Hallo,

habe schon mehrer Themen über diesen Trojaner hier gesehen, aber so ganz weiss ich leider noch nicht, wie ich den wieder weg bekomme.

Es geht umd die Dateien nfos.exe, audio.dll, video.dll.
Außerdem kann ich den Ordner, wo die video.dll u. audio.dll drin sein sollen im System32 auch nicht finden, obwohl ich bei den Ordnereinstellungen eingestellt habe, dass unsichtbare Objekte und Systemordner auch angezeigt werden sollen.

Kann mir vielleicht jemand Schritt für Schritt genau erklären wie ich den Trojaner nun wieder loswerde ?

Hier mein Log :

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:49, on 04.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Ilona\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.mapleeurope.com/Maple.aspx
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1170611435780
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ach ja, der Hammer bei der ganzen Geschichte ist :

Diese drei besagten Dateien sind alle nicht in meinem System zu finden, aber dennoch schlagen sämtliche virenscanner etc. Alarm

Bin echt Ratlos, hab ja hier schon viele Infos gesammelt über diesen Trojaner, aber hilft ja alles nichts, wenn die Datei nicht aufzuspüren ist.

Hi,

da kommt der Verdacht noch einem Rootkit auf...
Wobei anscheinnd auch BlackLight das Ding nicht findet!
Folge bitte den Thread hier:
PC Hilfe - Forum - User helfen User | Virus - Trojaner - und Hoax - Board | TR/Drop.Agent.stn - HILFE!
Und berichte dann, ob es funktioniert hat!
Chris

Hallo ihr zwei,

ich würde gern Blitz-Illu noch was machen lassen.

LADS für Alternate Data Streams

* Lade das Programm von hier.
* Entpacke es mittels eines Zip Tools -> 7 Zip

Wähle als Ziel für das entpacken den Pfad c:\
Unter c:\ liegen jetzt die Dateien lads.exe und Lads_ReadMe.txt

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein cd c:\
* tippe ein lads /s >lads.txt
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt
* deren Inhalt postest Du in den Thread
----------------------------------------
Fehlermeldungen

• Falls beim ausführen von lads die Nachricht "Der Befehl "lads" ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter c:\. Kopiere sie in dem Fall dorthin

• Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload Dienst *Klick* und poste den Link ins Forum

Bata

Hey,

das wäre interessant...
Bin gespannt was rauskommt...

Chris

So, also habe das mit mit dem "lads" mal gemacht, hier das Resultat :

Zitat:

LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size ADS in file
---------- ---------------------------------
0 C:\Dokumente und Einstellungen\Ilona\:zylomtest
16 C:\Dokumente und Einstellungen\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM}
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Delerium[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Fine_Dragon[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Industrial_XP[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Jaguar_Fur[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Moonlight[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Yin_Yang[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\AquaMarine[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\BlueAngel[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\BluePlasticIcons[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Cheetah[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Crystal-FX[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\FauxS-XP%20(Universal)%20V2[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\i-complex20[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\SilverBliss[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Silvereen[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\TheAquiles[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Windows-Black[1].tip:Zone.Identifier
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Temp\hsperfdata_Ilona\1356
Error 32 opening C:\Dokumente und Einstellungen\Ilona\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\Ilona\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
Error 32 opening C:\pagefile.sys
Error 32 opening C:\WINDOWS\system32\config\default
Error 32 opening C:\WINDOWS\system32\config\default.LOG
Error 32 opening C:\WINDOWS\system32\config\SAM
Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
Error 32 opening C:\WINDOWS\system32\config\SECURITY
Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
Error 32 opening C:\WINDOWS\system32\config\software
Error 32 opening C:\WINDOWS\system32\config\software.LOG
Error 32 opening C:\WINDOWS\system32\config\system
Error 32 opening C:\WINDOWS\system32\config\system.LOG
Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys

The following summary might be incorrect because there was at least one error!

458 bytes in 19 ADS listed

@ Chris4You :

Danke für den link, aber leider klappt dies bei mir auch nicht
Es scheitert schon bei HiJackThis, ich lösche den einen Eintrag und scane wieder und er ist wieder da.

Außerdem hat des mit der Bat auch nicht geklappt, erst sagt er mir er kann die Dateien nicht finden und beim löschen sagt er dann, die können nicht gelöscht werden weil sie von nem anderen Prozess genutzt werden.

