Hi !

Alles fing damit an, daß ich in der Nacht vom 11. auf den 12.02.2007 ein wenig
auf Webseiten herumstöperte und auf einer Page landete mit
einem Exploit drin. Den erkannte Kaspersky auch und blockierte den Zugriff.
Ich habe hier Kaspersky Internet Security 6.0.

Anschließend machte ich noch einen Virenscan und es wurde nichts gefunden.

Danach legte ich mich schlafen und ließ meinen Freund an den PC.
Mein Freund bekam dann irgendwann offenbar eine Spammail,
die er aber nicht als solche erkannte - also klickte er den Link in der Email an
( die verlinkte Website kannte er irgendwie schon ) und lud auf dieser Website
dann ein Programm herunter namens "rapidshare grabber.exe",
welches verseucht war. Mein Freund lud das Programm ursprünglich
auf seinen MP3-Player, welcher in meinem Hub eingesteckt war ( Laufwerk G ),
mein PC selbst wurde aber trotzdem verseucht.

Das wurde gefunden :






Diese Dinge passierten uns übrigens in einem eingeschränkten Benutzerkonto,
mit Kaspersky gescannt habe ich offline im Administratoren-Konto.

Ich habe alles desinfiziert und was dann im Kaspersy unter "Backup" stand, gelöscht.

Dann habe ich nochmal einen Virenscan durchgeführt, dann noch einen Scan
der kritischen Bereiche und es wurde nichts mehr gefunden.

Dann startete ich den PC neu und gefunden wurde noch dies :


Naja - das, was nach dem Neustart gefunden wurde, wurde dann automatisch
von Kaspersky beseitigt.

Dann scannte ich erneut nach Viren und auch die kritischen Bereiche
und es wurde nichts mehr gefunden.

Dann startete ich den PC nochmal neu und scannte noch einmal -
wieder kein Fund mehr.

Dann habe ich den PC ausgeschaltet und erst am 12.02.207 abends wieder hochgefahren.
Ich startete einen Scan im Admin-Konto und beim 1. Versuch schmierte mir der Rechner ab.
Dann funktionierte es aber nach einem weiteren Start tadellos.
Es wurde wieder nichts gefunden.

Inzwischen habe ich noch ein paarmal den Rechner gescannt -
die letzten Male offline im Admin-Konto im abgesicherten Modus.
Der letzte Scan erfolgte letzte Nacht. Kein Fund.

Auch habe ich einen Scan gemacht mit HijackThis ( Version v1.99.1 ) -
der sieht folgendermaßen aus :

Logfile of HijackThis v1.99.1
Scan saved at 20:44:28, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Dokumente und Einstellungen\***\Desktop\Überflüssiger Krempel\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

-------------------------------------------------------

Ich habe den Scan auch schon auf hijackthis.de analysieren lassen
und soweit wird meines Erachtens nichts Bösartiges angezeigt.

Was meint Ihr ?
Ist mein PC wieder sauber ?

In einem anderen Forum hat man mir unter anderem geraten,
ich solle mein Betriebssystem neu aufsetzen. das will ich aber eigentlich
nicht - vor allem dann nicht, wenn das völlig unnötig ist...

Im Kaspersky-Forum wurde hingegen geschrieben, der Schädling,
der auf meinem PC gelandet war, habe gar keinen Schaden anrichten können,
weil ihn Kaspersky ja erkannt habe.

Dunkle Grüße !
Melle ^v^

Abend oder was auch immer...

Dein LogFile ist inzwischen zwar unauffällig,
aber was du da an Schädlingen auf deinem
Rechner hattest oder teilweise noch haben
wirst, ist reichlich.
Weiterhin sieht man an deinem Kaspery-Log,
dass Malware und Loader-Trojaner Ihr Unwesen
trieben.
Unter anderem hattest du diesen Keylogger-(Installer).

-> Jede Alternativbereinigung wäre hier gefährlich, würde
vielleicht einige Zeit dauern und würde abschließend noch
nicht einmal ein sauberes System gewährleisten.
Setze dein System bitte unter der unten verlinkten Anleitung
neu auf und ändere anschließend deine Passwörter.
Nehme bitte deinen Rechner in der Zeit vom Netz

mfg Cleriker

Hmm.. aber wieso findet Kaspersky jetzt nichts mehr ?
Kann ich also in dem Fall nicht darauf vertrauen ?

Das wurde übrigens im HijackThis-Supportforum zum Thema geschrieben -
was meint Uhr dazu ?

Zitat:

1., Windows XP u. ME enthält ein Programm zur Systemwiederherstellung. Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist ein versuchswert!

Berichte ob du damit Erfolg hast,und zur Kontrolle poste ein neues HijackThis log!

2., Das Programm HijackThis muss in einem eigenen Ordner laufen, um Backups erstellen zu können.

C:\Programme\HijackThis\HijackThis.exe

(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)

Bitte ändere das!

3., WICHTIG !! DA ES INZWISCHEN MEHRERE SCHADPROGRAMME GESCHAFFT HABEN,
UNTER HijackThis NICHT MEHR ENTDECKT ZU WERDEN, SOLLTE MAN DIE DATEI
HIJACKTHIS.EXE UMBENENNEN.

Benenne die installierte Datei Hijackthis.exe um in HJT1991.exe.

4., Es werden detaillierte Informationen zu deinem System benötigt.
Bitte halte dich an folgende Anleitung und poste die gewünschten Ergebnisse:

Einstellen der Ordner Optionen:
kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

1. Lade das filelist.zip auf deinen Desktop herunter.
2. entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3. starte deinen Rechner neu auf
4. öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5. dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6. markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an

* Ein dickes Dankeschön an unseren Moderator Karl83 für die filelist.bat (Anleitung)


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:

C:\
C:\WINDOWS\System32
C:\WINDOWS
C:\WINDOWS\Prefetch
C:\WINDOWS\tasks
C:\WINDOWS\Temp
C:\DOCUME~1\Name\LOCALS\~1\Temp

Bitte alle Ergebnisse im Code-Tags posten!

Kaspersky Lab Forum -> Was in einer Nacht so passieren kann...

Ist mein PC jetzt wieder sauber ? - HijackThis.de Support Board


Crossposting!

Wieso postest Du die Antwort von Cleriker im Hijack Board und fragst, ob die stimmt?

Weil mir grad jeder was anderes rät und ich hin-und hergerissen bin.
Darum sollte das Thema evtl ausführlich erörtert werden....

Wobei ich mich so langsam wohl damit abfinde, daß ich hier
alles plattmachen muß, wies aussieht :/

Abend,

Zitat:

Weil mir grad jeder was anderes rät und ich hin-und hergerissen bin.
Darum sollte das Thema evtl ausführlich erörtert werden....

Ich habe dir gestern Abend einen Link gezeigt, in dem ein Keylogger
unter einem Namen eines deiner Schädlinge zu besichtigen war.
Zusätzlich hast du anfangs gepostet, dass nicht alle Schädlinge
abgewehrt, sondern einige erst gefunden werden mussten. Das heißt
für mich, diese waren aktiv. Aus diesen Beiden Erkenntnissen habe
ich dir dann den obigen Rat gegeben. Ich denke, es ist nachvollziehbar
und nicht aus der Luft gegriffen.

mfg Cleriker