Wie werde ich den Trojaner WinShow.n.Drp1! los?

#1 Hallo zusammen,
Zunaechst mal der Hinweis, dass ich weiss, dass es schon einen Thread zu diesem Trojaner gibt, dieser ist aber alt und leider nicht bis zu Ende verfolgt worden (hilft mir also nicht wirklich weiter und wird wahrscheinlich von keinem mehr gelesen oder beantwortet).
Hier das Problem wie auch schon im anderen Thread beschrieben erkennt AntiVir Guard jedes Mal, wenn der Rechner hochgefahren wird in der Datei C:\Windows\mshp.dll den Trojaner. Das loeschen und ueberschreiben dieser Datei bringt aber nicht viel, der Trojaner kommt immer wieder. Der Scan mit Lavasofts Adaware und BPS Spyware Remover wurde zwar einige Dateien, Registry Eintraege und Ordner los. Das Grundproblem bleibt aber weiterhin bestehen. Wenn ich mit dem AntiVir-Hauptprogramm scanne sind folgende Dateien (vom Trojaner) gesperrt, und zwar sowohl im normalen als auch im abgesicherten Modus:
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Das Hijack This Log sieht folgendermassen aus:

Logfile of HijackThis v1.97.7
Scan saved at 1:39:15 PM, on 27/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe
C:\Program Files\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Program Files\BulletProofSoft.com\SpywareRemover\9CC377F2.DLL
C:\Program Files\Opera7\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\AVPersonal\INETUPD.EXE
C:\WINDOWS\System32\wisptis.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\066862f\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost;
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4BD9653E-D4C7-454B-9151-A8517B84BA08} - C:\PROGRA~1\BITBEA~1\ieplugin.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\066862f\Application Data\syszg\syszg32.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and Settings\066862f\Application Data\syszg\msiesh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [spywatch] C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Download All with BitBeamer - res://C:\Program Files\BitBeamer\ieplugin.dll/getlinks
O8 - Extra context menu item: Download with BitBeamer - res://C:\Program Files\BitBeamer\ieplugin.dll/download
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E644257E-D730-4FFA-B167-40F2808971ED}: Domain = acadiau.ca

Ach ja, mein Windows ist auf dem neusten Stand (habe den Java Script Fix allerdings erst nach Trojanerbefall installiert ) und Dafras Link
http://www.f-secure.de/v-descs/ouch.shtml
aus dem alten Thread hat mir leider auch nicht weitergeholfen.

Ich hoffe jemandem von Euch faellt was ein, das mir helfen koennte. Vielen Dank fuer die Hilfe,

d.flex

PS: Ich sollte vielleicht noch hinzufuegen, dass der Gute sich jede Menge Dialer, Spyware und was man sonst noch so gerne auf dem Computer hat runterlaedt, obwohl ich Opera als Browser verwende und nicht den IE.

#2 Da ist noch ein CWS, nimm CWshredder dafuer: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
__________
MfG Ralf
SEO-Spam Hunter

#3 Wie steht es mit dem Link http://www.f-secure.de/v-descs/ouch.shtml
in http://board.protecus.de/t7727.htm ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Hi ihr beiden,

@raman: Den CWS Shredder habe ich gestern Abend noch laufen lassen, er hat tatsaechlich auch was gefunden und plattgemacht.
Allerdings habe ich in AntiVir immer noch die selben Files (s.oben), die Warnungen rausgeben, auch wenn ich diesmal keine direkte Warnung ueber eine Virusdatei bekommen habe, als ich den Rechner hochgefahren habe. Bin gerade noch am komplett scannen, im Windowsordner ist auf jeden Fall nichts, ausser den blockierten Dateien mit denen irgendwas nicht stimmt, wie ich befuerchte, diese Warnungen hatte ich vorher nie.

@joschi: Den alten Thread und den Link kenne ich. Der einzige Tip ist soweit ich das aber ueberblicken kann:
"Um Ouch.A von Ihrem System zu entfernen, führen Sie den Fix für die Java VM-Sicherheitslücke [Windowsupdate, soweit ich das verstehe, oder?] aus, und löschen Sie den Cache mit temporären Internetdateien."
Was ich schon vor dem ersten posten getan habe, hat aber nicht viel gebracht (ausser mich wohl vor einer Neuinfizierung zu schuetzen).

Hat noch jemand ne Idee? Soll ich nochmal ein neues Hijack THis Log posten (habe ja mittlerweile den einen Wurm geschreddet und ausserdem alles mit dem Internet Explorer zusammenhaengende entfernt)?

d.flex

#5 Die als geperrt gemeldeten Dateien, sind normal und haben nichts schlimmes zu bedeuten. Windows hat diese Dateien in gebrauch und so lassen sie sich nicht vom Scanner oeffnen. Darum die Fehlermeldung.
__________
MfG Ralf
SEO-Spam Hunter

#6 Hm, der Virus wird tatsaechlich nicht mehr gefunden. Was die gesperrten Dateien angeht, so verwundert es mich nur, dass sie nie vorher gesperrt waren.
Ich hatte immer nur einen Hinweis und eine Warnung und zwar ueber:
pagefile.sys (Zugriff gesperrt)
und rarnew.dat (Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt)
Seit neustem eben auch noch C:\WINDOWS\system32\config
SECURITY, SAM, SYSTEM, SOFTWARE, DEFAULT

*Schulterzuck* wenn's nichts tut soll's mir aber recht sein, dann scheinen AdAware, BPS Spyware Remover, der CWShredder und HiJackThis das Problem geloest zu haben.

Danke nochmals,
d.flex