Seite 1 von 1

Trojaner macht mich fertig!

Verfasst: Mi 9. Jul 2008, 11:58
von Gabyg
Hallo, bin auf Empfehlung eines Fories hierher gekommen und hab ein großes Problem mit dem Trojaner TR/Spy.ZBot.czg - den hatte ich Mitte Juni schon mal, mit Antivir in Quarantäne verschoben, vorgestern hab ich díe Systemüberprüfung ohne Befunde gemacht, gestern hat er den Virus wieder gemeldet. In einem anderen Forum wurde mir geraten, die Logs von Hijackthis und Blacklight einzustellen, das würde ich jetzt gerne auch hier machen in der Hoffnung, dass mir jemand helfen kann. Tut mir leid, dass ich mich gleich mit solch massiven Problemen hier vorstelle, aber Ihr seid wahrscheinlich meine letzte Hoffnung! :oops:

07/08/08 19:30:52 [Info]: BlackLight Engine 1.0.70 initialized
07/08/08 19:30:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/08/08 19:30:53 [Note]: 7019 4
07/08/08 19:30:53 [Note]: 7005 0
07/08/08 19:30:58 [Note]: 7006 0
07/08/08 19:30:58 [Note]: 7011 1860
07/08/08 19:30:58 [Note]: 7035 0
07/08/08 19:30:58 [Note]: 7026 0
07/08/08 19:30:58 [Note]: 7026 0
07/08/08 19:31:00 [Note]: FSRAW library version 1.7.1024
07/08/08 19:34:35 [Info]: Hidden file: c:\WINDOWS\system32\ntos.exe
07/08/08 19:34:35 [Note]: 7002 0
07/08/08 19:34:35 [Note]: 7003 1
07/08/08 19:34:35 [Note]: 10002 1
07/08/08 19:34:37 [Info]: Hidden file: c:\WINDOWS\system32\wsnpoem\audio.dll
07/08/08 19:34:37 [Note]: 7002 0
07/08/08 19:34:37 [Note]: 7003 1
07/08/08 19:34:37 [Note]: 10002 3
07/08/08 19:34:37 [Info]: Hidden file: c:\WINDOWS\system32\wsnpoem\video.dll
07/08/08 19:34:37 [Note]: 7002 0
07/08/08 19:34:37 [Note]: 7003 1
07/08/08 19:34:37 [Note]: 10002 3
07/08/08 20:04:33 [Note]: 7007 0


--------------------------------------

Und hier HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:27, on 08.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {56FD83B2-1104-4403-AF0F-2FB8460EBFAD} - C:\WINDOWS\system32\nvrsar32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1173821806578
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7294 bytes

Danke schon mal, lg Gaby

Re: Trojaner macht mich fertig!

Verfasst: Mi 9. Jul 2008, 13:19
von thbrueck
Hallo und willkommen hier bei uns, Gabyg

Zu deinem Trojaner:

Die Datei ntos.exe scheint wohl zumindest der Auslöser zu sein. Diese Datei muss unbedingt gelöscht werden. Evt. ist das nur im abgesicherten Modus oder per Live- CD möglich. Manchmal, wenn eine Löschaktion einer Datei mit "Zugriff verweigert" quittiert wird, hilft es gelegentlich, den aktiven Prozess im Taskmanager "abzuschießen" und/oder die Datei umzubenennen. Manchmal läßt sich danach dann die Datei löschen.

Falls du nicht genau weißt, was audio.dll bzw. video.dll sind, würde ich auch diese Dateien löschen. Ein Ordner namens wsnpoem im System32- Verzeichnis ist natürlich auch mit Vorsicht zu genießen und deutet bestenfalls auf eine installierte Software für Kameraunterstützung oder sonstiges Video/Audio Equipment hin. Falls das nicht verifiziert werden kann, würde ich den gesamten Ordner löschen.
Sowohl die überflüssige Ask- Toolbar als auch die Datei nvrsar32.dll würde ich ebenfalls löschen.

In der Registry wird der Trojaner bei jedem Start des Windows- Systems direkt aktiviert:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,ntos.exe


In etwa dieser Registry- Key ist mit dem RegEditor aufzusuchen und der Eintrag ntos.exe ist zu entfernen!

Alle Temp- Verzeichnisse sind restlos zu leeren !

Auch in diesem Reg- Key wurde etwas verändert:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]

Dazu müßte man aber den kompletten Inhalt sehen, um festzustellen, was dort falsch ist.

