|
nfos.exe, audio.dll, video.dll Hallo, habe schon mehrer Themen über diesen Trojaner hier gesehen, aber so ganz weiss ich leider noch nicht, wie ich den wieder weg bekomme. Es geht umd die Dateien nfos.exe, audio.dll, video.dll. Außerdem kann ich den Ordner, wo die video.dll u. audio.dll drin sein sollen im System32 auch nicht finden, obwohl ich bei den Ordnereinstellungen eingestellt habe, dass unsichtbare Objekte und Systemordner auch angezeigt werden sollen. Kann mir vielleicht jemand Schritt für Schritt genau erklären wie ich den Trojaner nun wieder loswerde ? Hier mein Log : Zitat:
|
Ach ja, der Hammer bei der ganzen Geschichte ist : Diese drei besagten Dateien sind alle nicht in meinem System zu finden, aber dennoch schlagen sämtliche virenscanner etc. Alarm :( Bin echt Ratlos, hab ja hier schon viele Infos gesammelt über diesen Trojaner, aber hilft ja alles nichts, wenn die Datei nicht aufzuspüren ist. :balla: |
Hi, da kommt der Verdacht noch einem Rootkit auf... Wobei anscheinnd auch BlackLight das Ding nicht findet! Folge bitte den Thread hier: PC Hilfe - Forum - User helfen User | Virus - Trojaner - und Hoax - Board | TR/Drop.Agent.stn - HILFE! Und berichte dann, ob es funktioniert hat! Chris |
Hallo ihr zwei, ich würde gern Blitz-Illu noch was machen lassen. LADS für Alternate Data Streams * Lade das Programm von hier. * Entpacke es mittels eines Zip Tools -> 7 Zip Wähle als Ziel für das entpacken den Pfad c:\ * klicke auf Start / ausführen * tippe ein cmd drücke [Enter] * tippe ein cd c:\ * tippe ein lads /s >lads.txt * sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter] * nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt * deren Inhalt postest Du in den Thread ---------------------------------------- Fehlermeldungen
Bata |
Hey, das wäre interessant... Bin gespannt was rauskommt... Chris |
So, also habe das mit mit dem "lads" mal gemacht, hier das Resultat : Zitat:
|
@ Chris4You : Danke für den link, aber leider klappt dies bei mir auch nicht :( Es scheitert schon bei HiJackThis, ich lösche den einen Eintrag und scane wieder und er ist wieder da. Außerdem hat des mit der Bat auch nicht geklappt, erst sagt er mir er kann die Dateien nicht finden und beim löschen sagt er dann, die können nicht gelöscht werden weil sie von nem anderen Prozess genutzt werden. Danach hab ich den Online Scan gemacht und de rhat nichts gefunden. Dann hab ich die Temp Ordner etc. geleert usw. usw. Aber der Eintrag ist immer noch bei HiJackThis und auch AdAware findet diese Dateien immernoch. Langsam weiss ich echt nimmer wieter :( |
Geh bitte wie folgt vor: * klicke auf Start / ausführen * tippe ein cmd drücke [Enter] * tippe ein "more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt" * sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [Enter] * nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Ordner C:\Dokumente und Einstellungen\Ilona und öffnest die Datei fuerstb.txt * deren Inhalt postest Du in den Thread Mal sehen was der so meint. Bata |
Also dann kommt immer : more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt Aber dieses Zylom, das ist der Hersteller von Spielen die ich manchmal online bei Lycos spiele. |
Komisch sollte so gehen *am kopf kratz*? Musst nach der Eingabe der Zeile noch Enter drücken das hab ich vergessen zu schreiben, nach ca 1sek sollte der Cursor auch wieder da sein. Kennst Du das Spiel "Birds on a Wire"? Das Du Zylom spielst sehe ich im HJT Log, auch das Dir mal ein Java Update fehlt, das aber nur nebenbei bemerkt. Ich hab mir derweil diese Infektion auch mal geholt, durch einen Crack für ein in Deutschland verbotenes DVD Programm :rolleyes: Zitat:
LADS, Icesword auch nicht. Mit Gmer findet man sie, kann aber nicht alle löschen, dazu muss man mit dem Process Explorer im Prozess Winlogon die Handles video.dll und audio.dll löschen. Alles in allem kann ich Dir hier nur zu einem Neuaufsetzen raten, konnte die Datei leider nicht scannen, ist aber wohl der hier oder der. Was meinen Chris und vorallem Du Blitz-Illu dazu? Bata |