Danach hab ich den Online Scan gemacht und de rhat nichts gefunden.

Dann hab ich die Temp Ordner etc. geleert usw. usw.

Aber der Eintrag ist immer noch bei HijackThis und auch AdAware findet diese Dateien immernoch.

Langsam weiss ich echt nimmer wieter

Geh bitte wie folgt vor:

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein "more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt"
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [Enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Ordner C:\Dokumente und Einstellungen\Ilona und öffnest die Datei fuerstb.txt
* deren Inhalt postest Du in den Thread

Mal sehen was der so meint.

Bata

Also dann kommt immer :

more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt

Aber dieses Zylom, das ist der Hersteller von Spielen die ich manchmal online bei Lycos spiele.

Komisch sollte so gehen *am kopf kratz*?
Musst nach der Eingabe der Zeile noch Enter drücken das hab ich vergessen zu schreiben, nach ca 1sek sollte der Cursor auch wieder da sein.

Kennst Du das Spiel "Birds on a Wire"? Das Du Zylom spielst sehe ich im HJT Log, auch das Dir mal ein Java Update fehlt, das aber nur nebenbei bemerkt.

Ich hab mir derweil diese Infektion auch mal geholt, durch einen Crack für ein in Deutschland verbotenes DVD Programm

Zitat:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-09-05 01:29:44
Windows 5.1.2600


---- Files - GMER 1.0.13 ----

File C:\WINDOWS\system32\ntos.exe
File C:\WINDOWS\system32\wsnpoem
File C:\WINDOWS\system32\wsnpoem\audio.dll
File C:\WINDOWS\system32\wsnpoem\audio.dll.ren
File C:\WINDOWS\system32\wsnpoem\video.dll
File C:\WINDOWS\system32\wsnpoem\video.dll.ren

---- EOF - GMER 1.0.13 ----

Blacklight beißt sich da die Zähne aus (daher) kamen die .ren files *g*
LADS, Icesword auch nicht.

Mit GMER findet man sie, kann aber nicht alle löschen, dazu muss man mit dem Process Explorer im Prozess Winlogon die Handles video.dll und audio.dll löschen.

Alles in allem kann ich Dir hier nur zu einem Neuaufsetzen raten, konnte die Datei leider nicht scannen, ist aber wohl der hier oder der.

Was meinen Chris und vorallem Du Blitz-Illu dazu?

Bata

@ Bata,

Natürlich habe ich auch Enter nach der EIngabe gedrückt ^^
Aber dann kam halt die besagte Meldung.

Also ich meine, es ist der Troj/Dloadr-AWJ.
Denn den hab ich gefunden als ich die ntos.exe gegoogled hab.

Das komische bei mir allerdings ist, ich habe schon alles versucht,
mit dem Process Explorer im Prozess Winlogon die Handles nfos.exe, video.dll und audio.dll löschen und danach ne .bat ausführen mit :

@ECHO OFF
attrib -s -r -h C:\WINDOWS\System32\wsnpoem\audio.dll
attrib -s -r -h C:\WINDOWS\System32\wsnpoem\ video.dll
attrib -s -r -h C:\WINDOWS\System32\wsnpoem
attrib -s -r -h C:\WINDOWS\rjx.exe
attrib -s -r -h C:\WINDOWS\System32\ntos.exe
del C:\WINDOWS\System32\wsnpoem\audio.dll
del C:\WINDOWS\System32\wsnpoem\ video.dll
rd /s /q C:\WINDOWS\System32\wsnpoem
del C:\WINDOWS\System32\ntos.exe

... funktioniert weder normal, noch im abgesichtertem Modus.
Erst sagt, er kann die Dateien nicht finden und dann sagt er, er kann sie nicht löschen.

Habe mit allen möglichen viren und Male/spyware scannern gescannt, manche finden ihn gar nicht, andere können nicht drauf zugreifen.

Genauso wenig hat die Trojanerbekämpfung via Sophos Notfall CD was gebracht
(wie dort auf der Page beschrieben).

Und wenn ich in die angegebenen Ordner schaue, wo die Dateien liegen sollen, auch nach Systemordner und versteckte Dateien anzeiegen, ist nichts zu finden.

