Trojan Downloader Win32.small.bke gefunden

#1 Hallo zusammen,
ich benötige bitte einen prüfenden Blick, um sicher zu sein, dass mein System jetzt sauber ist.

Vorgeschichte:
Habe am 11.02 von Win98SE auf XP umgestellt. Systempartion C:/ also komplett platt. Die letzte Woche habe ich dann damit verbracht so langsam meine Programme wieder zu installieren etc.
Glück im Unglück:
Meine Norten Internet Security machte Mucken beim Aktivieren. Angeblich können Sie mit der Registriernummer nichts anfangen, obwohl dass im letzten Sommer wunderbar geklappt hat und auch lief.
Nun ist meine Zeit abgelaufen und Norton hat sich verabschiedet. Also habe ich Kaspersky installiert und der findet doch sofort einen Trojaner.
Ich habe am 24.10.05 ein JPG-Bild gespeichert und das hat mir folgende Datei mitgebracht:
WISE 0019.BIN enttarnt von Kaspersky als Trojan Downloader Win32.small.bke

Ich habe der Empfehlung Folge geleistet und die Datei gelöscht. Ist damit dass Problem behoben?

Ich habe versucht etwas über den Trojaner herauszufinden, was er so anstellt etc. mit dieser Endung habe ich ihn aber nicht gefunden. Dafür bin ich in diesem Forum gelandet und war beeindruckt.

Ich habe auch artig meine Hausaufgaben gemacht und HijackThis gedownloaded und ausgeführt.
Den ersten Check habe ich von meinem eingeschränkten Benuterkonto aus gemacht, dann wollte ich mal sehen ob unter Administratorrechten das Gleiche herauskommt und habe sofort eine Warnmeldung erhalten
__

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error#5 – Invalid procedure call or argument

Pleas email me at merijn@spywareinfo.vom, reporting the following:
*What you were trying to fix when the error occurred, if applicable
*How you can reproduce the error
*A complete HijachThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
___

Und hier das Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 19:07:39, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\SLEE81.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\WINDOWS\system32\winlogon.exe
C:\Dokumente und Einstellungen\Internet\Eigene Dateien\Hijackthis\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SSS5] "J:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "J:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "J:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ich bin sehr gespannt, ob die Experten hier noch eine Auffälligkeit entdecken können. Ich hoffe nicht. Aber sicher ist sicher und möglich ist alles.

Habt schonmal recht herzlichen Dank.
Masch

#2 masch

im Log ist nichts zu sehen.
Nur finde ich eigenartig, dass du immer noch den Symantec im Autostart + Browser + Diensten aktiviert hast....sollte dort nicht mehr sein.

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina und Danke,

für den Anfang doch schon mal keine schlechten Nachrichten.

Mit Symantec lässt sich einfach erklären. Ich habe es noch nicht deinstalliert und es fragt mich jeden Tag ob ich es nicht aktivieren möchte.
Die Mails, die ich bezüglich meines Schlüssels mehrfach nach Symantec geschickt habe, erhielten dort keine Aufmerksamkeit. Dieser Service und die Tatsache, dass die komplette Suite im Tiefschlaf trotz regelmäßiger Updates nichts von dem Trojaner bemerkt hat, wird mich aber nun dazu veranlassen die Deinstallation gleich vorzunehmen.

Hier nun noch die gewünschten Textdateien:

Verzeichnis von C:\WINDOWS\system32

21.02.2006 16:36 2.206 wpa.dbl
19.02.2006 15:35 16 wpfb.dat
17.02.2006 15:53 58.920 wpfb_s3gnb.dll
17.02.2006 15:52 16.384 WINKRNME.DLL
15.02.2006 17:23 311.740 perfh009.dat
15.02.2006 17:23 40.128 perfc009.dat
15.02.2006 17:23 316.924 perfh007.dat
15.02.2006 17:23 48.354 perfc007.dat
15.02.2006 17:23 723.744 PerfStringBackup.INI
15.02.2006 17:21 110.192 FNTCACHE.DAT
10.02.2006 21:09 37.888 setupnt.dll
10.02.2006 21:09 102.400 snapapi.dll
10.02.2006 18:30 261 $winnt$.inf
10.02.2006 18:26 2.951 CONFIG.NT
10.02.2006 18:26 16.832 amcompat.tlb
10.02.2006 18:26 23.392 nscompat.tlb
10.02.2006 18:25 488 logonui.exe.manifest
10.02.2006 18:25 488 WindowsLogon.manifest
10.02.2006 18:25 749 cdplayer.exe.manifest
10.02.2006 18:25 749 wuaucpl.cpl.manifest
10.02.2006 18:25 749 sapi.cpl.manifest
10.02.2006 18:25 749 nwc.cpl.manifest
10.02.2006 18:25 749 ncpa.cpl.manifest
10.02.2006 18:22 21.740 emptyregdb.dat
10.02.2006 18:17 0 h323log.txt
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll

Verzeichnis von C:\DOKUME~1\Masch\LOKALE~1\Temp



Verzeichnis von C:\WINDOWS

21.02.2006 16:37 0 0.log
21.02.2006 16:36 2.048 bootstat.dat
19.02.2006 20:18 25.876 SchedLgU.Txt
19.02.2006 20:18 50 wiaservc.log
19.02.2006 20:18 529 wiadebug.log
19.02.2006 20:18 8.590 WindowsUpdate.log
19.02.2006 20:01 400 ODBC.INI
19.02.2006 17:28 993.340 setupapi.log
17.02.2006 14:05 7.915 EPSTPLOG.TXT
17.02.2006 14:05 614 EPSTPLOG.BAK
17.02.2006 13:46 2.230 epsswt_log.txt
17.02.2006 13:41 25 CDEC66SeriesEuro.ini
15.02.2006 17:17 411.967 iis6.log
15.02.2006 17:17 74.513 ntdtcsetup.log
15.02.2006 17:17 125.647 comsetup.log
15.02.2006 17:17 165.342 tsoc.log
15.02.2006 17:17 1.374 imsins.log
15.02.2006 17:17 19.353 ocmsn.log
15.02.2006 17:17 18.357 tabletoc.log
15.02.2006 17:17 30.252 basecsp.log
15.02.2006 17:17 62.355 netfxocm.log
15.02.2006 17:17 24.862 MedCtrOC.log
15.02.2006 17:17 175.112 ocgen.log
15.02.2006 17:17 17.536 msgsocm.log
15.02.2006 17:17 351.581 FaxSetup.log
15.02.2006 17:17 113.426 msmqinst.log
15.02.2006 17:17 1.374 imsins.BAK
15.02.2006 17:16 148 wmsetup.log
15.02.2006 17:15 316.640 WMSysPr9.prx
15.02.2006 17:14 18.655 updspapi.log
15.02.2006 17:12 12.402 KB904412.log
15.02.2006 17:05 17.593 KB890046.log
10.02.2006 23:38 0 nsreg.dat
10.02.2006 22:15 107.132 UninstallFirefox.exe
10.02.2006 22:15 2.258 mozver.dat
10.02.2006 21:50 573 win.ini
10.02.2006 20:56 1.452 LUINSTALL.LOG
10.02.2006 19:42 15.972 %INIVenderName% %INIProductName% Setup Log.txt
10.02.2006 19:42 724.992 iun6002.exe
10.02.2006 19:01 2.603 s3setup.log
10.02.2006 18:33 829 OEWABLog.txt
10.02.2006 18:33 868.061 setuplog.txt
10.02.2006 18:31 8.192 REGLOCS.OLD
10.02.2006 18:30 200.069 setupact.log
10.02.2006 18:26 0 control.ini
10.02.2006 18:26 4.161 ODBCINST.INI
10.02.2006 18:25 749 WindowsShell.Manifest
10.02.2006 18:23 1.023 sessmgr.setup.log
10.02.2006 18:22 36 vb.ini
10.02.2006 18:22 37 vbaddin.ini
10.02.2006 18:22 133 DtcInstall.log
10.02.2006 18:19 200 cmsetacl.log
10.02.2006 18:13 0 Sti_Trace.log
10.02.2006 18:10 1.348 regopt.log
10.02.2006 18:10 231 system.ini
10.02.2006 18:09 0 setuperr.log
27.05.2005 00:22 10.752 hh.exe