Falls die Datei ldr.exe auf dem System zu finden ist, muss auch diese gelöscht werden. Der Prozess svchost wird dazu benutzt, ständig Kontakt zu Servern im Internet aufzubauen, um Daten auszutauschen. Passwörter u.ä. , die sich auf dem System befinden, sind nicht mehr sicher und sollten unbedingt geändert werden.

Anmerkung: Es kann nicht mit absoluter Sicherheit gewährleistet werden, dass die hier erwähnten Maßnahmen die Malware beseitigen können. Ein derart infiziertes System sollte eigentlich am besten neu installiert werden. Passwörter, die sich auf Online- Aktionen (Onlinebanking u.v.m.) beziehen müssen unverzüglich in jedem Fall geändert werden!

Gruß,
thbrueck

Re: Trojaner macht mich fertig!

Verfasst: Mi 9. Jul 2008, 17:22
von Gabyg
Halo, ich habe mich jetzt auch entschlossen, den Rechner plattzumachen. Aber ich werde mir Deine Tipps für das nächste Mal ausdrucken. Allerdings habe ich vergebens versucht, die ntos.exe zu löschen, nur nicht in der von Dir beschriebenen Art. Sie ging auch nicht umzubenennen, das mit dem Taskmanager ist mir gar nicht gekommen. Nun gut, die Dateien sind gespeichert, der Rechner fährt heute abend zum Kumpel und der macht alles neu;-). Und ich werde meine Passwörter ändern, das online-Banking ist auch gesperrt - falls Euch noch was dazu einfällt, gerne!

Ach ja, doch noch eine Frage: Wenn ich nun meine Bilder, Texte , Videos etc. auf den gesäuberten Rechner hochlade, kann da noch was passieren? Sind die Dateien evtl. auch infiziert oder hockt das Mistvieh nur im Programm?

Danke schon mal und noch mal
Gaby

Re: Trojaner macht mich fertig!

Verfasst: Mi 9. Jul 2008, 21:05
von ayin
Normalerweise sollten solche Dateien nicht befallen sein. Allerdings kann man diese Daten ja auch vorher mal mit einem Virenscanner prüfen.
Aber im Regelfall wird ein Rechner nur durch Ausführbare Dateien wie Programm und dergleichen befallen.

Re: Trojaner macht mich fertig!

Verfasst: Mi 9. Jul 2008, 23:18
von thbrueck
Eigentlich hast du die beste Variante gewählt. Das Höchstmaß an Sicherheit erreichst du übrigens, wenn du mit einem "Eingeschränkten Benutzerkonto" der Onlinewelt begegnest. Das macht es für Malware fast unmöglich, sich zu entfalten.

Gruß,
thbrueck

Re: Trojaner macht mich fertig!

Verfasst: Do 10. Jul 2008, 10:16
von Gabyg
Hallo, gut zu wissen - wo kann ich das einrichten? Gibt es irgendwo eine Anleitung? In solchen Dingen kenne ich mich leider nicht so gut aus. Und da hab ich gleich noch eine Frage: Ich habe ein neues Notebook mit BS Windows vista und mein Rechner hat noch XP drauf. Kann ich trotzdem ein lokales Netzwerk einrichten, oder erwarten mich da Schwierigkeiten? Wie sieht es da mit Viren aus? Kann ein infizierter Rechner das Notebook über das LAN "anstecken"?

Danke für Eure Antworten,
liebe Grüße
Gaby

Re: Trojaner macht mich fertig!

Verfasst: Do 10. Jul 2008, 11:24
von thbrueck
Hallo Gabyg,

ein "Eingeschränktes Benutzerkonto" richtet man so ein:
http://support.microsoft.com/kb/905056/de


Bei Vista ist standardmäßig die User Account Control eingeschaltet, was auch so bleiben sollte und bei allen Vorgängen, die administrative Rechte voraussetzen, erscheint ein PopUp und fragt um Genehmigung. Wenn's auch nervig sein könnte bei Leuten, die viel ruminstallieren, kann so auch keine Malware heimlich bzw. ungefragt etwas installieren.

Netzwerktechnisch sollte es keine Probleme geben. Natürlich ist über LAN die gleiche Infektionsgefahr (Netzwerkwürmer) gegeben wie über Internet, jedoch bei aktuell gepatchten Systemen hinter einem Router und "Eingeschränktem Useraccount" kann nur noch die Unachtsamkeit des Benutzers bei seinem Onlineverhalten eine Malwareinfektion verursachen...

Gruß,
thbrueck