Trojaner-Board - Winantiviruspro2006!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Winantiviruspro2006!! (https://www.trojaner-board.de/32348-winantiviruspro2006.html)

Winantiviruspro2006!!

Liebe Leute,

es ist ein Elend mit dem Ding - ich kriege es nicht weg!!
Ich habe schon diverse Foren durchstöbert und viele Ratschläge befolgt; was bleibt ist, dass sich regelmäßig ein Browserfenster mit dem Verweis auf die Homepage des Übels öffnet, die automatisch einen Download des Programms startet und nur schwer zu schließen ist.

Hier mein Post, vielleicht erkennt jemand ja noch einen Haken an der Sache??

Danke vorab,
freudenb

Logfile of HijackThis v1.99.1
Scan saved at 10:23:49, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\iexplore.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Spamtools\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamtools\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: iexplore.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {9239E4EC-C9A6-11D2-A844-00C04F68D538} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5205856-9A33-4D6E-AF44-5DA071F2B91B}: NameServer = 192.168.0.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Guten Morgen,

also von Winantivirus kann ich nichts sehen.......

Vielmehr ist das interessant:

C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\ie xplore

Mal bei Jotti und Virustotal Prüfen lassen und Ergebnis Posten!
Das gesamte Ergebnis, auch wenn nichts gefunden wird....die dort angegebene Größe ist in dem Fall wichtig!

Zu Winantivirus....was hast du bis dato gemacht? Benutze mal die Bordsuche...da findest bestimmt was!

Gruß Mellosun

Hallo, danke für die Antwort.
Wie läuft das genau bei Virustotal? Da soll doch eine Datei hingeschickt werden, in dem Fall das Logfile oder wie??

Ich habe alle Viren- und Spywareprogramme laufen lassen, die ich kenne. Außerdem mit SmitFraudFix die Registry versucht zu reinigen. Eben auch mit teilweisem Erfolg; in der Leiste rechts unten wird nicht mehr automatisch ein nicht installiertes Virenprogramm geladen.
Dass der Browser aber ständig aufgeht ist auf Dauer ja kein Zustand...

Bei der online Prüfung oben auf Durchsuchen klicken.....zu der besagte Datei Navigieren und doppelklicken.....dann auf Send klicken.
Warten bis Ergebnis da ist!

Gruß Mellosun

Hier das Ergebnise, "leider" alles gut. Was machen wir jetzt also mit meinem Virus ;(??

Complete scanning result of "hijackthis.log", received in VirusTotal at 09.20.2006, 11:42:33 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 no virus found
Authentium 4.93.8 09.19.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.19.2006 no virus found
BitDefender 7.2 09.20.2006 no virus found
CAT-QuickHeal 8.00 09.20.2006 no virus found
ClamAV devel-20060426 09.20.2006 no virus found
DrWeb 4.33 09.20.2006 no virus found
eTrust-InoculateIT 23.72.128 09.19.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 no virus found
Ewido 4.0 09.20.2006 no virus found
Fortinet 2.82.0.0 09.20.2006 no virus found
F-Prot 3.16f 09.19.2006 no virus found
F-Prot4 4.2.1.29 09.19.2006 no virus found
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 no virus found
McAfee 4855 09.19.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1763 09.19.2006 no virus found
Norman 5.90.23 09.19.2006 no virus found
Panda 9.0.0.4 09.19.2006 no virus found
Sophos 4.09.0 09.20.2006 no virus found
Symantec 8.0 09.20.2006 no virus found
TheHacker 6.0.1.074 09.20.2006 no virus found
UNA 1.83 09.19.2006 no virus found
VBA32 3.11.1 09.19.2006 no virus found
VirusBuster 4.3.7:9 09.19.2006 no virus found

Du sollst net das Hijacktis Log scannen......

Die Datei hier soll gescannt werden:

C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\ie xplore

Nochmal bitte...und die Größe, die dort angegeben wird mit Posten!

Na das war ja meine Frage, haben wir schön aneinander vorbei geredet... ;)

Hier also das Teil - aha, was nun??

