Hallo,

habe schon mehrer Themen über diesen Trojaner hier gesehen, aber so ganz weiss ich leider noch nicht, wie ich den wieder weg bekomme.

Es geht umd die Dateien nfos.exe, audio.dll, video.dll.
Außerdem kann ich den Ordner, wo die video.dll u. audio.dll drin sein sollen im System32 auch nicht finden, obwohl ich bei den Ordnereinstellungen eingestellt habe, dass unsichtbare Objekte und Systemordner auch angezeigt werden sollen.

Kann mir vielleicht jemand Schritt für Schritt genau erklären wie ich den Trojaner nun wieder loswerde ?

Hier mein Log :

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:49, on 04.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Ilona\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.mapleeurope.com/Maple.aspx
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1170611435780
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ach ja, der Hammer bei der ganzen Geschichte ist :

Diese drei besagten Dateien sind alle nicht in meinem System zu finden, aber dennoch schlagen sämtliche virenscanner etc. Alarm

Bin echt Ratlos, hab ja hier schon viele Infos gesammelt über diesen Trojaner, aber hilft ja alles nichts, wenn die Datei nicht aufzuspüren ist.

Hi,

da kommt der Verdacht noch einem Rootkit auf...
Wobei anscheinnd auch BlackLight das Ding nicht findet!
Folge bitte den Thread hier:
PC Hilfe - Forum - User helfen User | Virus - Trojaner - und Hoax - Board | TR/Drop.Agent.stn - HILFE!
Und berichte dann, ob es funktioniert hat!
Chris

Hallo ihr zwei,

ich würde gern Blitz-Illu noch was machen lassen.

LADS für Alternate Data Streams

* Lade das Programm von hier.
* Entpacke es mittels eines Zip Tools -> 7 Zip

Wähle als Ziel für das entpacken den Pfad c:\
Unter c:\ liegen jetzt die Dateien lads.exe und Lads_ReadMe.txt

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein cd c:\
* tippe ein lads /s >lads.txt
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt
* deren Inhalt postest Du in den Thread
----------------------------------------
Fehlermeldungen

• Falls beim ausführen von lads die Nachricht "Der Befehl "lads" ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter c:\. Kopiere sie in dem Fall dorthin

• Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload Dienst *Klick* und poste den Link ins Forum

Bata

Hey,

das wäre interessant...
Bin gespannt was rauskommt...

Chris

So, also habe das mit mit dem "lads" mal gemacht, hier das Resultat :

Zitat:

LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size ADS in file
---------- ---------------------------------
0 C:\Dokumente und Einstellungen\Ilona\:zylomtest
16 C:\Dokumente und Einstellungen\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM}
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Delerium[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Fine_Dragon[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Industrial_XP[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Jaguar_Fur[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Moonlight[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\BootScreens\Yin_Yang[1].tbs:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\AquaMarine[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\BlueAngel[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\BluePlasticIcons[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Cheetah[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Crystal-FX[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\FauxS-XP%20(Universal)%20V2[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\i-complex20[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\SilverBliss[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Silvereen[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\TheAquiles[1].tip:Zone.Identifier
26 C:\Dokumente und Einstellungen\Ilona\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\IconPacks\Windows-Black[1].tip:Zone.Identifier
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\Ilona\Lokale Einstellungen\Temp\hsperfdata_Ilona\1356
Error 32 opening C:\Dokumente und Einstellungen\Ilona\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\Ilona\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
Error 32 opening C:\pagefile.sys
Error 32 opening C:\WINDOWS\system32\config\default
Error 32 opening C:\WINDOWS\system32\config\default.LOG
Error 32 opening C:\WINDOWS\system32\config\SAM
Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
Error 32 opening C:\WINDOWS\system32\config\SECURITY
Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
Error 32 opening C:\WINDOWS\system32\config\software
Error 32 opening C:\WINDOWS\system32\config\software.LOG
Error 32 opening C:\WINDOWS\system32\config\system
Error 32 opening C:\WINDOWS\system32\config\system.LOG
Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys

The following summary might be incorrect because there was at least one error!

