|
Trojanisches Pferd Hi, ich habe auch ein Problem mit "ntos.exe", allerdings meldet AntiVir manchmal auch noch eine andere Datei, weshalb ich einen neuen Post aufmache. Die gemeldeten Trojaner sind einmal eine Datei namens ntos.exe und ab und zu taucht stattdessen auch die Meldung auf, dass ein Trojaner namens "TR/Spy.Agent.42496" unter dem Pfad C:\System Volume Information\_restore{8DFA3F82-8616-4DD0-842A-8845681209AC}\RP549\A0167206.exe gefunden wurde. Hier die Logfile: __________________________________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:00:42, on 28.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ6\ICQ.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://www.giga.de/giga-stream-test/Rawflow.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125508171044 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h** p://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - h**p://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A279A797-46B3-4A6B-A96A-252EEB2E4D6D}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe O24 - Desktop Component 0: (no name) - XXXXX/antiflag/telechargement/wallpaper.jpg O24 - Desktop Component 1: (no name) - XXXXX/035U%20Kriegsschrei02.jpg O24 - Desktop Component 2: (no name) - XXXXX/wallpapers/music/offspring/offspring_3.jpg ________________________________________________________________________ Was muss ich machen? Mfg Tobi |
http://www.smiliegenerator.de/s33/smilies-25934.png Arbeite zunächst diese beiden Punkte ab: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) |
Hi, hab deine Anweisungen befolgt. Hier der Log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.4.9 Sprache: German C:\DOKUME~1\****\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with paymite Browser Hijacker (secure32.html)! Action taken: Keine Aktion vorgenommen. System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Aktion vorgenommen. System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Aktion vorgenommen. System found infected with harnig Trojan (C:\WINDOWS\toolbar.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\country.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\toolbar.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\country.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\Download Plugin\DlPlugin-Moz\npdlplug.dll markiert als "not-a-virus:AdWare.Win32.PluginDL.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Download Plugin\DlPlugin-Moz\setup2.exe markiert als "not-a-virus:AdWare.Win32.PluginDL.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Mozilla Firefox\plugins\npdlplug.dll markiert als "not-a-virus:AdWare.Win32.PluginDL.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\secure32.html Offending file found: C:\WINDOWS\toolbar.exe Offending file found: C:\Dokumente und Einstellungen\****\Desktop\internet.lnk Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll Offending file found: C:\WINDOWS\toolbar.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\Software\magnet !!! Offending Key found: HKCR\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aad38ec2-5999-11d9-b0b0-806d6172696f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in {aad38ec2-5999-11d9-b0b0-806d6172696f}\Name\Shell\AutoRun\command: D:\autorun_PES2008.exe Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\****\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Spiele\Max Payne 2\MaxPayne2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:34:55,78 Batchende: 18:35:37,65 _____________________________________________________________________ Scheint noch einiges gefunden worden zu sein, allerdings nichts, was mit dem ntos.exe zu tun hat oder? Hab Spybot die Trojaner-Datei entfernen lassen und ohne Systemwiederherstellung neugestartet. EDIT\\: Grade hat AntiVir wieder den Fund gemeldet, diesmal unter dem Pfad C:\Windows\Temp\2F.tmp... Gruß Tobi |
Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) |
Virustotal meldet immer "0 bytes size received / Se ha recibido un archivo vacio". Wenn ich die Dateien per E-Mail hochladen möchte, steht dort bei der Fehlermeldung, dass es eine ungültige Datei sei. |
Die ntos.exe Meldung kommt immer wieder, selbst nach Entfernen im abgesicherten Modus und deaktivierter Systemwiederherstellung. Der Upload bei Virustotal funktinoiert wie gesagt aus irgendwelchen Gründen nicht.. Gibt es noch eine Möglichkeit außer zu Formatieren? :balla: |
Tut mir Leid, wenn ich nerven sollte, aber kann mir nochmal jemand antworten? :confused: |
Auch wenn ich das böse Wort wieder einstreuen muss, gilt bei der Infektion mit Zitat:
|
Ok, geht wohl nicht anders ;-) Hab aber noch eine Frage bezüglich diesem spyagent.pz oder wie auch immer der heißt. Ich hab das Ding seit einem Monat (Warnung nicht ernst genommen) und er wurde jeden Tag bei AntiVir gemeldet, also habe ich immer auf "Zugriff verweigern" gedrückt. Ich habe mich auch in meinen Online-Banking Account eingeloggt während dieser Zeit, könnte der Trojaner trotz verweigertem Zugriff die Passwörter möglicherweise verschickt haben? Hab sicherheitshalber mal einen Freund meinen PIN ändern lassen von seinem Pc aus... |
hi tobi, da in deinem logfile wsnpoem zu finden ist würde ich davon ausgehen, daß die onlinebanking-zugangsdaten auf jeden fall auf irgendeinem server irgendwo rumliegen. laß dir von deiner bank neue schicken. gruß alterschwede |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board