Verzeichnis von C:\

21.02.2006 17:15 0 sys.txt
21.02.2006 17:15 4.733 system.txt
21.02.2006 17:14 129 systemtemp.txt
21.02.2006 17:09 92.046 system32.txt
21.02.2006 16:36 754.974.720 pagefile.sys
10.02.2006 18:26 0 AUTOEXEC.BAT
10.02.2006 18:26 0 CONFIG.SYS
10.02.2006 18:26 0 IO.SYS
10.02.2006 18:26 0 MSDOS.SYS
10.02.2006 18:19 211 boot.ini
05.08.2004 13:00 4.952 bootfont.bin

Wäre sehr froh, wenn hier auch nichts zu finden ist. Für mich sind die meisten Dateien böhmische Dörfer. Ich bewundere euer Wissen.

Im übrigen würde es mich doch interessieren, was dieser Trojaner wirklich ausspioniert.

Danke

Masch

#4 stimmt die Virenmeldung vom Kaspersky damit ueberein ? --> WISE 0019.BIN
http://www.rokop-security.de/index.php?showtopic=6287&st=0&p=67114&#entry67114

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\wpfb_s3gnb.dll


****
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

bei mir war der Pfad .....\Eigene Bilder\Wal und Einhorn/WISE0019.BIN
Wie gesagt, ein jpg-Bild. Warum bringt ein Bild eine bin-Datei mit? In dem Forum handelte es sich um eine exe, da stehen schon ein paar Dateien hinter.

Der Test der dll hat glücklicherweise keine Ergebinisse erbracht.

This is a report processed by VirusTotal on 02/22/2006 at 17:46:09 (CET) after scanning the file "wpfb_s3gnb.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.22.2006 no virus found
Avast 4.6.695.0 02.20.2006 no virus found
AVG 718 02.22.2006 no virus found
Avira 6.33.1.50 02.21.2006 no virus found
BitDefender 7.2 02.22.2006 no virus found
CAT-QuickHeal 8.00 02.16.2006 no virus found
ClamAV devel-20060126 02.21.2006 no virus found
DrWeb 4.33 02.22.2006 no virus found
eTrust-InoculateIT 23.71.83 02.21.2006 no virus found
eTrust-Vet 12.4.2091 02.22.2006 no virus found
Ewido 3.5 02.22.2006 no virus found
Fortinet 2.69.0.0 02.22.2006 no virus found
F-Prot 3.16c 02.19.2006 no virus found
Ikarus 0.2.59.0 02.22.2006 no virus found
Kaspersky 4.0.2.24 02.22.2006 no virus found
McAfee 4703 02.22.2006 no virus found
NOD32v2 1.1415 02.21.2006 no virus found
Norman 5.70.10 02.22.2006 no virus found
Panda 9.0.0.4 02.22.2006 no virus found
Sophos 4.02.0 02.22.2006 no virus found
Symantec 8.0 02.22.2006 no virus found
TheHacker 5.9.4.101 02.22.2006 no virus found
UNA 1.83 02.22.2006 no virus found
VBA32 3.10.5 02.22.2006 no virus found

Sieht hier etwas strubelig aus.

Ich bin da noch hinter einer Sache her, die Spy Sweeper mir gerade beim Start gemeldet hat, dazu muss ich aber den Benutzer wechseln.

Ich sage auf jeden Fall Danke.
Ihr seid groß :-)))

MfG masch

#6 also weg... mit dem Walhorn
Wal und Einhorn/WISE0019.BIN

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

wie in der ersten Anfrage beschrieben, war das Löschen dieser Datei meine erste Amtshandlung, da dies von Kasparsky nach Auffinden empfohlen wurde.
Da ich noch eine Sicherung hatte, habe ich es dort auch sofort entfernt.

Mit anderen Worten, das System müsste sauber sein!?

MfG masch

#8 ich kann nichts mehr finden und wenn der Wal + Einhorn... (ich mache Spass.... ) auch weg ist und kaspersky nichts mehr zu beanstanden hat, muesste alles wieder in Ordnung sein.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Supy! Freu :-)

Das Bild ist übrigens ein wirklich schönes Fantasybild.
Möchtest du es mal sehen?
Upps
War auch nur Spaß!!

Danke vielmals!!

MfG masch