MSN-Trojaner fies als Bild getarnt

[saensu]

Hallo!

Heute Abend bekam ich einen Link von imageshack.us mit der Endung meiner MSN-Adresse. Beim Klick downloadte sich ein als Bild getarntes MS-DOS-Programm. Nach dem Öffnen schickte es sich automatisch an alle meine Kontakte weiter. Jetzt liegt das Ding auf meinem Desktop (Vista) und kein Virenprogramm findet es. Löschen von Hand geht nicht, weil es angeblich noch irgendwo verwendet wird. Was soll ich machen?

Gruss

 

[I Think Linux]

Starte deinen PC im abgesicherten Modus und versuche dort die Datei zu löschen.
Oder probiere ein Programm wie Wipe File

 

[Swisstreasure]

Hallo Saensu

Das kriegen wir hin ;)

Arbeite folgendes ab (Punkte 1 - 4) und poste die Logs von Hijackthis und Combofix.
http://www.pctipp.ch/forum/showthread.php?t=3750

@ I Think Linux
Nur allein die Datei zu löschen bringt meistens nichts, da sich nebenbei noch andere Schädlinge mitgeladen haben.

Gruss Swiss

 

[DomiNi1]

das gleiche problem

Habe genau das gleiche Problem. Habe heute Abend auf einen einen link von imaageshack (das doppel a habe ich erst danach bemerkt) geklickt und so eine MS-DOS datei runtergeladen. diese habe ich aber gleich gelöscht und den papierkorb entleert. habe danach etwas gegoogelt und gesehen, dass das neue MSN viren sind, die trojaner installieren usw. Ich hoffe ich kann meinem pc noch retten ;). ich öffne derartige dateien nie, aber habe in dem moment genau erwartet ein bild geschickt zu bekommen (echt blöd sowas...). nach dem löschen der datei (die sich auf meinem desktop befand) und dem entleeren des papierkorbs, habe ich die datenträgerberinigung durchgeführt. was soll ich jetzt tun?

 

[Swisstreasure]

Hallo DomiNi1

Arbeite folgendes ab (Punkte 1 - 4) und poste die Logs von Hijackthis und Combofix.
http://www.pctipp.ch/forum/showthread.php?t=3750


Gruss trauriger Swiss

 

[Darki]

Ich habe auch eine Frage.
Ich lasse zwar schon mein VirenProgramm durchlaufen, aber nur zur Sicherheit.
Nachdem ich erwartet habe, das ein Bild geöffnet wird, habe ich auf den Link geklickt.
Natürlich wollte Firefox das Bild runterladen, ich hab aber "Abbrechen" angeklickt.
Ist der Trojaner jetzt trotzdem auf meinem PC oder nur, wenn ich die Datei runtergeladen und angeklickt habe? Ö_Ö

 

[I Think Linux]

Eigentlich sollte die Datei nicht heruntergeladen worden sein, es kann allerdings sein das sich andere Trojaner eingeschlichen haben, zur sicherheit lasse dein Antivirenprogramm nochmals laufen.

 

[Swisstreasure]

Hallo Darki

Mach zur Sicherheit noch einen Onlinescan mit Bitdefender
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

 

[Darki]

Dankeschön.
Mein Virenprogramm hat einen Trojaner gefunden und ihn zerquetscht. Ich lass aber trotzdem mal den Bitdefender drüberlaufen.

 

[Swisstreasure]

Siehst du, manchmal genügt ein Klick und man hatdas Zeugs. Erstelle noch ein HiJackthis Log.

Punkt 4
http://www.pctipp.ch/forum/showthread.php?t=3750

Gruss Swiss

 

[DomiNi1]

Ok

Danke für die Hilfe. Mein Avira hat heute nach einem Update, den Trojaner TR/Monder.33280.1 gefunden (Was richtet der denn eigentlich an? Bisher ist mein Computer nur manchmal etwas langsam und das eine mal habe ich nur meinem Desktophintergrund sehen können). Ich habe allerdings schon 15 mal diese Nachricht bekommen und immer mal wieder auf "Zugriff verweigern" oder "Löschen" geklickt, tortzdem kommt es immer wieder.
Ich werde dennoch einmal die Punkte 1 - 4 durcharbeiten. (Wobei eventuell auch mal wieder ein neuer Computer fällig wäre, wobei ich dann einige Dateien (Word und iTunes auch dann gerne wieder auf dem neuen Computer hätte, aber ohne, dass ich den trojaner dadurch übertrage), aber naja ich will erstmal diesen Computer solange wie möglich behalten)
Werde bald die Logs hier posten.

