Extrem Infizierter Rechner!

mknvss! · 25.09.2005, 21:23

Hallo allerseits,

ich bin neu hier im Forum.

So etwas habe ich noch nicht gesehen! Es handelt sich um einen von meiner Familie gemeinsam genutzten Rechner.
Erst als der Smitfraud Ableger “Spy Sheriff“ den Rechner befallen hat wurde ich informiert.
Wer weiß also wie lange der Rechner schon mit den verschiedensten Schädlingen infiziert war.
Spybot und Ad-Aware haben eine Schwindelerregende menge von Problemen gefunden inkl. Dutzender Reg –Änderungen.

Für mich persönlich bleibt nur noch ein Neuaufsetzen des Systems als einigermaßen effektive Lösung.

Meine Fragen:

1. Ist der Rechner durch ein neuaufsetzen (mache so etwas zum ersten Mal) nach der Anleitung hier im Forum wirklich wieder “rein“ und vertrauenswürdig oder kann noch etwas überleben was nicht überleben soll?

2. Was genau könnt ihr aus den Logfiles herauslesen? Im Klartext: Was genau wurde angerichtet, also daten an dritte übermittelt usw; und was könnte/wird noch bewirkt werden?

3. Wer profitiert davon?

Nachfolgend die Logfiles von hijackthis,
von smitrem (Abgesicherter Modus; hier muß ich noch bemerken das smitrem überall "nicht gefunden" anzeigte und ein entsprechendes Logfile produzierte) und von escan (Abgesicherter Modus dann unter normal Modus mit der find Datei gefiltert)

Vielen Dank im voraus.

HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 15:45:45, on 25.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\msvc.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\winstall.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.4 x.full-tgp.net
O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
O1 - Hosts: 127.0.0.4 autoescrowpay.com
O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
O1 - Hosts: 127.0.0.4 www.awmdabest.com
O1 - Hosts: 127.0.0.4 www.sexfiles.nu
O1 - Hosts: 127.0.0.4 awmdabest.com
O1 - Hosts: 127.0.0.4 sexfiles.nu
O1 - Hosts: 127.0.0.4 allforadult.com
O1 - Hosts: 127.0.0.4 www.allforadult.com
O1 - Hosts: 127.0.0.4 www.iframe.biz
O1 - Hosts: 127.0.0.4 iframe.biz
O1 - Hosts: 127.0.0.4 www.newiframe.biz
O1 - Hosts: 127.0.0.4 newiframe.biz
O1 - Hosts: 127.0.0.4 www.vesbiz.biz
O1 - Hosts: 127.0.0.4 vesbiz.biz
O1 - Hosts: 127.0.0.4 www.pizdato.biz
O1 - Hosts: 127.0.0.4 pizdato.biz
O1 - Hosts: 127.0.0.4 www.aaasexypics.com
O1 - Hosts: 127.0.0.4 aaasexypics.com
O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
O1 - Hosts: 127.0.0.4 virgin-tgp.net
O1 - Hosts: 127.0.0.4 www.awmcash.biz
O1 - Hosts: 127.0.0.4 awmcash.biz
O1 - Hosts: 127.0.0.4 buldog-stats.com
O1 - Hosts: 127.0.0.4 www.buldog-stats.com
O1 - Hosts: 127.0.0.4 fregat.drocherway.com
O1 - Hosts: 127.0.0.4 slutmania.biz
O1 - Hosts: 127.0.0.4 www.slutmania.biz
O1 - Hosts: 127.0.0.4 toolbarpartner.com
O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
O1 - Hosts: 127.0.0.4 www.megapornix.com
O1 - Hosts: 127.0.0.4 megapornix.com
O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
O1 - Hosts: 127.0.0.4 sp2fucked.biz
O1 - Hosts: 127.0.0.4 greg-tut.com
O1 - Hosts: 127.0.0.4 www.greg-tut.com
O1 - Hosts: 127.0.0.4 nylonsexy.com
O1 - Hosts: 127.0.0.4 www.nylonsexy.com
O1 - Hosts: 127.0.0.4 vparivalka.com
O1 - Hosts: 127.0.0.4 www.vparivalka.com
O1 - Hosts: 127.0.0.4 iframeprofit.com
O1 - Hosts: 127.0.0.4 www.iframeprofit.com
O1 - Hosts: 127.0.0.4 topsearch10.com
O1 - Hosts: 127.0.0.4 www.topsearch10.com
O1 - Hosts: 127.0.0.4 statscash.biz
O1 - Hosts: 127.0.0.4 www.statscash.biz
O1 - Hosts: 127.0.0.4 vxiframe.biz
O1 - Hosts: 127.0.0.4 www.vxiframe.biz
O1 - Hosts: 127.0.0.4 crazy-toolbar.com
O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
O1 - Hosts: 127.0.0.4 topcash.biz
O1 - Hosts: 127.0.0.4 www.topcash.biz
O1 - Hosts: 127.0.0.4 loadcash.biz
O1 - Hosts: 127.0.0.4 www.loadcash.biz
O1 - Hosts: 127.0.0.4 txiframe.biz
O1 - Hosts: 127.0.0.4 www.txiframe.biz
O1 - Hosts: 127.0.0.4 procounter.biz
O1 - Hosts: 127.0.0.4 www.procounter.biz
O1 - Hosts: 127.0.0.4 advadmin.biz
O1 - Hosts: 127.0.0.4 www.advadmin.biz
O1 - Hosts: 127.0.0.4 trafficbest.net
O1 - Hosts: 127.0.0.4 www.trafficbest.net
O1 - Hosts: 127.0.0.4 besthvac.com
O1 - Hosts: 127.0.0.4 www.besthvac.com
O1 - Hosts: 127.0.0.4 traff4.com
O1 - Hosts: 127.0.0.4 www.traff4.com
O1 - Hosts: 127.0.0.4 ambush-script.com
O1 - Hosts: 127.0.0.4 www.ambush-script.com
O1 - Hosts: 127.0.0.4 beehappyy.biz
O1 - Hosts: 127.0.0.4 www.beehappyy.biz127.0.0.1 downloads1.kaspersky-labs.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1211C3FC-A111-9B89-DA1E-4A11E0676D96} - C:\WINDOWS\System32\konemop.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - (no file)
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [sim1] C:\WINDOWS\com1.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msoffice32.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
O21 - SSODL: SysTray.Exiv - {2963ECFC-4E5C-2f3b-B334-D67434FC72E0} - C:\WINDOWS\System32\jfpmkgec.dll
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