omplete scanning result of "iexplore.exe", received in VirusTotal at 09.20.2006, 12:03:22 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 TR/VB.AMD
Authentium 4.93.8 09.19.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.19.2006 Generic2.BHO
BitDefender 7.2 09.20.2006 Trojan.VB.AMD
CAT-QuickHeal 8.00 09.20.2006 Trojan.VB.amd
ClamAV devel-20060426 09.20.2006 no virus found
eTrust-InoculateIT 23.72.128 09.19.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 no virus found
DrWeb 4.33 09.20.2006 Trojan.Click.1447
Ewido 4.0 09.20.2006 Trojan.VB.amd
Fortinet 2.82.0.0 09.20.2006 W32/VB.AMD!tr
F-Prot 3.16f 09.19.2006 no virus found
F-Prot4 4.2.1.29 09.19.2006 no virus found
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 Trojan.Win32.VB.amd
McAfee 4855 09.19.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1763 09.19.2006 no virus found
Norman 5.80.02 09.19.2006 no virus found
Panda 9.0.0.4 09.19.2006 Trj/Clicker.SX
Sophos 4.09.0 09.20.2006 no virus found
Symantec 8.0 09.20.2006 Downloader
TheHacker 6.0.1.074 09.20.2006 no virus found
UNA 1.83 09.19.2006 Trojan.Win32.VB.F3F1
VBA32 3.11.1 09.19.2006 Trojan.Win32.VB.amd
VirusBuster 4.3.7:9 09.19.2006 no virus found

Aditional Information
File size: 7168 bytes
MD5: cd5a8b0ca2c78f052d72ec8b8aa6a1e2
SHA1: 8e5fff0e072b2dfae7dcff92213edc94a4a423f9
packers: UPX

Hmm,

das ist jetzt die gute Frage.
Das Dingens ist als Trojaner identifiziert und man muß mit einer Backdoor-Funktionalität rechnen.
Allerdings finde ich nichts, was eine Beschreibung enthält! Also man weiß nicht, was das Teil macht!

Du hast also folgende Alternativen:
1. Den Infekt löschen und abwarten was sich weiteres ergeben wird. Du müßtest dann recht häufig nachschauen ob es eine bessere Beschreibung gibt und dann ggfls. win plätten.
2. Wenn Du sicherheitskritische Sachen machst (z.B. Online-Banking) würde ich allerdings dazu raten ein format C: und eine Neu-Installation vorzunehmen.

Mehr fällt mir dazu jetzt net ein......kann aber heut Abend nochmal schauen....weil muss jetzt schaffen gehen!

Gruß Mellosun

Es ist echt ein Übel mit dem Mist!!

Ja, so machen wir das. Die Datei einfach löschen funktioniert nicht ?? ;)

Hi freudenb,

Zitat:

C:\Dokumente und Einstellungen\Jan\Startmenü\Programme\Autostart\ie xplore.exe

Wenn du den Internet Explorer nicht selber in den Autostart
geschoben hast, nehme ihn doch erst mal raus (Eintrag löschen).

Zitat:

O4 - Startup: iexplore.exe

Den Eintrag auch bitte fixen.

Zitat:

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

Falls du create mobile Favorite nicht kennst, auch bitte fixen.

Aber so richig finde ich auch nichts
Gucken wir mal danach, was passiert.

Edit: Kann das sein, dass der Start zu dem Trojaner immer kommt,
wenn auf einer bestimmten Seite landest?

mfg Cleriker

So, wir nähern uns der Lösung. Die Mobilen Favoriten sind von meinem PDA, das ist in Ordnung.

Ich habe mal versucht den Explorer im Autostart zu löschen - doch HijackThis kriegst nicht hin, da die Datei in Benutzung sei! Der Task Manager findet die Anwendung aber nicht als aktiv...

Trotzdem geht beim Löschversuch sofort der Nortonalarm an, dass er einen gleichnamigen Trojaner gekillt hat, wir haben ihn!!

Jetzt brauchts nur noch einen Trick, wie wir ihn löschen...

Danke jetzt schon für Eure Hilfe!

Guten Abend,

Zitat:

Zitat von freudenb

Trotzdem geht beim Löschversuch sofort der Nortonalarm an, dass er einen gleichnamigen Trojaner gekillt hat, wir haben ihn!!

Na das wussten wir ja nach der Online Auswertung schon!

Kann ich daraus entnehemen, das es Dir genügt, diese Teil was im Autostart ist, von der Platte zu Löschen? Egal, ob er eventuell noch mehr Schaden angerichtet hat?

Gruß Mellosun

Natürlich nicht! Ich will ihn unschädlich machen, und wenn Löschen dazu nicht reicht, muss man einen anderen Weg gehen. Nur welchen?

Das löschen sollte net das Problem sein....nur habe ich nichts gefunden, woraus erichtlich ist, welche Schlüssel das Teil in der registry erstellt und so das löschen wohl nicht reichen wird!

Versuche mal das Teil zu löschen....

Lade Dir als erstes Unlocker oder Killbox und Installiere eins davon. ( mal google bemühen, hab den Link grad net da!)
Gehe in den Abgesicherten Modus, Deaktiviere Norton.......Versuche besagte Datei zu löschen...sollte es net gehen, Killbox bzw. Unlocker benutzen! Papierkorb leeren!

Rechner wieder normal Starten.....Schauen ob die besagte Datei wieder da ist!

Gruß Mellosun