe das Ich nicht drum Rum komme alles neu zu Installieren. Außerdem ging alle 5 Minuten der Windows-Devender in die Luft mit nem Roten Schild vor meiner Nase.

schumi991 · 03.01.2010

AW: Hilfe beim entf. eines Trojaners

Hallo,

benutze auch die Acronis Backup Software. Acronis ist als Boot-CD mit MiniLinux zu vestehen.

Bei der Menüführung kann dann ein "Abbild erstellen" oder "Abbild wiederherstellen" gewählt werden.

Eine Bezeichnung oder Beschreibung der Datensicherungen kann mit angegeben werden z.B. verschiedene Versionen oder Bezeichnungen der Sicherung, installierte Programme usw.

Ebenfalls ist eine Kompression möglich. Eine "vermutliche" Datengröße wird bei der Wahl der Kompressionsstärke mit angegeben.

Als Hinweis - eine komplette Datensicherung auf "eine" DVD wird nicht wirklich umgesetzt werden können. Hab bei meiner "Sicherung" ein Win XP Prof. mit "minimaler" Programminstallation gemacht unn komme dabei schon auf 3,5 GB (ist allerdings auch mit allen Updates und SP versehen).

Soweit ich weiss, kann nur eine komplette Partition gesichert und wiederhergestellt werden. Die Größe kann dann zum Einspielen der Sicherung nicht geändert werden (z.B. 40 GB Partionssicherung legt auch wieder eine 40 GB Partition an).

Die Sicherung kann aber auf jedem beliebigen Laufwerk bei der Erstellung abgelegt werden. Es können auch Splittungen der Datei vorgenommen werden, sodass die Sicherung auf mehrere Datenträger gebrannt werden kann.

Ich hoffe, ich konnte etwas Licht ins Dunkle bringen... ;-)

Nikon28 · 09.01.2010

AW: Hilfe beim entf. eines Trojaners

Ich empehle generell ab und an mal das System mit Desinfec't 8 durchzuprüfen (eine BootCD, die es in der aktuellen C'T Ausgabe gibt). Die findet und entfernt auch Sachen, die sonst im laufenden Betrieb nicht gefunden werden (ADS, etc.). Kann nicht schaden.