Hallo an die Trojaner Board Community,

nun hat es auch mich erwischt. Als erfahrener und immer auf Sicherheit bedachter Computer Nutzer, habe ich mir gestern beim unachtsamen öffnen einer Datei, gleich mehrere Probleme mit Malware eingehandelt. Die da wären:

- Trojaner: StartPage.nk.8.A
- Trojaner: Drop.Agent.KD.3
- Trojaner: Smitfraud-C
- Registrierungsdatenbankeintrag: Elitum.Elitebar

Um die Malware wieder loszuwerden habe ich - im abgesicherten Modus und bei deaktivierter Systemwiederherstellung - mit folgenden Programmen gearbeitet:

- AntiVir
- AdAware
- SpyBot
- MWAV
- HijackThis
- KillBox

Nun zu meiner Frage. AntiVir, AdAware und SpyBot (jeweils neuestes Update installiert) liefern aktuell keine Fehlermeldungen mehr (voller Systemscan).

MWAV liefert noch folgende Fehlermeldungen:

infected

- Sat Oct 15 21:36:02 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\fifa 2005\user\config.dat
Sat Oct 15 21:36:02 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. -> Ich denke dies ist zu vernachlässigen und hat mit oben beschriebener Malware nichts zu tun.

tagged

- File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\upd.exe tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.

- File C:\WINDOWS\system32\spoolsv32.exe tagged as "not-a-virus:AdWare.Win32.WinAD.aw". Action Taken: No Action Taken.


Kann ich denn nun sicher sein, dass mein System nichtmehr kompromittiert ist? Ich würde mir ein komplettes Neuaufsetzen des Systems gerne ersparen.

Anbei noch ein aktueller HijackThis.log, bei welchem mir das doppelte Vorhandensein der svchost.exe etwas Bedenken macht?


Vielen lieben Dank im Voraus für eure Unterstützung und ein großes Lob an dieses fachkundige Forum.

DJ81


Logfile of HijackThis v1.99.1
Scan saved at 00:14:51, on 16.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Security\Sygate Personal FW\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Security\AntiVir Version 6\AVWUPSRV.EXE
F:\Internet\VPN Client\cvpnd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
F:\Musik\Winamp\winampa.exe
C:\Programme\Video\PowerDVD\PDVDServ.exe
F:\Musik\musicmatch\mmtask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
F:\Security\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Organizer\Lotus\org6\organize\EASYCLIP6.EXE
C:\WINDOWS\System32\svchost.exe
F:\Security\AntiVir Version 6\AVGUARD.EXE
F:\Security\AntiVir Version 6\AVGNT.EXE
F:\Office\OfficeXP\Office10\WINWORD.EXE
F:\Internet\Firefox second\firefox.exe
F:\Security\Anti Trojaner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SmcService] F:\Security\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] F:\Musik\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Video\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] F:\Musik\musicmatch\\mmtask.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [AVGCtrl] F:\Security\AntiVir Version 6\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Security\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = F:\Internet\VPN Client\vpngui.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Office\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Bild mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#101
O8 - Extra context menu item: Bild mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#108
O8 - Extra context menu item: ContentSaver: Bild speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#101
O8 - Extra context menu item: ContentSaver: Bild speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#108
O8 - Extra context menu item: ContentSaver: Link-Adresse speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#110
O8 - Extra context menu item: ContentSaver: Markierte Ziele speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#111
O8 - Extra context menu item: ContentSaver: Markierung speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#104
O8 - Extra context menu item: ContentSaver: Markierung speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#109
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#102
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#106
O8 - Extra context menu item: ContentSaver: Ziel speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#103
O8 - Extra context menu item: ContentSaver: Ziel speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#107
O8 - Extra context menu item: Link-Adresse mit ContentSaver &notieren... - res://F:\INTERNET\CONTEN~1\csshell.dll/#110
O8 - Extra context menu item: Markierte Link-Ziele mit ContentSaver &speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#111
O8 - Extra context menu item: Markierung mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#104
O8 - Extra context menu item: Markierung mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#109
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seitenbereich (Frame) mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#106
O8 - Extra context menu item: Ziel mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#103
O8 - Extra context menu item: Ziel mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#107
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - F:\Organizer\Lotus\org6\organize\bandobjs.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E58EAE-829C-479B-87B0-D937D8B2D785}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAB82B58-4993-41FA-A82A-2778C6F34555}: NameServer = 192.168.1.1
O18 - Protocol: cs - {CF429874-C894-496D-A310-9BB12C16BE3C} - F:\Internet\ContentSaver\CSProtocol.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Security\AntiVir Version 6\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Security\AntiVir Version 6\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - F:\Internet\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Security\Sygate Personal FW\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Security\TuneUP\WinStylerThemeSvc.exe

Hallo DJ81,

folgende Datei solltest Du löschen:

C:\WINDOWS\system32\spoolsv32.exe

Vorzugsweise im abgesicherten Modus bei deaktivierter Systemwiederherstellung.

