Hallo erstmal.
Ich habe seit mehr als einer Woche ein Problem mit win32.backdoor.agent und
win32.trojanspy.peed gehabt. Spybot meldete mir beide Funde mit zusätzlich einem timedump(hier weis ich den genauen Dateinamen leider nicht mehr, er lies sich aber mittels Spybot problemlos entfernen).
Spybot weigerte sich penetrant beide Funde zu entfernen mit der Meldung
Datei kann nicht gelöscht werden, bot aber jedesmal an beim Neustart des Computers selbige zu entfernen. Dies gelang exakt 4 mal nicht.Beim 5 ten mal aber waren beide Funde einfach nicht mehr da(Ich verspreche das ich da nichts anders gemacht habe als vorher. Einfach nur bei Spybot dem Computer neustart zugestimmt)Jetzt fand Spybot aber den win32.agent.pz kontinuierlich immer wieder (ca 7mal durchlaufen lassen ; Im abgesicherten Modus, nach verschiedensten Erfolglosen Komboversuchen mit Killbox, usw) und nur ein einziges mal wurde zwischendurch zusätzlich noch eine Datei
C:\windows\system32\wbem\ntos.exe als Schädling gemeldet.
Spybot konnte immer beim ersten Versuch Markierte Probleme beheben alles löschen bis auf ein Verzeichnis C:\windows\system32\wsnpoem.

Dieses Verzeichnis taucht nicht im explorer auf (versteckte Dateien anzeigen : Ja), die ntos.exe ebenfalls nicht.


Normalerweise werde ich bei sowas regelmässig (über die letzten 8 Jahre) brachial und installiere mein (original) WindowsXP Professional neu nur finde ich ,Murphys Law lässt grüssen, zwar die CD aber den ProduktKey nicht mehr.

Hijackthislog folgt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:32, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ssd2\TeaTimer.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Luzzymay\Anwendungsdaten\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\ssd2\SDHelper.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\ssd2\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\ssd2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\ssd2\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .torrent: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F453D16A-43A6-4143-953F-2E195541C700}: NameServer = 83.169.184.161,192.168.0.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

--
End of file - 3897 bytes


Wer kann mir bei dieser "Schweinerei"(verfluchte unausgelastete Menschen die Trojaner missbrauchen) helfen ?
Laut google haben bereits ein paar Leute da draussen ein ähnliches Problem aber leider keine Lösung.
Mfg FallenASH

Hallo.

trenne deinen Rechner umgehend vom Netz! Lasse alle Internet Accounts sperren bei denen es um wichtige Daten oder Geld geht... (e-Bay, PayPal, online Banking usw..)

Danach setzte deinen PC neu auf. Anleitung findet sich in meiner Sigantur.

Eine Bereinigung ist in Falle einer Backdoor Infizierung nicht möglich da Hintertüren in's System eingebaut werden die wir nicht finden können.