Und Swiss nich traurig sein die Schweiz hat gut gespielt und hätte es eigentlich verdient in beiden Spielen bisher zu gewinnen, es fing schon blöd an (Frei...) und hat auch unglücklich aufgehört.

 

[Swisstreasure]

Und Swiss nich traurig sein die Schweiz hat gut gespielt und hätte es eigentlich verdient in beiden Spielen bisher zu gewinnen, es fing schon blöd an (Frei...) und hat auch unglücklich aufgehört.

Das trifft zu :)

Also dann arbeite einmal die Punkte durch und poste die Logs von HiJackThis und Combofix.

Was dieser Trojaner genau verursacht kann ich zur zeit auch nicht direkt sagen.


Gruss Swiss

 

[Darki]

Danke Swiss.

Da ich nun nicht weiß, ob etwas davon schädlich sein sollte...
soll ich den Log mal hier posten?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:13, on 12.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Gemeinsame Dateien\AOL\1199396235\ee\AOLSoftware.exe
C:\WINDOWS\system32\FireOnecp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Darkchikara\Desktop\HiJack\HJT.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]ht**://www.spiel***ll.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]h**p://www.a**i.com[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]h**p://www.a**i.com/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1199396235\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [StartFireOneApplet] FireOnecp.exe H
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - [url]****//www.medionshop.de/[/url] (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]ht***://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9389 bytes

Die Seite sagt mir, das eine Datei sehr schädlich ist.
Soll ich die jetzt löschen?

Es ist diese:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Edit:
Hab mich jetzt mal bei "google" kundig gemacht und die meisten sagen, ich müsse mein PC neu aufsetzen, damit es ganz sicher weg ist.
Ist das wirklich nötig? Oder gibt es mittlerweile eine andere Lösung?

 

[Swisstreasure]

@ Darki

Es dürfte sich um einen Backdoortrojaner handeln.
Dann würdest du nicht um ein Neuaufsetzen rum kommen.

Lass mal folgende Dateien bei www.Virustotal.com/de überprüfen:

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\FireOnecp.exe

Danach schauen wir ob eine Reinigung möglich und vorallem sinnvoll wäre. Aber wie schon gesagt sinnvoller wäre hier gleich das Neuaufsetzen.

Gruss Swiss

 

[Darki]

FireOne ist mein eigenes AudioDevice für mein Großmembran Mikro.
Also ich kenne die Datei auf jedenfall.
Ich hab mih egrade auch schon zu einem neu aufsetzen entschlossen.

Allerdings habe ich keine Ahnung wie ich das nachher mit dem Absichern machen soll.
Ich bin nicht so der Windoof Fan und habe deshalb automatische Updates aus und die Firewall ebenfalls, weil die sonst unseren Router schrottet.
Nicht sehr empfehlenswert...

Naja wir werden dann sehen x_x

Ich lass trotzdem mal beide überprüfen.
Die Fieone.exe ist unschädlich. Die kannte ich aber auch.

ntos lässt sich nicht hochladen.
Sichtbar ist die datei auch garnicht.
Sichtbar ist nur eine ntoskrnl.exe
die habe ich jetzt mal überprüfen lassen.

Er findet bei beiden nichts.

 

[Swisstreasure]

Also ist sicher sinnvoll bei einem Backdoortrojaner.

Hier noch ein Link zur Unterstützung :)

Merkpunkte beim Neuaufsetzen:
www.pctipp.ch/forum/showthread.php?t=3769

Hast du mal ntos.exe über die Suchfunktion auf deinem Rechner gesucht?

Gruss Swiss

 

[Darki]

Dankeschön.
*gerade alle wichtigen Dateien auf die Externe kopier*

Der Link geht nicht ._.
Edit: Ach der war ausversehen doppelt gemoppelt.

 

[Swisstreasure]

Ja ist sicher keine falsche Lösung. Dann hast du wieder ein sauberes System.


UND WICHTIG!!! VERGISS NICHT ALLE PASSWORTE ZU ÄNDERN!!!


Gruss Swiss

 

[Darki]

...wie soll ich das denn schaffen...?
Ich habe nur 3 oder so...
Na dann kann ich mir ja heute nacht was geniales neues überlegen... ~~

Aber dankeschön nochmals.
Wenn ich jetzt noch meine doofe Windows CD finden würde, wäre ja alles perfekt.

Ich wünsch dem eigentlichen Ersteller dieses Threads allerdings noch viel Glück auf eine bessere Lösung seines Problems :3

Darki.

 

[Swisstreasure]

Ja der hat sich leider nicht mehr hier gemeldet. Ist manchmal schad, man will helfen, postet eine Lösung und dann keine Anwort. Passiert leider immer wieder :)

Dir eine kurze Nacht und falls du Probleme hast melde dich.

Gruss Swiss