Öfters mal eine Datenträgerbereinigung vornehmen, z.B. mit clearprog 1.4.1 final

IMHO ist kein Grund vorhanden Dein System neu aufzusetzen, wobei es aber immer die beste Möglichkeit ist, auf der "sicheren Seite" zu sein.

dartus

Vielen Dank Dartus!

habe die spoolsv32.exe gelöscht und mir clearprog heruntergeladen.

Ich habe unter C:\WINDOWS\Prefetch\ eine weitere Datei mit dem Wortlaut spoolsv32-*.pf gefunden! Soll auch diese Datei vom System entfernt werden?

Dateien mit dem Inhalt spoolsv.* (ohne die Endung 32) sind aber unbedenklich oder?

Bis ich eine Antwort erhalte verschiebe ich die spoolsv32-*.pf lieber mal in ein KillBox Backup Verzeichnis!

DJ81

@DJ81
Schade das du diesen Datei schon gelöscht hast, es könnte auch diesen hier sein
http://www.sophos.de/virusinfo/analyses/w32rbotahp.html

zum Anderen
http://www.file.net/prozess/spoolsv.exe.html


chaosman

Hallo,
Escan hat doch die Datei identifiziert siehe:

Zitat:

- File C:\WINDOWS\system32\spoolsv32.exe tagged as "not-a-virus:AdWare.Win32.WinAD.aw". Action Taken: No Action Taken.

Also wird es kein Rbot sein.
Die Prefetch Datei kannst du ruhig löschen, die hat Windows angelegt weil die Datei wohl häufig benutzt wurde.
Von den normalen spoolsv Dateien solltest du die Finger lassen siehe Link von chaosman.



Grüße Wildone

Ist es denn sinnvoll Programme wie LQfix und smitrem über mein System laufen zu lassen auch wenn es im Moment keine Anzeichen für ein noch infiziertes System gibt? Ich mach mir echt Sorgen, dass vielleicht irgendwo noch eine kleine "Hintertür" offen stehen könnte!? Ich habe nochmals Spybot, AdAware und escan laufen lassen. Escan findet nur noch den bereits oben beschriebenen Virus Verweis bzgl. der config.dat von FIFA 2005 und listet darüber hinaus insgesamt 60 Verweise auf "invalid objects" (refers to invalid object) - welcher aber zu vernachlässigen sind oder?

Ich habe aktuell nicht die Zeit mein System neu aufzusetzen würde mich aber trotzdem gern in Sicherheit wiegen.

Danke für eure Unterstützung!

P.S. Es sei noch angemerkt, dass ich sofort nach dem dem Öffnen der Datei mit Virusinhalt mein System vom Netz genommen habe und nur noch im abgesicherten Modus gearbeitet habe.

Hallo,
also da du den smitfraud bei dir drauf hattest kannst du mal die smitrem drüberlaufen lassen und das Log (C:\smitfiles.txt) posten.
Die invalid Objects Meldungen sind harmlos, du kannst die betreffenden Einträge mit Registrybereinigungsprogrammen (z.B. Regseeker) beseitigen (wie bei allem was man in der Registry ändert, auf eigene Gefahr).
Was die config.dat angeht würde ich die lassen wo sie ist, das könnte auch durchaus ein Fehlalarm von Escan sein.
Sehe bei dir jetzt keine Anzeichen die ein neu aufsetzen rechtfertigen würden.



Grüße Wildone

Hi Wildone,

vielen Dank für deine Unterstützung. Ich hab nun auch smitrem über mein system laufen lassen, mit nachstehendem Resultat:


smitRem log file
version 2.7

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Ich denke es ist mir mit eurer Unterstützung gelungen, mein System wieder "virenfrei" zu bekommen.

Viele Grüße

DJ81

Hallo,
sehe ich auch so, viel Spass mit deinem System.


Grüße Wildone