Keine Internetverbindung, Trojaner Spy.70656.32

#1 Huhu Ihr Lieben,

hab den Laptop einer Freundin hier und den bekomme ich nicht ins Internet und er ist unendlich langsam. Gelegentlich hängt er sich auch komplett auf.

Avira hat den Trojaner Spy.70656.32 gefunden.

Temporäre Dateien habe ich bereits gelöscht

Malewarebyte-Log und Hijackthis-Log im Anhang

Mit Gmer-Log kann ich leider nicht dienen, da der Lappi beim Starten von Gmer einen schönen BlueScreen bekommt.


Würd mich über Eure Hilfe freuen :-)

#2 hi, dann bitte combofix ausführen, log posten.

#3 Hallo Virenfinder,

leider bekomm ich auch beim ComboFix bei Stufe 50 einen BlueScreen.
Vielleicht ein Gerätefehler und nicht mal böse Viren und Trojaner?

#4 doch sieht schon so aus. wie siehts denn im abgesicherten modus aus?

#5 Ich teste und meld mich. Danke

#6 Geschafft. Bitteschön

#7 bitte versuche mal auf deinen stick, oder was du nutzt eine kopie, vom dem langsamen laptop, von
c:\windows\system32\userinit.exe
zu erstellen, lad die bei virustotal.com hoch, falls datei bereits analysiert, klicke erneut prüfen, poste das log

#8 Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.05 Trojan-Downloader.Win32.Obitel!IK
AhnLab-V3 2010.05.05.00 2010.05.05 -
AntiVir 8.2.1.236 2010.05.05 TR/Crypt.XPACK.Gen2
Antiy-AVL 2.0.3.7 2010.05.05 -
Authentium 5.2.0.5 2010.05.05 W32/FakeAlert.FY.gen!Eldorado
Avast 4.8.1351.0 2010.05.05 Win32:MalOb-AS
Avast5 5.0.332.0 2010.05.05 Win32:MalOb-AS
AVG 9.0.0.787 2010.05.05 Crypt.URD
BitDefender 7.2 2010.05.05 Gen:Variant.Renos.24
CAT-QuickHeal 10.00 2010.05.04 -
ClamAV 0.96.0.3-git 2010.05.05 -
Comodo 4772 2010.05.05 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.05 -
eSafe 7.0.17.0 2010.05.05 Win32.GenVariant.Ren
eTrust-Vet 35.2.7469 2010.05.05 -
F-Prot 4.5.1.85 2010.05.05 W32/FakeAlert.FY.gen!Eldorado
F-Secure 9.0.15370.0 2010.05.05 Gen:Variant.Renos.24
Fortinet 4.0.14.0 2010.05.05 -
GData 21 2010.05.05 Gen:Variant.Renos.24
Ikarus T3.1.1.84.0 2010.05.05 Trojan-Downloader.Win32.Obitel
Jiangmin 13.0.900 2010.05.05 -
Kaspersky 7.0.0.125 2010.05.05 Packed.Win32.Katusha.m
McAfee 5.400.0.1158 2010.05.05 Generic Downloader.x!dvv
McAfee-GW-Edition 2010.1 2010.05.05 Generic Downloader.x!dvv
Microsoft 1.5703 2010.05.04 TrojanDownloader:Win32/Obitel.gen!A
NOD32 5088 2010.05.05 a variant of Win32/Kryptik.EAZ
Norman 6.04.12 2010.05.05 -
nProtect 2010-05-05.01 2010.05.05 Gen:Variant.Renos.24
Panda 10.0.2.7 2010.05.05 Trj/CI.A
PCTools 7.0.3.5 2010.05.05 -
Prevx 3.0 2010.05.05 -
Rising 22.46.02.03 2010.05.05 Packer.Win32.Agent.GEN
Sophos 4.53.0 2010.05.05 Mal/FakeAV-CX
Sunbelt 6263 2010.05.05 VirTool.Win32.Obfuscator.hg!b (v)
Symantec 20091.2.0.41 2010.05.05 -
TheHacker 6.5.2.0.275 2010.05.03 -
TrendMicro 9.120.0.1004 2010.05.05 TROJ_RENOS.SMDV
TrendMicro-HouseCall 9.120.0.1004 2010.05.05 TROJ_RENOS.SMDV
VBA32 3.12.12.4 2010.05.05 -
ViRobot 2010.5.4.2303 2010.05.05 -
VirusBuster 5.0.27.0 2010.05.05 Trojan.Codecpack.Gen.4
weitere Informationen
File size: 61952 bytes
MD5...: 2de3ce2088af81c84832e2661f82c57e
SHA1..: 51f47f34e2603956bc2ed833eb831f1c511693c5
SHA256: 37fb3105c49171637299eeb1ecaf0c4ae951524a89322367d9e27b9c1b9671d7
ssdeep: 768:sqdA47LwqFK/V66K0mYy0WjRUWzFXDyW3BlgJgOR4wACx3fJ:s87LN8d6F0m
A1yTllglR4wLxfJ
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5b2c
timedatestamp.....: 0x4aef4dbd (Mon Nov 02 21:23:09 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9521 0x9600 5.95 d53a3ddf7c4fbce163e6c2ddb2718fa9
.tls 0xb000 0x4588 0x4600 3.17 4b452ad8737a5d7d5821c0f2b21bd6bc
.rdata 0x10000 0x7e4 0x800 0.00 c99a74c555371a433d121f551d6c6398
BSS 0x11000 0x544 0x600 0.00 53e979547d8c2ea86560ac45de08ae25
.edata 0x12000 0xbb 0x200 0.70 f9a165f10257c3120e32543b8e1ea39e

