Trojaner ST.EXE

Aus Sophos Bibliothek:
Troj/Daemoni-E
Übersicht
Übersicht    Erläuterung    Wiederherstellung    
Profil    
Name    Troj/Daemoni-E
Typ    

    * Trojaner

Schutz    
Schutz verfügbar seit    23 Juni 2004 08:51:50 (GMT)
In unserem Produkt enthalten seit    August 2004 (3.84)
Stets up to date

Wenn Sie unsere Technologie für automatische Updates noch nicht im Einsatz haben, informieren Sie sich über EM Library, Teil der Enterprise Manager Management-Tools. Mit EM Library kann Sophos Anti-Virus auf zahlreichen Plattformen voll automatisiert, webbasiert installiert und aktualisiert werden.
Erläuterung
Übersicht    Erläuterung    Wiederherstellung    

Troj/Daemoni-E ist ein Backdoor-Proxytrojaner, der einem remoten Eindringling die Möglichkeit gibt, Internetverkehr über den infizierten Computer zu leiten.

Der Trojaner besteht aus zwei Teilen: einem Hauptteil, der das remote Eindringen ermöglicht, und einer Download- und Installationskomponente, die neue Versionen von sich und andere Schadsoftware von einer remoten Website herunterladen kann.

Die Download-Komponente kopiert sich in den aktuellen Autostart-Ordner und in den Windows-Systemordner. Außerdem verändert sie den folgenden Registrierungseintrag, so dass sie beim Systemstart aktiviert wird:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Diese Download-Komponente legt auch eine Stealthing-Komponente als st.exe im Windows-Ordner ab, die sie dann ausführt.

Um jetzigen Zeitpunkt legt der Hauptteil von Troj/Daemoni-E zwei Teile von sich als socket.exe and svchostz.exe im Windows-Systemordner ab.

Der Trojaner erstellt dann die folgenden Registrierungseinträge, so dass svchostz.exe automatisch beim Systemstart aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Socket Utility
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Socket Utility
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Socket Utility
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Socket Utility
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Socket Utility
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\Socket Utility

Troj/Daemoni-E ändert außerdem den folgenden Registrierungseintrag, so dass svchostz.exe automatisch gestartet wird:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Der Trojaner startet daraufhin svchost.exe

Svchost.exe führt dann socket.exe aus, um den Proxy zu starten, und verbindet sich mit einer remoten Website, um darüber zu informieren, dass der Computer anfällig ist.

Als Gegenmaßnahme empfehle den Einsatz von Spybot Search & Destroy oder a²

Downloadlinks und weitere Infos zu Computersicherheit findest du unter
http://www.comsafe.de

Vielen Dank für die schnelle hilfe.
Es waren einige von den Reg-einträgen vorhanden, habe sie gelöscht.
Unter.HKLM/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/shell: befand sich volgender eintrag.
explorer.exe C:/Windows/system32/netdc.exe.
Diesen habe ich auch gelöscht, und im Windowssysten32 Ordner die netdc.exe.
Nach erneuten Virenscan scheint alles sauber zu sein, keine Infektion gefunden.

Nochmals Danke
Gruß Hoppel

Hallo, das schützen gegen erneute Infektion nicht vergessen:

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.
 Natürlich innerhalb beider Programme die Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php

Hilfe, ich werde noch zum Elch.
Nach ca 30 Minuten Online war er wieder da, so ein mist.
Hab mir Hijack This runtergeladen, hier mal mein Log.

Logfile of HijackThis v1.98.2
Scan saved at 17:46:21, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\System32\gearsec.exe
D:\PROGRA~2\NORTON~1\NORTON~2\GHOSTS~2.EXE
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~2\NORTON~1\SPEEDD~1\nopdb.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
E:\Downgeladen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~2\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094534581125
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B03CF33-15A9-434F-8864-0244D5E1D4E9}: NameServer = 192.168.122.252,192.168.122.253

Lade mir noch schnell die oben angegebenen Programme runter.

Ich hoffe ihr könnt mir nochmal helfen.

Hoppel

Fixen:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

Und dann solltest entweder den Browser(Firefox/Opera) wechseln oder nen gescheiten Virenscanner(Kaspersky o. Mcafee) besorgen. Norten is Mist wie man sieht.

Aber am besten gleich beides neuer Browser+ neuer AV

Vielen Dank Nighty.
Nach dem Fixen, neustart gemacht, und alles i.o.
Werde mir jetzt Firefox runterladen und umsteigen.

Was Norton betrifft: Traurig Traurig

Danke nochmal
Hoppel

Ist der Abonnementdienst von Norton evtl abgelaufen ?
Dann bekommst Du keine neuen Signaturen mehr , also kann Norton die nicht erkenne / Killen .

http://www.freeav.de/
http://download.zonelabs.com/bin/free/de/download/znalmDetails.html
http://www.spybot.info/de/spybotsd/index.html

Ist der Abonnementdienst von Norton evtl abgelaufen ?
Dann bekommst Du keine neuen Signaturen mehr , also kann Norton die nicht erkenne / Killen .