SMITREM

smitRem log file
version 2.5

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

winstall.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

ESCAN

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 25 16:41:35 2005 => File C:\WINDOWS\System32\jfpmkgec.dll infected by "Worm.Win32.Prox.f" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:37 2005 => File C:\WINDOWS\system32\appwiy.dll infected by "Trojan-Spy.Win32.Goldun.bw" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:43 2005 => File C:\windows\system32\winacpi.dll infected by "Trojan-Proxy.Win32.Cimuz.ai" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:47 2005 => File c:\windows\system32\mdms.exe infected by "Trojan-Proxy.Win32.Cimuz.bg" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:47 2005 => File C:\WINDOWS\System32\msoffice32.exe infected by "Trojan-Dropper.Win32.Small.afl" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:47 2005 => File C:\WINDOWS\System32\paytime.exe infected by "Trojan.Win32.StartPage.adi" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:50 2005 => File C:\winstall.exe infected by "Trojan-Clicker.Win32.Spywad.h" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:41:50 2005 => File C:\WINDOWS\tool2.exe infected by "Trojan-Clicker.Win32.Spywad.h" Virus! Action Taken: No Action Taken.
Sun Sep 25 16:42:05 2005 => System found infected with Hijacker Spyware/Adware ({8085E374-ACBB-42F9-873F-49EC7E244F97})! Action taken: No Action Taken.
Sun Sep 25 16:42:06 2005 => System found infected with Spyware Spyware/Adware ({78364D99-A640-4ddf-B91A-67EFF8373045})! Action taken: No Action Taken.
Sun Sep 25 16:42:48 2005 => System found infected with Spyware Spyware/Adware (appwiz.dll)! Action taken: No Action Taken.
Sun Sep 25 16:42:59 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger (winstall.exe)! Action taken: No Action Taken.
Sun Sep 25 17:47:29 2005 => File C:\Dokumente und Einstellungen\BENUTZERKONTO EDITIERT_2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ETH27Q14\ms001043[1].exe infected by "Trojan-Downloader.Win32.Small.boq" Virus! Action Taken: No Action Taken.
Sun Sep 25 17:49:42 2005 => File C:\Dokumente und Einstellungen\BENUTZERKONTO EDITIERT_2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JRPVZP0W\v010960[1].exe infected by "Trojan-Spy.Win32.Goldun.bw" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:17:29 2005 => File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "Trojan.Win32.StartPage.in" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:35:20 2005 => File C:\WINDOWS\getb.exe infected by "Trojan-Spy.Win32.Goldun.by" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:35:20 2005 => File C:\WINDOWS\hammer.exe infected by "Trojan-Proxy.Win32.Cimuz.bg" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:42:48 2005 => File C:\WINDOWS\system32\appwiz.dll infected by "Trojan-Spy.Win32.Goldun.bw" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:51:44 2005 => File C:\WINDOWS\system32\ikbchaiq.exe infected by "Trojan-Dropper.Win32.Small.acz" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:52:19 2005 => File C:\WINDOWS\system32\msclr.dll infected by "Trojan-Spy.Win32.Hsow.b" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:52:32 2005 => File C:\WINDOWS\system32\msvc.exe infected by "Trojan.Win32.Agent.iv" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:53:05 2005 => File C:\WINDOWS\system32\qokua.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:53:52 2005 => File C:\WINDOWS\system32\w infected by "Trojan-Proxy.Win32.Cimuz.ai" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:54:24 2005 => File C:\WINDOWS\system32\woqanur.dll infected by "Trojan-Downloader.Win32.Small.bif" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:54:27 2005 => File C:\WINDOWS\system32\xesil.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:54:27 2005 => File C:\WINDOWS\system32\yiius.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:54:28 2005 => File C:\WINDOWS\tool3.exe infected by "Trojan-Dropper.Win32.Small.afl" Virus! Action Taken: No Action Taken.
Sun Sep 25 18:58:42 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 25 16:41:35 2005 => File C:\WINDOWS\System32\konemop.dll tagged as "not-a-virus:AdWare.Win32.AdultIt.a". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Sep 25 16:42:48 2005 => Offending file found: C:\WINDOWS\System32\appwiz.dll
Sun Sep 25 16:42:59 2005 => Offending file found: \winstall.exe
Sun Sep 25 18:58:42 2005 => Total Virus(es) Found: 28
Sun Sep 25 18:58:42 2005 => Total Errors: 195
Sun Sep 25 18:58:42 2005 => Time Elapsed: 02:17:06
Sun Sep 25 18:58:42 2005 => Total Objects Scanned: 115514
Sun Sep 25 16:39:08 2005 => Virus Database Date: 2005/09/25
Sun Sep 25 18:58:42 2005 => Virus Database Date: 2005/09/25
Sun Sep 25 19:19:38 2005 => Virus Database Date: 2005/09/25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Extrem Infizierter Rechner!

Log-Analyse und Auswertung: Extrem Infizierter Rechner!

Extrem Infizierter Rechner! Bitte um Auswertung der Logfiles.

Ähnliche Themen: Extrem Infizierter Rechner!