tmpf00.exe und ein hartnäckiger trojaner

elohim · 05.01.2005, 15:07

hallo alle,
musste mich hier anmelden, weil ich seit 3 tagen einen hijacker
oder trojaner auf meinem W2000 system habe.

zur analyse benutze ich filemonitor;antiVir;spyBot;adaware;spywareBlaster ...

es läuft: avg Free (virus gard) ; zoneAlarm; antiVirus.

grund: abschaltung von zonealarm und ausführen eines js :-( bin selber schuld.
was passiert:
im taskm. steht ab und an eine datei mit dem namen tmpf00.exe oder
tmpf01.exe d.h die zahl hinten zählt hoch.

im WINNT folder eine datei tmpf00.exe anzulegen und diese schreibzuschützen bringt nix. er macht dann eben eine tmpf01.exe

ist die tmpfnm.exe aktiv zeigt der filemonitor zugriffe von dort auf verschiedenste dateien an. auch dll dateien.

weiterhin sind scheinbar beteiligt:
EPLRR3.DLL und wtwirl.dll

inzwischen ist glaube ich auch mein guter mozilla infiziert :-(

verschiedene anti-trojaner/virus/hicjacker programme zeigen
verschiedene probleme an und BEHEBEN SIE JEDESMAL !
die ursache allen übes wird scheinbar nicht gefunden :-(
daher ist er noch auf meinem system.

auch das starten der antiprogramme im abgesicherten modus hat nix gebracht.

bitte helft mir,
sonst mache ich C: platt und muss die software alle neu installieren.

viele grüsse,
elo

cacatoa · 05.01.2005, 15:12

Hi,
poste bitte mal ein HiJackThis Logfile.
Dann sehen wir weiter.
cacatoa

elohim · 05.01.2005, 15:17

hi cacatoa, hier die daten:

:::::::::::::::::::::::::::::::::::::::::::::::::::.
Logfile of HijackThis v1.99.0
Scan saved at 15:18:53, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\anwender\VIRUS_~1\avgamsvr.exe
E:\anwender\VIRUS_~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
E:\anwender\VIRUS_~1\avgcc.exe
E:\anwender\antivirus\AVGNT.EXE
E:\anwender\zoneAlarm\zapro.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
E:\anwender\filemonitor_gut\Filemon.exe
E:\anwender\firefox\firefox\firefox.exe
D:\burnAnwender_29_12_03\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP
O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8478D3D0-26FF-4589-8242-04BB58C94445}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
::::::::::::::::::::::::::::::::::::::::::.

vielen dank,
elo

cacatoa · 05.01.2005, 15:22

Hallo,
folgende im abgesicherten Modus mit HijackThis fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1

Dann normal booten.
Diese Datei:
C:\WINNT\system32\eplrr3.dll bitte mal online bei Jotti scannen lassen.
Bitte berichte über das Ergebnis und poste ein neues Logfile.
cacatoa

elohim · 05.01.2005, 16:06

hallo ,

der im abgesichtern M. durchgeführte scan:
::::::::::::::::::::::::::::
Logfile of HijackThis v1.99.0
Scan saved at 15:53:49, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
D:\burnAnwender_29_12_03\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html
O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP
O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe
O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
:::::::::::::::::::::::

(die dll datei konnte erst nicht hochgeladen werden.
filemonitor sagt "FILE_LOCK_Conflict"
habe die datei nach c: kopiert und dann von dort hochgeladen!
jotti ergebniss:

*******************************

File: eplrr3.dll
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
TR/Proxy.Small.AH.1 (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Trojan.Proxy.Small.AH (0.65 seconds taken)
ClamAV
No viruses found (0.83 seconds taken)
Dr.Web
Trojan.Proxy.164 (1.05 seconds taken)
F-Prot Antivirus
No viruses found (0.11 seconds taken)
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Small.ah (0.73 seconds taken)
mks_vir
Trojan.Proxy.Small.Ah.Gen (0.72 seconds taken)
NOD32
No viruses found (1.07 seconds taken)
Norman Virus Control
No viruses found (0.46 seconds taken)

Statistics
Last piece of malware found was Win32/Padodor.NAQ in x.chm, detected by:

Scanner Malware name Time taken
AntiVir X 0.14 seconds
Avast X 1.51 seconds
BitDefender Exploit.Html.Codebase.Exec.Gen 0.32 seconds
ClamAV Exploit.CodeBaseExec 0.35 seconds
Dr.Web X 0.52 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.WinShow.aq 0.66 seconds
mks_vir X 0.20 seconds
NOD32 Win32/Padodor.NAQ 0.42 seconds
Norman Virus Control X 0.13 seconds
*********************

danke ,
daniel

cacatoa · 05.01.2005, 16:09

Also;
im abgesicherten Modus sollst Du die von mir genannten Dateien fixen, nicht nochmal scannen.
Außerdem die bei Jotti gesacannte auch fixen und manuell (ebenfalls noch im abgesicherten Modus) löschen.
Dann neues Logfile im normalen Modus erstellen und posten.
Bin jezt mal zwei Stunden weg; aber die anderen helfen dir sicher auch gleich weiter.
cacatoa

elohim · 05.01.2005, 16:09

diese eplrr3.dll,

wurde von meinen programmen schon erkannt und des öfteren gelöscht.
irrgendwann taucht sie dann wieder auf :-(

mfg,
daniel

tmpf00.exe und ein hartnäckiger trojaner

Plagegeister aller Art und deren Bekämpfung: tmpf00.exe und ein hartnäckiger trojaner