@ Bata, Natürlich habe ich auch Enter nach der EIngabe gedrückt ^^ Aber dann kam halt die besagte Meldung. Also ich meine, es ist der Troj/Dloadr-AWJ. Denn den hab ich gefunden als ich die ntos.exe gegoogled hab. Das komische bei mir allerdings ist, ich habe schon alles versucht, mit dem Process Explorer im Prozess Winlogon die Handles nfos.exe, video.dll und audio.dll löschen und danach ne .bat ausführen mit : @ECHO OFF attrib -s -r -h C:\WINDOWS\System32\wsnpoem\audio.dll attrib -s -r -h C:\WINDOWS\System32\wsnpoem\ video.dll attrib -s -r -h C:\WINDOWS\System32\wsnpoem attrib -s -r -h C:\WINDOWS\rjx.exe attrib -s -r -h C:\WINDOWS\System32\ntos.exe del C:\WINDOWS\System32\wsnpoem\audio.dll del C:\WINDOWS\System32\wsnpoem\ video.dll rd /s /q C:\WINDOWS\System32\wsnpoem del C:\WINDOWS\System32\ntos.exe ... funktioniert weder normal, noch im abgesichtertem Modus. Erst sagt, er kann die Dateien nicht finden und dann sagt er, er kann sie nicht löschen. Habe mit allen möglichen viren und Male/spyware scannern gescannt, manche finden ihn gar nicht, andere können nicht drauf zugreifen. Genauso wenig hat die Trojanerbekämpfung via Sophos Notfall CD was gebracht (wie dort auf der Page beschrieben). Und wenn ich in die angegebenen Ordner schaue, wo die Dateien liegen sollen, auch nach Systemordner und versteckte Dateien anzeiegen, ist nichts zu finden. Genauso komisch ist, dass der Virus sich angeblich in 3 Regestryeinträge schleicht, bei mir aber nur in einem vorhanden ist. (weleche auch im HiJackThis Log steht) Mit HiJackThis lässt sich auch nichts machen, der Eintrag kommt immer direkt sofort wieder. Bei allen anderen wo ich gelesen haben, das sie diesen Virus haben, waren die Dateien aber da, wo sie hingehören. Nun steh ich also da mit nem imaginärem Virus :balla: Joa, hab also schon tausende von Sachen versucht, aber nichts hilft. Das schlimme ist, ich weiss nicht wo ich mir den eingefangen haben könnte, also leider auch nicht was ich nach ner evtl. Formatierung vermeiden muss. |
Hi, gaaanz langsam: Also die Datei:"C:\WINDOWS\System32\ntos.exe" ist zu finden? Die Dateien: C:\WINDOWS\System32\wsnpoem\audio.dll C:\WINDOWS\System32\wsnpoem\video.dll Sind auch da? Welcher Scanner findet Sie? Hast Du eine Notfall CD von der Du ein Windows booten kannst? Wenn nein, hast Du eine XP-Installations-CD bzw. Recovery-CD? Wenn ja, basteln wir uns eine Notfall-CD hiermit: http://www.ubcd4win.com/ Installiere ubcd4win, lege die XP-CD ein (Recovery oder Installations-CD), folge den Anweisungen von ubcd, es wird eine ISO-Datei erstellt, die Du mit z.B. Nero brennen kannst. Von dieser CD bootest Du dann. Es stehen verschiedene Scanner etc. zur Verfügung (daher die Frage welcher Scanner sie findet). Du kannst dann auch mit dem Explorer auf die HDD zugreifen, die Dateien suchen und löschen, ein Remoteregistery-Editor ist auch dabei, wo Du den Reg.-Schlüssel entfernen kannst. Da ich mittlerweile davon ausgehe, dass wir einem neuen Rootkit gegenüberstehen, dürfte das die einzigste Möglichkeit sein es zu finden und zu "eleminieren". Der Unterschied besteht darin, dass von CD gebootet wird und daher das verseuchte Windows (der Rootkit) nicht läuft und "wehrlos" auf der Platte rumliegt. Sicherheitshalber die CD auf einem "sauberen" Rechner erstellen. Kannst Du uns noch ein Silentrunner-Log machen? Entweder ntos.exe oder ein noch nicht gefundener Rootkittreiber muss noch irgendwo "rumhängen"... SilentRunner: Loadingpoints von Programmen. Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip (Ich haue gleich die Tastatur in die Tonne, das "e" geht nur bei 5x drücken...Grrr)... Chris |
Chris, Blitz-Illu Ich konnte den Schädling nur wiefolgt löschen. 1. Process Explorer starten, unter dem Prozess Winlogon finden sich die drei Handles ntos.exe, wsnpoem\audio.dll und wsnpoem\video.dll. 2. Diese mit dem PE beenden 3. Nun mit gmer einen Rootkit Scan nach Files machen lassen. Gmer findet die Infektion und kann sie dann auch löschen. -------------------- Den Ordner c:\windows\system32\wsnpoem sehe ich in keinem Fall unter Windows. Über die cmd kann ich ihn allerdings nach löschen der besagten Prozesse anspringen und auch löschen. Es ist definitiv ein Rootkit! Downloader ist ja nur ein Oberbegriff für Software die Zitat:
Alle Threads die es bisher zu dem Thema gib gehen mehr oder weniger direkt in diese Reichtung. @Chris Es gibt Registry Einträge, aber nur für die ntos.exe. Die beiden anderen werden wohl von dieser Datei nachgeladen. Aber selbst wenn ich diese Datei lösche, werden die noch geladen. :confused: Edit: Update: Hab mir den kleinen beim ansurfern einer CrackSeite mit dem IE eingefangen :) Bata |
Hm, dann hängen sie sich direkt z. B. in den Explorer rein (Handle/Hooks umgebogen); Zeigt gmer diesbezüglich was an? chris |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:35 Uhr. |
Copyright ©2000-2024, Trojaner-Board