Hilfe Phising-Attacke wsnpoem Trojaner!

spilot · 09.11.2007, 17:34

Hallo,
also ich habe McAfee® Rootkit Detective auf chip heruntergeladen.
Habe die Datei entpackt, auf dem Desktop habe ich jetzt einen McAfee® Rootkit Detective Ordern mit einer exe datei. Diese habe ich gestartet und habe meinen Rechner gescant. Danach habe ich in meinem Ordner den McAfee® Rootkit Detective Report in einer Textdatei.
Hier der Inhalt:

McAfee(R) Rootkit Detective 1.1 scan report
On 09-11-2007 at 17:26:37
OS-Version 5.1.2600
Service Pack 2.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreatePort
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateProcess
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateProcessEx
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSection
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwCreateWaitablePort
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteFile
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwRenameKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwSetInformationFile
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: (NULL)

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_POWER
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_READ
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP
Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL
Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL
Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE
Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_CREATE
Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: s1
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: s2
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: g0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: s1
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: s2
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: g0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Process
Object-Name: jusched.exe
Pid: 3316
Object-Path: C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1332
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: sched.exe
Pid: 712
Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: E_FATIAEE.EXE
Pid: 3412
Object-Path: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1304
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: atiptaxx.exe
Pid: 2916
Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 1616
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 904
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: SOUNDMAN.EXE
Pid: 3076
Object-Path: C:\WINDOWS\SOUNDMAN.EXE
Status: Visible

Object-Type: Process
Object-Name: iexplore.exe
Pid: 2332
Object-Path: C:\Programme\Internet Explorer\iexplore.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1092
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1216
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2456
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: SynTPEnh.exe
Pid: 3016
Object-Path: C:\Programme\Synaptics\SynTP\SynTPEnh.exe
Status: Visible

Object-Type: Process
Object-Name: zlclient.exe
Pid: 3388
Object-Path: C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
Status: Visible

Object-Type: Process
Object-Name: iexplore.exe
Pid: 3144
Object-Path: C:\Programme\Internet Explorer\iexplore.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3300
Object-Path: C:\Dokumente und Einstellungen\Pielot\Desktop\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: avgnt.exe
Pid: 3364
Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 2000
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 916
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 1536
Object-Path: C:\WINDOWS\SYSTEM32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 824
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: GoogleToolbarNo
Pid: 3460
Object-Path: C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 732
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: vsmon.exe
Pid: 1352
Object-Path: C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 920
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 1076
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 860
Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: MDM.EXE
Pid: 736
Object-Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
Status: Visible

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 3404
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 772
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1176
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: avguard.exe
Pid: 2044
Object-Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
Status: Visible

Object-Type: Process
Object-Name: wdfmgr.exe
Pid: 1300
Object-Path: C:\WINDOWS\system32\wdfmgr.exe
Status: Visible

Scan complete. Hidden registry keys/values: 15

Frank62 · 11.11.2007, 00:09

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen.

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.

Viele Grüße

spilot · 11.11.2007, 11:51

Hallo,
habe das Programm runtergeladen und habe es wie beschrieben versucht.
Beim löschen resistenter Dateien schreibt er Der Quellpfad existiert nicht!
D.h. wenn ich C:\WINDOWS\system32\ntos.exe eingebe? Was nun?

Frank62 · 11.11.2007, 12:05

Dann gehe auf en rechten Button und gehe in das Verzreichnis deines AKTIVEN Windows, und ergänze hinter dem Verzeichnis „system32“ ntos.exe.

Im Übrigen habe ich auch alle Datein in Optionen beim Explorer auf SICHTBAR gestellt.

spilot · 11.11.2007, 12:12

Hi,
er findet keine ntos.exe...

Frank62 · 11.11.2007, 12:16

Hast du sie im Process Explorer?

Frank62 · 11.11.2007, 12:17

Ich habe ntos.exe NICHT gelöscht, sondern umbenannt, das geschieht erst beim herunterfahren.
V.G.

spilot · 11.11.2007, 13:46

Im Explorer finde ich sie auch nicht.

Frank62 · 11.11.2007, 16:20

Zitat:

Zitat von spilot

Im Explorer finde ich sie auch nicht.

Dann hast du ihn auch nicht, sei froh.
V.G.

spilot · 11.11.2007, 17:23

Na dann weiß ich auch nicht mehr weiter...
Was hat denn da meinen Rechner ausgespäht und ist es noch da?

SchwesterC · 13.11.2007, 13:09

Hallo also mein online Banking wurde gespeert...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

undoreal · 13.11.2007, 15:32

Hallöle an Alle. Was ist das denn für ein Thread hier?

Backdoor => Neuaufsetzten, ntos = Backdoor => Neuaufsetzten.!

Setzte deinen Rechner also umgehen neu auf SchwesterC und ändere danach alle Zugangsdaten und Passwörter. Eine Anleitung findest du in meiner Signatur.

@spilot: Um welchen Rechner geht es nun? Stammen alle bisherigen logs von diesem Rechner um den es hier geht? Wie lautet die korrekte Benachrichtigung deiner Bank? Hast du deinen Acc sperren lassen oder wurde das automatisch gemacht?

Frank's Ansatz dürfte nicht funktionieren und nur für noch mehr Kuddelmuddel im System sorgen..

PS: Warum wird bei einem so eindeutigen Befall noch eine Bereinigung versucht?? (und noch dazu eine die nicht funktioniert)

Hilfe Phising-Attacke wsnpoem Trojaner!

Plagegeister aller Art und deren Bekämpfung: Hilfe Phising-Attacke wsnpoem Trojaner!