Win32.Trojan.Spy kommt immer wieder!

Matze81 · 14.03.2008, 16:43

Hallo!
Ich bin neu im Forum!

Ich habe die Forum-Suchfunktion genutzt, aber nicht genau den Trojaner gefunden, der in meinem Thema steht.
Falls ich was übersehen hab, möcht ich mich entschuldigen!

Ich arbeite mit AdAware (Screenshot) und AntiVir und beide Programme erkennen und löschen den Registry Eintrag.
Leider ist der Eintrag meistens einen Tag später wieder da. Auch manuelles löschen des Eintrags hat nichts gebracht.

Sabina · 14.03.2008, 17:24

Hallo,

«
deinstalliere das veraltete AdAware - es gibt eine neue Version

AdAware

«
wende bitte HijackThis an + poste hier das Log
Hijackthis - deutsche Anleitung

Matze81 · 14.03.2008, 20:53

Hallo!

Hier ist das Log:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Sabina · 15.03.2008, 00:37

Hallo,

ich rate dir dringend, das System neu aufzusetzen !
Auf dem Rechner ist ein Kernel Virus - du solltest alle wichtigen Passwörter nach der Reinigung und nach dem Formatieren ändern !

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe ,

der Trojaner schickt sensitive Informationen, wie besuchte WWW-Seiten und Passwörter, an Dritte.
-------------------------

falls du doch reinigen willst :

1.
mit dem HijackThis löschen ("fixen")

Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

2.
Start - Ausführen - schreib rein: cmd

kopiere rein

del ntos.exe

# klicke Enter

cd wsnpoem

# klicke Enter

del audio.dll

# klicke Enter

del video.dll

# klicke Enter

exit

--------------------------------------------------------

PC neustarten

««
«lade sdfix - boote in den abgesicherten Modus
wende sdfix an + poste dann hier den report
SDFix

««
lade , scanne im abgesicherten Modus + poste den report
Kaspersky - VirusRemoval Programm - AVPTool

«

Matze81 · 15.03.2008, 02:22

Wenn das stimmt, dann ist aber die automatische Logfileauswertung von HijackThis für'n Allerwertesten!
Da steht für meinen Logfile nämlich folgendes:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe,
Wird seit HijackThis 1.98 angezeigt. Steht nichts hinter dem "," (Komma), gut.

Sabina · 15.03.2008, 09:30

nur..es steht was hinter dem Komma von userinit.exe, - und was da steht, sieht übel aus

wie entscheidest du dich also ? Reinigen + Passworte ändern oder formatieren + Passworte ändern ?

Matze81 · 16.03.2008, 21:45

Hallo!
Den Online-Scan hab ich noch nicht durchgeführt, aber hier schon mal das HijackThis Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Razer\Habu\razerhid.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Razer\Habu\razertra.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.jasc.com/command.asp?app=jasc&function=privacy&lang=german
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Sabina · 16.03.2008, 21:56

das Log ist i.o.

du solltest vielleicht den Guard vom Antivirus aktivieren

Matze81 · 16.03.2008, 01:06

Hallo!

Hier ist das Log von OTMoveIt:

Folder move failed. C:\WINDOWS\SYSTEM32\wsnpoem scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03162008_003606

Das Log von SDFixIt:

SDFix: Version 1.157

Run by Administrator on 16.03.2008 at 00:51

Microsoft Windows XP
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted

Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 00:56:03

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:dc1070da
"s1"=dword:d0bb9cf5
"s2"=dword:408c0524
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4d,55,34,d4,0a,2c,01,ca,66,45,b2,a6,7c,1d,81,f7,6b,eb,89,0d,61,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4d,55,34,d4,0a,2c,01,ca,66,45,b2,a6,7c,1d,81,f7,6b,eb,89,0d,61,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0\RBM.exe"
Tue 24 Jun 2003 441,344 ...H. --- "C:\Programme\AOL 8.0\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0\waol.exe"
Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0a\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0a\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0a\RBM.exe"
Tue 24 Jun 2003 441,344 ...H. --- "C:\Programme\AOL 8.0a\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0a\waol.exe"
Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0\COMIT\cswitch.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0a\COMIT\cswitch.exe"
Sat 15 Mar 2008 3,015 ...HR --- "C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Mon 10 May 2004 111,544 A..H. --- "C:\Programme\Gemeinsame Dateien\aolshare\shell\de\shellext.dll"

Finished!

Sabina · 16.03.2008, 01:18

Hallo,

«
OTMoveIt
klicken: CleanUp! button

«
scanne mit F-secure/Onlinescan + poste hier den scanreport
Online Virenscanner

«
poste das neue log vom HijackThis

«
dann sollte wieder alles i.o. sein.

Win32.Trojan.Spy kommt immer wieder!

Plagegeister aller Art und deren Bekämpfung: Win32.Trojan.Spy kommt immer wieder!