Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?

Bilch · 24.04.2007, 10:12

Hallo und guten Morgen,
vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer...
... neuer Tag neues Glück.
Der Rechner startet auch wieder im normalen Modus.
Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf...
Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ
Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen.
Melde mich sobald er fertig ist.
Soll ich dann den Avenger benutzen?
Vielen Dank nochmal!
Herzliche Grüße
Robert

Rene-gad · 24.04.2007, 10:23

Zitat:

Zitat von Bilch

Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ

1. Grundsätzlich: Norman ist eh keine gute Wahl (AV-Comparatives)
2. Führe im AVZ den Script aus:

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\windows\winlogon32.dll');
 BC_DeleteFile('C:\windows\winlogon32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.

3. Danach poste den neuen HJT-Log.
BTW: Seit gestern ist das Englische Unterforum bei Virusinfo.Info-Alma-Mater des AVZ-Tools eröffnet

Bilch · 24.04.2007, 10:42

Hallo,
1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz und war bisher eigentlich auch ganz zufrieden. Aber vor kurzem war wohl Norman wegen Installationsarbeiten abgeschaltet und ist anschließend nicht wieder aktiviert worden. Nachdem die Kollegin ein bischen gegoogelt hat ...
... den Rest kennt ihr. :-(
2. Habe ich ausgeführt.
3. HJTLogfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:36, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

Vielen Dank für Deinen Einsatz
Herzliche Grüße aus Berlin
Robert

Rene-gad · 24.04.2007, 10:49

@Bilch
Der letzte Log sieht sauber aus. Wenn es keine Meldungen von Norman mehr gibt, kann man von einer Bereinigung sprechen

. Zur Sicherheit:
1. Lade AdAware+Spybot Search & Destroy herunter, updaten, scannen, Probleme beheben
2. http://www.trojaner-board.de/38066-e...ightymarc.html

. Bei Funden den Log (Find.bat bitte verwenden!!!) posten.

Bilch · 24.04.2007, 11:23

Hallo,
das wäre ja auch zu schön um wahr zu sein...
... als AdAware lief schlug Norman wieder mit der gleichen Meldung an.
habe HJT erneut laufen lassen mit folgendem Protokoll:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:17:19, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winlogon32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

Soll ich jetzt den eScan starten?
Danke
Gruß
Robert

Rene-gad · 24.04.2007, 11:57

Zitat:

Zitat von Bilch

Hallo,
das wäre ja auch zu schön um wahr zu sein...

Da gebe ich dir recht.

Zitat:

1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz

Handelt es sich hier um einen Netzwerk? Die Seuche läuft rum:

Zitat:

C:\WINDOWS\winlogon32.exe

Das ist wahrscheinlich ein Trojan-Backdoor(?). Bitte folgendermaßen vorgehen:
EDIT: Schalte Norman On-Access-Scanner aus!!!
1. Starte AVZ
2. Services/File search
3. Links LW C:\ anhaken
4. Im Feld File Name or mask

Code:

ATTFilter

C:\WINDOWS\winlogon32.exe

eingeben.
5. Icon Copy to Quarantine drücken
Im AVZ-Verzeichnis findest du den Unterordner Quarantine/2007-04-24. Inhalt dessen in eine ZIP-Datei verpacken und bei www.virustotal.com überprüfen. Protokoll inkl. MD-Prüfsumme-Daten posten.
EDIT: Schalte Norman On-Access-Scanner ein!!!
PS: Entweder haben zum Internet angeschlossenen PCs keinen aktuellen Sicherheits-Stand (Microsoft Windows Update) oder...
PS2: Im Zweifelsfall melde dich bei VirusInfo.Info an: Dort werden die speziellen AVZ-Logs geprüft, die viel tiefer greifen, als HJT. Über TB kann ich leider nichts tun, denn die Logs an Virusinfo-Server hochgeladen werden müssen.

Bilch · 24.04.2007, 12:58

Hallo,
Danke für Deine schnelle Antwort,
ja es handelt sich um ein Netzwerk mit zehn Rechnern.
Alle sind aber auf aktuellem Stand. Kein anderer Scanner hat bisher angeschlagen.
Hier das Virustotal Ergebnis:

Zitat:

Antivirus Version Update Result
AhnLab-V3 2007.4.24.0 04.23.2007 no virus found
AntiVir 7.4.0.14 04.24.2007 TR/Crypt.XPACK.Gen
Authentium 4.93.8 04.23.2007 no virus found
Avast 4.7.981.0 04.23.2007 no virus found
AVG 7.5.0.464 04.23.2007 no virus found
BitDefender 7.2 04.24.2007 no virus found
CAT-QuickHeal 9.00 04.23.2007 no virus found
ClamAV devel-20070416 04.24.2007 no virus found
DrWeb 4.33 04.24.2007 no virus found
eSafe 7.0.15.0 04.23.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3592 04.24.2007 no virus found
Ewido 4.0 04.24.2007 Trojan.Small
FileAdvisor 1 04.24.2007 no virus found
Fortinet 2.85.0.0 04.24.2007 Adware/Small
F-Prot 4.3.2.48 04.23.2007 no virus found
F-Secure 6.70.13030.0 04.24.2007 Trojan-Clicker.Win32.Small.kj
Ikarus T3.1.1.5 04.24.2007 Trojan-Clicker.Win32.Small.KJ
Kaspersky 4.0.2.24 04.24.2007 Trojan-Clicker.Win32.Small.kj
McAfee 5015 04.23.2007 no virus found
Microsoft 1.2405 04.24.2007 no virus found
NOD32v2 2214 04.24.2007 no virus found
Norman 5.80.02 04.23.2007 no virus found
Panda 9.0.0.4 04.23.2007 Adware/Lop
Prevx1 V2 04.24.2007 Rootkit.DialCall
Sophos 4.16.0 04.23.2007 Mal/WSClk-A
Sunbelt 2.2.907.0 04.19.2007 no virus found
Symantec 10 04.24.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.23.2007 no virus found
VirusBuster 4.3.7:9 04.23.2007 no virus found
Webwasher-Gateway 6.0.1 04.24.2007 Trojan.Crypt.XPACK.Gen

Aditional Information
File size: 8425 bytes
MD5: 1010af92c594d697551a270a2ca3ad93
SHA1: 01f86711945b0cddf154c9b90f5014596a70519b
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e01d90866346

Ich hoffe das sind die Daten die Du wissen musst.
Ansonsten hier der Link:
::::: VirusTotal :::::
Über Deine PS möchte ich lieber noch nicht nachdenken.
Sollte ich den Rechner doch lieber neu aufsetzen?
Sorgenvolle Grüße
Robert

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?

Log-Analyse und Auswertung: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?