Hallo, ein Freund von mir hat seit heute das Probelm das Avira bei ihm ein Virus erkannt hat.Es befindet sich in C:/User/Name/Appdata/Roaming/Spynet darin befindet sich die Serve.exe.
Spybot S&D hat nichts gebracht, in autostart wurde es rausgenommen und egal welches Programm wir versuchen es erstellt sich neu, selbst die Registeryeinträge die wir gefunden haben und löschen wollen erstellen sich neu.
Er benutzt Windows 7.
Hijack hat folgendes bei ihm ergeben:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:09, on 18.03.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Windows\SysWOW64\explorer.exe
C:\Program Files (x86)\Creative\USB Headsets\Volume Panel\VolPanlu.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\USB Headsets\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [HKCU] C:\Users\Seph\AppData\Roaming\spynet\server.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Filme mit BitComet herunterladen - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15110/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: TeknoGods.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Program Files (x86)\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative HOAL Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTHOALLicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 9418 bytes
Vielen Dank

HiJack ist unter Win 7 nicht aussagekräftig genug. Erstelle ein OTL-Logfile:http://sicher-ins-netz.info/analyse/otl.html
Ein Quickscan genügt.

Wenns SpyNet ist, Kaspersky Beta draufhaun, alles blocken.
Iwann wird dann der Keylogger detected und blocked, dann Prozess beenden, dann den Ordner löschen,

Hkey Current User Checken und säubern, Current Maschine auch, Firefox ggf. neu installieren und ers wieder clean ;)

Danach kann er Kaspersky ja wieder deinstallieren...

Di@bol@

Hier der Quickscan den er grade durchlaufen lassen lies:
Problem gelöst, Log gelöscht.

Danke für die schnelle Hilfe.

edit: Ist kein Keylogger sondern RAT...
Er ist ja schon detectet nur kann nicht gelöscht werden.

auf welchen Seiten des Internets treibst du dich rum ?

Aber in einem RAT sind auch meistens Keylogger drin. Man kann auch den "Default Browser" infizieren.

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 <- hast du Office drauf ?

O20 - AppInit_DLLs: TeknoGods.dll

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

Erstmal im Voraus: in den meisten Fällen (um alle schädlichen Dateien zu entfernen,) hilft eine Formatierung der gesamten Festplatte. In Folge dessen sollten alle Passwörter, von E-Mail Konten, Steam-Accounts etc. geändert werden.

Weiter: Ich würde dir empfehlen, das System32-Verzeichnis (%windir%\system32) mit avira zu überprüfen. Die Dateien, die ich oben gequotet habe, erscheinen mir persönlich als zwielichtig.
Definitiv infiziert durch die mctadmin.exe, gegen diese hilft: http://www.prevx.com/filenames/X22684716160985460-X1/MCTADMIN.EXE.html

Hijackthis bietet einen online Logfile-Analyzer LINK (http://www.hijackthis.de/de). Dazu einfach die von dir gepostete Logfile dort einfügen.

Was du wissen solltest: RAT's, zu denen auch Spynet gehört, haben einige Funktionen, um Deinstallationsverfahren aus dem Weg zu gehen, dazu gehören:


Änderung des Erstelldatums
Einfügen (Injection) in Prozesse (wie z.B. iexplore.exe)
Start vor Sicherheitsprogrammen (wie AV's etc.)

wobei dies nur einige wenige sind.

Für Spynet gibt es außerdem ein Remove-Tool. Probiere dein Glück:
Link1 (http://board.scenecoderz.cc/showthread.php?t=5421) Link2 (http://board.scenecoderz.cc/showthread.php?t=5331)
Der erste Link ist eine Anleitung, der zweite ein Tool.