( 8 imports )
> OLE32.DLL: StgCreateDocfileOnILockBytes, CoGetMalloc, GetHGlobalFromStream, CoGetContextToken, CoRevokeClassObject, CoFreeUnusedLibraries, CreateStreamOnHGlobal, CoDisconnectObject
> msvcrt.dll: memmove, acos, strcmp, memcpy, malloc
> gdi32.dll: CreateBrushIndirect
> kernel32.dll: GetCurrentThreadId, LoadLibraryA, FormatMessageA, FreeLibrary, lstrlenA, VirtualQuery, DeleteCriticalSection, FindClose, GetStdHandle, FreeResource, SetFilePointer, SetErrorMode, ExitProcess, EnterCriticalSection, GetVersionExA, lstrcpynA, lstrcmpiA, GlobalDeleteAtom, SetEvent, ResetEvent, VirtualAllocEx, RaiseException, GetCurrentThread, CreateThread, lstrcmpA, GetLocalTime, GlobalFindAtomA, LockResource, ExitThread, HeapFree, GetThreadLocale, SetEndOfFile, GetStringTypeW, GetACP, LoadResource, GetLastError, GetCurrentProcess, LocalFree, GetCommandLineA, EnumCalendarInfoA, SetHandleCount, SetLastError, GetModuleFileNameA, CreateEventA, CompareStringA, GetStartupInfoA, GetFullPathNameA, FindFirstFileA, LoadLibraryExA, GetTickCount, GetFileSize, lstrcpyA, GetModuleHandleA, SetThreadLocale, GetVersion, MulDiv, MoveFileExA, GetOEMCP, GetCurrentProcessId, VirtualAlloc, LocalReAlloc, InitializeCriticalSection, GetDateFormatA
> comdlg32.dll: GetSaveFileNameA, GetFileTitleA
> SHELL32.DLL: SHGetFileInfoA, DragQueryFileA, SHGetDesktopFolder, SHFileOperationA, SHGetDiskFreeSpaceA
> OLEAUT32.DLL: GetErrorInfo, SysFreeString, VariantChangeType, VariantCopyInd, SysReAllocStringLen, SafeArrayGetUBound, OleLoadPicture, SafeArrayCreate, SafeArrayUnaccessData
> USER32.DLL: GetParent, DrawIconEx, CreateIcon, SystemParametersInfoA, SetCursor, GetIconInfo, FindWindowA, GetScrollRange, GetSysColorBrush, ShowWindow, GetScrollInfo, GetDC, GetCapture, GetClassLongA, EnumChildWindows, GetDlgItem, CreateWindowExA, GetCursor, EndPaint, GetDCEx, EnumWindows, GetActiveWindow, HideCaret, GetKeyNameTextA, DrawIcon, GetScrollPos, BeginPaint, GetDesktopWindow, GetCursorPos, GetClientRect, GetFocus, GetClassInfoA, GetForegroundWindow, GetMenuItemID, GetClipboardData

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99

#9 ok da haben wir noch n bissel zu tun
Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe
Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
6. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
7. Klicke "run Scan"
8. 2 Reporte werden erstellt
• OTListIt.txt (wird maximiert geöffnet)
• Extra.txt (ist minimiert)
beide als dateianhang deiner nächsten antwort beifügen.

#10 Danke für Deine Geduld, Virenfinder :-)

Hier die Logs vom OTL.

... ganz schön anstrengend immer mit dem Stick hin- und herzuwuseln.

LG
Die Nenny

#11 Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - File not found
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - File not found
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - File not found
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - File not found
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - File not found
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - File not found
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - File not found
:files
C:\WINDOWS\system32\userinit.exe|C:\WINDOWS\ServicePackFiles\i386\userinit.exe /replace
C:\Windows\System32\*.tmp
C:\Windows\*.tmp
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[start explorer]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

#12 Hm,... war im abgesicherten Modus und da hat sich leider kein Textdokument geöffnet. Wie kann ich Dir das denn mal nachreichen?

#13 Gefunden......

#14 neustart, berichte wie es läuft.

#15 Vielen lieben Dank.

Geschwindigkeit fühlt sich jetzt wieder wie 512 MB an. Internet funktioniert auch.

Ich danke für Deine Zeit.