Abi Network trojaner ??? + Log file

Asgir · 04.08.2005, 23:01

rkfiles.bat :

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\bnalbe.exe: UPX!
C:\WINDOWS\system32\DrPMon.dll: UPX!
C:\WINDOWS\system32\xvid-uninstall.exe: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\bnalbe.exe: UPX!
C:\WINDOWS\system32\DrPMon.dll: UPX!
C:\WINDOWS\system32\xvid-uninstall.exe: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\Nail.exe: UPX!
C:\WINDOWS\sutufvnsigg.exe: UPX!
C:\WINDOWS\svcproc.exe: UPX!
Finished
bye

______________

Die .exe-Datei heisst sutufvnsigg.exe

Was mich da wundert, ist das erstellungs-Datum. Mein Rechner ist realtiv frisch neu installiert ... so 6-8 Wochen ist das her, aber die Datei scheint schon 1 Jahr alt zu sein ...

__________________

Zitat:

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen pfad mit abkopieren)

Könntest mir nochmal erklären, was du da genau meinst? Wo soll ich die Einträge rauskopieren? wenn ich cmd ausführe, komm ich ja in die Eingabeaufforderung. Soll ich da dann die Zeilen eingeben, die du da geschrieben hast?

Asgir · 04.08.2005, 23:07

Ah .. ich glaub ich habs gecheckt

)

here we go ...

Verzeichnis von C:\WINDOWS\system32

04.08.2005 20:35 380.486 perfh009.dat
04.08.2005 20:35 52.900 perfc009.dat
04.08.2005 20:35 391.330 perfh007.dat
04.08.2005 20:35 63.778 perfc007.dat
04.08.2005 20:35 872.856 PerfStringBackup.INI
04.08.2005 20:33 13.698 wpa.dbl
12.07.2005 18:04 520.456 LegitCheckControl.dll
11.07.2005 17:02 116.560 FNTCACHE.DAT
06.07.2005 19:26 1.375.064 MRT.exe
02.07.2005 15:33 3.799 jupdate-1.5.0_04-b05.log

Verzeichnis von C:\DOKUME~1\Asgir\LOKALE~1\Temp

04.08.2005 23:53 16.384 Perflib_Perfdata_a14.dat
04.08.2005 23:53 16.384 Perflib_Perfdata_734.dat
04.08.2005 23:53 16.384 Perflib_Perfdata_440.dat
04.08.2005 23:52 11.399 jusched.log
04.08.2005 22:45 73.276 ~e5.0001
04.08.2005 20:47 0 1is4.tmp
04.08.2005 20:44 0 syq3.tmp
04.08.2005 20:41 514.569 tmp.xpi
04.08.2005 20:36 3.608 netfxupdate.log
04.08.2005 20:35 10.976 netfxsl.log
04.08.2005 20:35 7.734 ASPNETSetup.log
04.08.2005 19:59 2.488 java_install_reg.log
04.08.2005 19:58 635 jupdate1.5.0.xml
03.08.2005 19:08 0 u6t1.tmp
01.08.2005 23:12 10.538 control.xml