458 bytes in 19 ADS listed

Moin Junx,
... bin, auf der Suche nach Hilfe, über Google auf diesen Thread gestoßen. Nachdem ich jetzt bereits zum 2ten Mal bei meiner Bank und bei Ebay wegen Fishing gesperrt wurde, hab ich dann doch mal überprüft, warum Adaware mir zwar immer gemeldet hat, dass es etwas gefunden hat, aber die Meldung, dass es die besagten audio.dll und video.dll Files nicht löschen kann "ernst" genommen habe (dachte das wären irgendwie systemwichtige Dateien)

Natürlich hab ich dann auch die besagte ntos.exe gefunden

Nun bin ich vorgegangen, wie von Euch empfohlen .... also erstmal Process Explorer, gmer und HighJackthis besorgt, dann die 3 im PE Prozesse gestoppt, anschl. einen gmer-Scan durchgeführt, der allerdings bei meinem Rechner darin endete, dass der Rechner einfach neu startete (2x) ... bei meiner Tochter (die das Drecksteil auch hat) hab ich auf ok gedrückt ... und anschl. bei beiden Rechnern den Highjacker benutzt um die ntos.exe zu löschen .... aber jedesmal, wenn ich das mache (Fix checked??) und anschl. nochmal scane, ist der ntos.exe wieder da *grrr*

Bin echt am verzweifeln, da ich eine Formatierung und neu Installierung wirklich vermeiden will ... da stecken Tage an Arbeit drin (bin da nicht so der Pfiffige

Könnt Ihr mir helfen? ... ich gehe davon aus, dass ich irgendwo einen "Anfängerfehler" drin habe.

Gruß
Ralf

Hi,

wie von Raman empfohlen bitte sdfix auführen (Anleitung steht unten von Raman)...

Chris

Hi,

Ich bin neu hier und habe aber GENAU das gleiche Problem.
ich habe mir zwar schon alles durchgelesen, aber ich kenne mich mit sowas nicht so aus.

Allerdings möchte ich dazu sagen das mein HijackThis 1x sagt der eintrag sei ungefährlich wenn hinter dem "," nichts steht.
Das andere mal sagt er super gefährlich fixen.
Also ich würde es schon sehr gerne loswerden!

Blitz-Illu hat zwar beschrieben , seine Schritte wie man alles in Griff bekommt aber ich kann da einfach nicht folgen , zb weiss ich nichtmal was handles sind *g*.
Also es wäre SUPER wenn mir irgendeiner das so genau erklärt mit denen 2 programmen das auch ich das fixen kann !!

Danke im vorraus!

okay habe es nach rumprobieren hinbekommen wie man es macht.

Habe wirklich jeden schritt von Blitz-Illu verfolgt.

1.Ich schließe alle 3 handles mit PE
2.lösche danach die files mit Gmer
3.scanne HijackThis fix den eintrag, aber er will nicht weg bei mir kommt immer wieder =(

jemand ne idee

Hi Leute,

das Problem hatten wir jetzt ein paar mal in
letzter Zeit.

Die ntos.exe ist im Regelfall dieser Trojaner -> Troj/Dloadr-AWJ
In der Bedrohungsanalyse stehen zwar bloß
Fakten drinne, die mit einer Bereinigung möglich
wären, jedoch ist inzwischen geklärrt, dass dieser
Schädling Rootkiteigenschaften mit sich trägt.
Die ständigen Probleme von Blitz-Illu deuten darauf
hin, dass er zudem aktiv war. Deshalb kann ich
hier nur ein Neuaufsetzen des Systems empfehlen.
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker

Hi,

ich würde einen letzten Versuch mit Combofix starten (mit dem habe ich gute Erfahrungen gemacht):
Combofix

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Wenn es nur darum geht, die entsprechenden Dateien zu loeschen, sollte man sdfix nehmen. Anleitung dazu findest du u.a. hier:
http://forum.hijackthis.de/showpost.php?p=120725&postcount=4

Das loest aber nicht deine Probleme wegen evtl. Passwortklau usw.