Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan-Spy.Win32@mx Entfernen (https://www.trojaner-board.de/49899-trojan-spy-win32-mx-entfernen.html)

PCPEDE 26.02.2008 11:36
Trojan-Spy.Win32@mx Entfernen
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo alle zusammen

Ich habe ein grosses Problem. Ich habe den Trojan-Spy.Win32@mx auf meinem rechner und bringe ihn mit Norton/AdAware/Spybot nicht weg. Es kommt ständig ein popup in der Taskleiste und dort steht dass mein PC infiziert ist und es will mir irgendwelche kostenpflichtige progs anbieten. Nun meine Fragen:

1. Ist das ein trojaner oder ein Virus? richtet er schaden an oder ist das nur werbung?

2. Wie bringe ich ihn weg?

hier noch das logfile von hijackthis:


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Chris4You 26.02.2008 13:48
Hi,

denen fällt aber auch immer was neues ein:
Das hier ist u.a. schuld:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe

Dann ist Dein Eintrag für den local-Host falsch:
O1 - Hosts: localhost 127.0.0.1
richtig wäre es genau anderst herum, daher poste unbedingt das Hosts-File;

Also der Reihe nach:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe
C:\DOKUME~1\Roman\EIGENE~1\Patrik\B17FOR~1.EXE
Poste das Ergebnis mit Filename;
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Folders to delete:
C:\Programme\NetProject

Files to delete:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Zitat:
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
chris

PCPEDE 27.02.2008 19:43
Vielen dank für den raschen bescheid ich werde das am Wochenende ausprobieren falls es nicht funktioniert sag ich wieder bescheid.


Grüsse

MMM 28.02.2008 17:06
Hallo Leute,

hatte das selbe Problem auf dem Rechner meines Cousins.

Hab mit Windows PE (google: PE-builder) gebootet.

Unter "C:\Programme\NetProject" den gesamten Ordner gelöscht!

Dann den PC normal neubooten und Spybot drüber laufen lassen um den Reg-Eintrag zu löschen.

Danach war ruhe.

Gruß

MMM

:daumenhoc:snyper:

GrinGoSysTem 02.03.2008 17:55
Habe gestern das gleiche Problem gehabt.
Aber mit SmitFraudFix konnte ich diesen Trojaner entfernen.

Hier den Log vom SmitFraudFix, als ich den Trojaner noch auf dem PC hatte:

SmitFraudFix v2.299

Scan done at 22:54:02,79, 01.03.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\a-squared HiJackFree\a2hijackfree.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NetProject\scm.exe
C:\Programme\NetProject\scit.exe
C:\Programme\IEPro\MiniDM.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

C:\DOKUME~1\ADMINI~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\NetProject\ FOUND !
C:\Programme\Sotfone\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}"="auras"

[HKEY_CLASSES_ROOT\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
@="C:\WINDOWS\system32\xskmoqx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
@="C:\WINDOWS\system32\xskmoqx.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"AltDefaultDomainName"="GRINGOSYSTEMS"


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{718679E3-64C6-4E51-8F01-4349570DF0F3}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE65E297-A916-4A0D-AB36-A7922EF754A7}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D1372774-3066-4298-9430-3BE7B1CBACB1}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{718679E3-64C6-4E51-8F01-4349570DF0F3}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE65E297-A916-4A0D-AB36-A7922EF754A7}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D1372774-3066-4298-9430-3BE7B1CBACB1}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=194.152.104.7 194.152.107.2


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
--------------------------------------------------------------------------


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131