Verzeichnis von C:\WINDOWS

04.08.2005 23:56 356 wiadebug.log
04.08.2005 23:56 50 wiaservc.log
04.08.2005 23:52 45 AHFMIGMM.ini
04.08.2005 23:52 0 0.log
04.08.2005 23:52 258.791 WindowsUpdate.log
04.08.2005 23:52 2.048 bootstat.dat
04.08.2005 23:41 100.976 ntbtlog.txt
04.08.2005 23:39 16.652 SchedLgU.Txt
04.08.2005 20:41 3.254 mozver.dat
04.08.2005 20:37 2.906 COM+.log
04.08.2005 20:36 75.124 comsetup.log
04.08.2005 20:36 45.977 ntdtcsetup.log
04.08.2005 20:36 295.675 iis6.log
04.08.2005 20:36 11.578 ocmsn.log
04.08.2005 20:36 9.691 tabletoc.log
04.08.2005 20:36 20.549 KB896358.log
04.08.2005 20:36 1.355 imsins.log
04.08.2005 20:36 96.992 tsoc.log
04.08.2005 20:36 34.187 netfxocm.log
04.08.2005 20:36 10.290 msgsocm.log
04.08.2005 20:36 14.537 MedCtrOC.log
04.08.2005 20:36 116.600 ocgen.log
04.08.2005 20:36 188.141 FaxSetup.log
04.08.2005 20:36 75.884 msmqinst.log
04.08.2005 20:36 8.637 updspapi.log
04.08.2005 20:36 1.355 imsins.BAK
04.08.2005 20:36 19.153 KB901214.log
04.08.2005 20:36 12.431 KB903235.log
04.08.2005 20:36 41.749 KB893066.log
04.08.2005 20:36 21.145 KB883939.log
04.08.2005 20:36 14.794 KB896428.log
04.08.2005 20:36 15.130 KB896422.log
04.08.2005 20:35 15.500 KB890046.log
04.08.2005 20:32 6.840 KB898461.log
04.08.2005 20:31 478.516 setupapi.log
02.08.2005 18:23 0 nsreg.dat
02.08.2005 18:20 99.970 UninstallFirefox.exe
01.08.2005 23:12 46.310 wmsetup.log

Verzeichnis von C:\

05.08.2005 00:26 0 sys.txt
05.08.2005 00:25 6.084 system.txt
05.08.2005 00:24 5.835 systemtemp.txt
05.08.2005 00:22 92.853 system32.txt
04.08.2005 23:52 1.073.270.784 hiberfil.sys
04.08.2005 23:52 1.610.612.736 pagefile.sys
04.08.2005 23:50 1.037 log.txt
04.08.2005 23:49 91 windows.txt
04.08.2005 23:48 338 win.txt
04.08.2005 23:47 122 start.txt

fertsch

Sabina · 04.08.2005, 23:17

ich brauche die pfade, keine Trennstriche bitte

Asgir · 04.08.2005, 23:25

habs oben reineditiert

Sabina · 04.08.2005, 23:28

Asgir

Gehe in die Registry

Start-->Ausfuehren-->regedit

loeschen:
HKEY_CURRENT_USER\Software\aurora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\ZepMon

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [hwelir] C:\WINDOWS\system32\jagigyo.exe r

PC neustarten

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\bnalbe.exe
C:\WINDOWS\system32\DrPMon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\AHDBSHM.EXE
C:\WINDOWS\svcproc.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

Nailfix
Auf den Desktop entpacken
Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder).
http://www.noidea.us/easyfile/file.p...50515010747824
mirror: http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix

Ewido--> poste mir den Report vom Scan
http://nikita.eddys-domain.de/antivirenfree.html
+
das neue Log vom HijackThis

------------

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\System32\AHDBSHM.EXE
C:\WINDOWS\sutufvnsigg.exe

Asgir · 04.08.2005, 23:31

Zitat:

Zitat von Sabina

O4 - HKLM\..\Run: [hwelir] C:\WINDOWS\system32\jagigyo.exe r

Den Eintrag bringt er mir nicht zum ankreuzen .... bei meinem ersten scan war der zwar da .. hab eben nochmal geguckt .. nu aber nimmer

EDIT:

Zitat:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon

Diesen Eintrag gibts nicht .. den ersten und dritten hab ich gefunden und rausgehauen

Sabina · 04.08.2005, 23:40

jagigyo.exe r varriert, ist staendig anders...poste das neue Log vom HijackThis, ich sage dir, was raus muss

Sabina · 04.08.2005, 23:41

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\System32\AHDBSHM.EXE
C:\WINDOWS\sutufvnsigg.exe

