Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan-Spy.Win32@mx Entfernen (https://www.trojaner-board.de/49899-trojan-spy-win32-mx-entfernen.html)

PCPEDE 26.02.2008 11:36
Trojan-Spy.Win32@mx Entfernen
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo alle zusammen

Ich habe ein grosses Problem. Ich habe den Trojan-Spy.Win32@mx auf meinem rechner und bringe ihn mit Norton/AdAware/Spybot nicht weg. Es kommt ständig ein popup in der Taskleiste und dort steht dass mein PC infiziert ist und es will mir irgendwelche kostenpflichtige progs anbieten. Nun meine Fragen:

1. Ist das ein trojaner oder ein Virus? richtet er schaden an oder ist das nur werbung?

2. Wie bringe ich ihn weg?

hier noch das logfile von hijackthis:


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Chris4You 26.02.2008 13:48
Hi,

denen fällt aber auch immer was neues ein:
Das hier ist u.a. schuld:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe

Dann ist Dein Eintrag für den local-Host falsch:
O1 - Hosts: localhost 127.0.0.1
richtig wäre es genau anderst herum, daher poste unbedingt das Hosts-File;

Also der Reihe nach:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe
C:\DOKUME~1\Roman\EIGENE~1\Patrik\B17FOR~1.EXE
Poste das Ergebnis mit Filename;
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Folders to delete:
C:\Programme\NetProject

Files to delete:
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\sbsm.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Zitat:
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
chris

PCPEDE 27.02.2008 19:43
Vielen dank für den raschen bescheid ich werde das am Wochenende ausprobieren falls es nicht funktioniert sag ich wieder bescheid.


Grüsse

MMM 28.02.2008 17:06
Hallo Leute,

hatte das selbe Problem auf dem Rechner meines Cousins.

Hab mit Windows PE (google: PE-builder) gebootet.

Unter "C:\Programme\NetProject" den gesamten Ordner gelöscht!

Dann den PC normal neubooten und Spybot drüber laufen lassen um den Reg-Eintrag zu löschen.

Danach war ruhe.

Gruß

MMM

:daumenhoc:snyper:

GrinGoSysTem 02.03.2008 17:55
Habe gestern das gleiche Problem gehabt.
Aber mit SmitFraudFix konnte ich diesen Trojaner entfernen.

Hier den Log vom SmitFraudFix, als ich den Trojaner noch auf dem PC hatte:

SmitFraudFix v2.299

Scan done at 22:54:02,79, 01.03.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\a-squared HiJackFree\a2hijackfree.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NetProject\scm.exe
C:\Programme\NetProject\scit.exe
C:\Programme\IEPro\MiniDM.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

C:\DOKUME~1\ADMINI~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\NetProject\ FOUND !
C:\Programme\Sotfone\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}"="auras"

[HKEY_CLASSES_ROOT\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
@="C:\WINDOWS\system32\xskmoqx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
@="C:\WINDOWS\system32\xskmoqx.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"AltDefaultDomainName"="GRINGOSYSTEMS"


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

Description: SMCWUSB-G 802.11g Wireless USB 2.0 Adapter #6 - Paketplaner-Miniport
DNS Server Search Order: 194.152.104.7
DNS Server Search Order: 194.152.107.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{718679E3-64C6-4E51-8F01-4349570DF0F3}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE65E297-A916-4A0D-AB36-A7922EF754A7}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D1372774-3066-4298-9430-3BE7B1CBACB1}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{718679E3-64C6-4E51-8F01-4349570DF0F3}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE65E297-A916-4A0D-AB36-A7922EF754A7}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D1372774-3066-4298-9430-3BE7B1CBACB1}: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=194.152.104.7 194.152.107.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=194.152.104.7 194.152.107.2


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
--------------------------------------------------------------------------


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19