Genauso komisch ist, dass der Virus sich angeblich in 3 Regestryeinträge schleicht,
bei mir aber nur in einem vorhanden ist. (weleche auch im HijackThis Log steht)

Mit HijackThis lässt sich auch nichts machen, der Eintrag kommt immer direkt sofort wieder.

Bei allen anderen wo ich gelesen haben, das sie diesen Virus haben, waren die Dateien aber da, wo sie hingehören.

Nun steh ich also da mit nem imaginärem Virus

Joa, hab also schon tausende von Sachen versucht, aber nichts hilft.

Das schlimme ist, ich weiss nicht wo ich mir den eingefangen haben könnte,
also leider auch nicht was ich nach ner evtl. Formatierung vermeiden muss.

Hi,

gaaanz langsam:
Also die Datei:"C:\WINDOWS\System32\ntos.exe"
ist zu finden?

Die Dateien:
C:\WINDOWS\System32\wsnpoem\audio.dll
C:\WINDOWS\System32\wsnpoem\video.dll
Sind auch da? Welcher Scanner findet Sie?

Hast Du eine Notfall CD von der Du ein Windows booten kannst?
Wenn nein, hast Du eine XP-Installations-CD bzw. Recovery-CD?
Wenn ja, basteln wir uns eine Notfall-CD hiermit:
http://www.ubcd4win.com/
Installiere ubcd4win, lege die XP-CD ein (Recovery oder Installations-CD),
folge den Anweisungen von ubcd, es wird eine ISO-Datei erstellt, die Du mit z.B. Nero brennen kannst.
Von dieser CD bootest Du dann. Es stehen verschiedene Scanner etc. zur Verfügung (daher die Frage welcher Scanner sie findet).
Du kannst dann auch mit dem Explorer auf die HDD zugreifen, die Dateien suchen und löschen, ein Remoteregistery-Editor ist auch dabei, wo Du den Reg.-Schlüssel entfernen kannst.

Da ich mittlerweile davon ausgehe, dass wir einem neuen Rootkit gegenüberstehen, dürfte das die einzigste Möglichkeit sein es zu finden und zu "eleminieren". Der Unterschied besteht darin, dass von CD gebootet wird und daher das verseuchte Windows (der Rootkit) nicht läuft und "wehrlos" auf der Platte rumliegt. Sicherheitshalber die CD auf einem "sauberen" Rechner erstellen.

Kannst Du uns noch ein Silentrunner-Log machen? Entweder ntos.exe oder ein noch nicht gefundener Rootkittreiber muss noch irgendwo "rumhängen"...
SilentRunner:
Loadingpoints von Programmen.
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde,
bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

(Ich haue gleich die Tastatur in die Tonne, das "e" geht nur bei 5x drücken...Grrr)...

Chris

Chris, Blitz-Illu

Ich konnte den Schädling nur wiefolgt löschen.

1. Process Explorer starten, unter dem Prozess Winlogon finden sich die drei Handles ntos.exe, wsnpoem\audio.dll und wsnpoem\video.dll.
2. Diese mit dem PE beenden
3. Nun mit GMER einen Rootkit Scan nach Files machen lassen. Gmer findet die Infektion und kann sie dann auch löschen.
--------------------

Den Ordner c:\windows\system32\wsnpoem sehe ich in keinem Fall unter Windows. Über die cmd kann ich ihn allerdings nach löschen der besagten Prozesse anspringen und auch löschen.

Es ist definitiv ein Rootkit! Downloader ist ja nur ein Oberbegriff für Software die

Zitat:

may download further executable code.

Daher solltest Du den Rechner wirklich lieber frisch machen.

Alle Threads die es bisher zu dem Thema gib gehen mehr oder weniger direkt in diese Reichtung.

@Chris Es gibt Registry Einträge, aber nur für die ntos.exe. Die beiden anderen werden wohl von dieser Datei nachgeladen. Aber selbst wenn ich diese Datei lösche, werden die noch geladen.

Edit: Update: Hab mir den kleinen beim ansurfern einer CrackSeite mit dem IE eingefangen

Bata

Hm,

dann hängen sie sich direkt z. B. in den Explorer rein (Handle/Hooks umgebogen);
Zeigt GMER diesbezüglich was an?

chris

Nope, gmer zeigt dahingehend nichts an.
Ein vollständiges Log findest Du hier.

Bata