Asgir · 04.08.2005, 23:44

This is a report processed by VirusTotal on 08/05/2005 at 00:44:11 (CET) after scanning the file "sutufvnsigg.exe" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 08.04.2005 no virus found
Avast 4.6.695.0 08.04.2005 no virus found
AVG 718 08.04.2005 no virus found
Avira 6.31.1.0 08.04.2005 no virus found
BitDefender 7.0 08.05.2005 no virus found
CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.04.2005 no virus found
eTrust-Iris 7.1.194.0 08.04.2005 no virus found
eTrust-Vet 11.9.1.0 08.04.2005 no virus found
Fortinet 2.36.0.0 08.04.2005 suspicious
F-Prot 3.16c 08.04.2005 no virus found
Ikarus 0.2.59.0 08.04.2005 no virus found
Kaspersky 4.0.2.24 08.04.2005 no virus found
McAfee 4550 08.04.2005 no virus found
NOD32v2 1.1186 08.04.2005 no virus found
Norman 5.70.10 08.01.2005 no virus found
Panda 8.02.00 08.04.2005 no virus found
Sophos 3.96.0 08.04.2005 no virus found
Sybari 7.5.1314 08.05.2005 no virus found
Symantec 8.0 08.04.2005 no virus found
TheHacker 5.8.2.080 08.03.2005 no virus found
VBA32 3.10.4 08.04.2005 no virus found

des andere file such ich grad noch *g*

____________________

neues HiJack

Logfile of HijackThis v1.99.1
Scan saved at 00:46:56, on 05.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\faaehm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Eigene Dateien\Downloads\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [eblmnu] C:\WINDOWS\system32\faaehm.exe r
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123180262921
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C29E71D0-68BE-43F4-9EFC-FEF95AFE1CE5}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Sabina · 04.08.2005, 23:48

mir ist nicht wohl dabei, die exe zu loeschen, allerdings ist sie nirgens verzeichnet...es gibt sie nicht.

wir loeschen mal noch nicht, sondern warten die Virenscanner ab.

Asgir · 04.08.2005, 23:50

This is a report processed by VirusTotal on 08/05/2005 at 00:44:11 (CET) after scanning the file "sutufvnsigg.exe" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 08.04.2005 no virus found
Avast 4.6.695.0 08.04.2005 no virus found
AVG 718 08.04.2005 no virus found
Avira 6.31.1.0 08.04.2005 no virus found
BitDefender 7.0 08.05.2005 no virus found
CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.04.2005 no virus found
eTrust-Iris 7.1.194.0 08.04.2005 no virus found
eTrust-Vet 11.9.1.0 08.04.2005 no virus found
Fortinet 2.36.0.0 08.04.2005 suspicious
F-Prot 3.16c 08.04.2005 no virus found
Ikarus 0.2.59.0 08.04.2005 no virus found
Kaspersky 4.0.2.24 08.04.2005 no virus found
McAfee 4550 08.04.2005 no virus found
NOD32v2 1.1186 08.04.2005 no virus found
Norman 5.70.10 08.01.2005 no virus found
Panda 8.02.00 08.04.2005 no virus found
Sophos 3.96.0 08.04.2005 no virus found
Sybari 7.5.1314 08.05.2005 no virus found
Symantec 8.0 08.04.2005 no virus found
TheHacker 5.8.2.080 08.03.2005 no virus found
VBA32 3.10.4 08.04.2005 no virus found

Die AHDBSHM.EXE find ich auf der ganzen C:\ nicht mehr

Sabina · 04.08.2005, 23:51

das muss raus und dann auch mit der Killbox geloescht werden

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [eblmnu] C:\WINDOWS\system32\faaehm.exe r

Asgir · 04.08.2005, 23:59

Die anderen Dateien, die du vorhin genannt hast, auch noch mit KillBox wegmachen, schätz ich, oder?

Sabina · 05.08.2005, 00:07

C:\WINDOWS\system32\bnalbe.exe
C:\WINDOWS\system32\DrPMon.dll
C:\WINDOWS\system32\faaehm.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\AHDBSHM.EXE
C:\WINDOWS\svcproc.exe

Asgir · 05.08.2005, 00:21

k .. nailfix auch ausgeführt.

Nach dem reboot hat er mir nun gesagt, dass er die nail.exe nicht finden konnte .. ich soll doch überprüfen, ob der pfad richtig ist ... bla bla ... die scheint also weg zu sein ...

jetzt noch ewido und nochmal hijack ...

*pust*

Abi Network trojaner ??? + Log file

Log-Analyse und Auswertung: Abi Network trojaner ??? + Log file