Hallo an die Experten, bin recht ratlos. Mein Antivir meldet den Trojaner TR/Drop.Agent.38424. Habe ihn in Quarantäne gestellt. Lass ich aber das Programm Ad aware laufen kommt während des Scan Vorgangs wieder eine Virenwarnung über den gleichen Plagegeist. Als Quelle nennt er eine Datei A0039506.exe . In Google wurde ich nicht fündig. Außerdem findet HJt die Datei ntos.exe über die ich auch nichts gutes gelesen habe. Das Logfile füge ich bei. Wie werde ich den Trojaner problemlos los und was tut er? Ich konnte im Web nichts finden. Danke für Eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 21:54:08, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\progra~1\mcafee\mcafee antispyware\masalert.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Nützliche Progs\HIJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\mcafee antispyware\masalert.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {60A4753E-45EE-497E-9FE9-92844F48103E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {60A4753E-45EE-497E-9FE9-92844F48103E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe

Hi,

sieht danach aus, daß all deine Passwörter und Zugangsdaten ausgespäht wurden. Die müssen dann umgehend von einem sauberen Computer aus geändert werden.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Geh zu VirusTotal und lass dort die C:\WINDOWS\system32\ntos.exe scannen, kopiere die Ergebnisse hierher.

Falls der Upload nicht klappt oder bei Virustotal angezeigt wird, daß die Dateigröße 0 Byte ist (ich rechne damit), dann lade dir den Process Explorer, entpacke das Zip und starte ihn. Im Menü die Find-Funktion öffnen (oder Strg-F), dort "ntos.exe" (ohne "") eingeben und suchen lassen. Es dürfte eine Meldung über ein geöffnetes Handle in winlogon.exe geben. Doppelklick darauf markiert die richtige Stelle im unteren Teil des Fensters von ProzessExplorer. Dort einen Rechtsklick drauf machen -> Handle schließen. Jetzt sollte es klappen. Dann am besten auch gleich mit dem Explorer in den system32 Ordner gehen und die Datei umbenennen, damit sie beim nächsten Start nicht mehr aktiv werden kann.

Gruß, Karl

Hi,

hatte das gleiche Problem, das ich mit Spybot gefunden habe:



Konnte keine der 4 Einträge löschen. Habe nun aber Danke des Tipps von @KarlKarl mit dem "Process Explorer" geschafft sie zu löschen.

Meine Frage ist nun: Muss ich alle Passwörter und Zugangsdaten neu erstellen? Oder nur die Kennwörter, die auf meinem rechner gespeichert sind?

Bitte um kurzen Statement

Greetz,

mamudo

Das Problem bei der Seuche ist, daß sie einen Thread in winlogon.exe einfügt, der ihre Dateien exklusiv geöffnet hält, so daß kein anderer Zugriff drauf möglich ist. Außerdem bewacht der Thread die Registryeinträge, mit "fixen" ist da (wie meistens) auch nichts zu machen. Der Versuch winlogon.exe zu beenden fürht zum sdofortigen Bluescreen. Durch das beschriebene Zwangsschließen kann man die ntos.exe entfernen. Nach dem nächsten Neustart ist dann der Thread in winlogon.exe nicht mehr vorhanden, dann kann man den Rest aufräumen.

Die audo.dll und die video.dll sind in Wirklichkeit keine DLL-Dateien, die eine enthält die Konfiguration der Seuche, die andere die abgegriffenen Passwörter, beide verschlüsselt. Die samt dem Ordner wsnpoem ebenfalls löschen.

Wichtig ist, daß alle Passwörter für Mailkonten, Webseiten, Onlinebanking, Ebay, usw. geändert werden. Einfach alles, was auf diesem Rechner jemals benutzt worden ist. Das darf natürlich nur von einem garantiert sauberen Rechner aus geschehen, sonst ist es sinnlos. Falls sich deine Frage darauf bezog, ob auch Kennwörter für Netzwerkfreigaben und die Windowsanmeldung betroffen sind: Ist mir nicht bekannt, ist aber auf jeden Fall gut, die auch gleich zu wechseln.

Hallo, vielen Dank erstmal. Den beschriebenen Trojaner bin ich los geworden in dem ich die Wiederherstellungskonsole deaktiviert habe und im abgesicherten Modus die Datei entfernt habe. Probleme bereitet mir noch ntos.exe. Selbst wenn ich alle dateien sichtbar mache, kann ich diese datei nicht im Ordner Windows/System 32 finden. HJT zeigt sie aber nach wie vor an. Wo sitzt denn das Teufelsding ?

Das HijackThis Log besteht aus mehreren Teilen: Unter dem Kopf (Windowsversion, usw) stehen "running processes", was dort auftaucht, ist vorhanden (sehr seltene Ausnahmen mal abgesehen). Der darauf folgende Teil (ab "R0 ...") sind Starteinträge für Dateien, die bestimmen was auf dienem System mitstartet (plus. Konfiguration Interne Explorer, ...). Wenn man die Dateien entfernt, bleiben diese Einträge davon unberührt. Da steht dann, daß die Datei ntos.exe gestartet werden soll. Es kann sein, daß sie aber fehlt, dann wird das ignoriert (bestimmte Starteinträge erzeugen allerdings eine Fehlermeldung). Das ist kein Beleg, daß die Datei wirklich noch esistiert. Um diese Starteinträge zu entfernen, kann man dann mit Hijackthis "fixen", d.H. man macht in das Feld vor der jeweiligen Zeile einen Haken und wählt dann "Fix checked". Es empfiehlt sich, danach das System neu zu starten und in einem neuen HijackThis zu kontrollieren, ob die Zeilen nicht wieder aufgetaucht sind. In deinem Log von oben ist das die Zeile:

Code: Alles auswählenAufklappen

ATTFilter

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
         

Hallo,
da ich das gleiche Problem habe,...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]