Ich hoffe, dass ich erstmal weiterhelfen konnte :D

Hey, überlegen, dann posten ;)

Ich weis schon warum ich KeyLogger schreibe. Weil SpyNet nen Keylogger integriert hat... Und der wird detected wenn du alles blockst, logisch oder?
Du kannst auch Stundenlang logs auswerten, dir nen Kopf machen und überlegen was falsch läuft, oder du machst einfach das was ich sage, entfernst den Server und bist happy ;)

Di@bol@

Dann müssten alle Programme die Netzwerkaktivitäten aufweisen *detected* werden

Erstens mal das bin wirklich nicht^^ gibt ja auch keinen grund warum ich lügen sollte oder?
Zweitens geblockt und detectet wird es ja schon bereits von seinem AV, nur lässt es sich nicht endgültig löschen.
@RepTiL! (http://free-hack.com/member.php?u=58125) Thx für die Ausführliche hilfe also beim AV scan wurde anscheinend nichts gefunden. mctadmin.exe scheint auch clean zu sein. Probieren grade die Remover. Er würde halt nur ungern seine Festplatte formatieren, weil sein System auch noch nicht sehr alt ist.

RepTiL! klar da hast du Recht, aber man kann das ja unterscheiden, und es ist wirklich eine schnellere Alternative, oder irre ich mich?

Avira Scan muss auch nichts finden(Anti Avira..).
Du musst den Prozess beenden und das InstallDir löschen, dann noch die Registry säubern und du hast es geschafft. Das ist der Trick.
Auch den Browser kannste neu installieren falls er infected ist.

Di@bol@

Erstmal im Voraus: in den meisten Fällen (um alle schädlichen Dateien zu entfernen,) hilft eine Formatierung der gesamten Festplatte. In Folge dessen sollten alle Passwörter, von E-Mail Konten, Steam-Accounts etc. geändert werden.Da stimme ich dir zu.


Hijackthis bietet einen online Logfile-Analyzer LINK (http://www.hijackthis.de/de). Dazu einfach die von dir gepostete Logfile dort einfügen.Wie gesagt,ein HiJackThis-Log ist unter Win7 nicht mehr aussagekräftig.


Für Spynet gibt es außerdem ein Remove-Tool. Probiere dein Glück:Mit mehr als Glück hat das auch nichts mehr zutun. Man lese wieso:
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html#sec2


Er würde halt nur ungern seine Festplatte formatieren, weil sein System auch noch nicht sehr alt ist.
Deshalb sollte man ja auch,wenn man sein System frisch aufgesetzt & konfiguriert hat eine Image erstellen.
Neuaufsetzen ist bei einem Befall klar die sicherste und schnellste Lösung.

Ok, thx für all die Antworten.
Das bedeutet er muss den Prozess finden, beenden und dann das verzeichnis löschen, was tun wenns explorer.exe ist?

Dann hast gelitten... Ne Spaß,
versuchs einfach mal. Die meisten injecten den default Browser, hat mehr Vorteile wegen der Connection. Denke nicht das dein explorer injected ist, ansonsten kannst ja nochmal fragen ;)

Di@bol@

Mit mehr als Glück hat das auch nichts mehr zutun. Man lese wieso:
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html#sec2

Glück nicht unbedingt, hab den schonmal ausprobiert - lief ohne Probleme, alles war runter.

Wenn das System noch nicht sehr alt ist, erscheint mir eine Formatierung als beste Lösung. Erstmal in den Ordneroptionen die Anzeige von vollständigen Dateinamen auswählen und auch versteckte Dateien anzeigen (falls noch nicht getan) und wichtige Dokumente manuell backupen, am besten auf einen Flash-Drive oder eine externe HDD. Solange es kein Wurm ist, sehe ich da keine Probleme :D

Soweit von mir ^^

So jetzt scheint das Problem gelöst worden zu sein. Der Ordner erstellt sich nicht mehr neu, Avira und Spybot finden bzw. blocken nichts mehr, registery wurde grade gecleant und Firefox neu insterliert. Scheint entfernt worden zu sein.
Vielen dank für die schnelle Hilfe.

Wordurch, bzw. durch welches Tool?