moinsen zusammen,

ich werde den trojaner einfach nimmer los...
hab kaspersky&sygate personal... eigendl bisher sehr gut und alles erkannt, hier streiken sie...

kaspersky erkennt im system32 zwar gelegentlich eine datei "i" mit inhalt ip&get erasemeXXXXX.exe

lösche ich diese, und mit der killbox die eraseme files, bringt das alles nix
wenig später hab ich die files wieder im system32.im processmanager finde ich dann cmd.exe welche die ftp.exe aufruft und das spiel geht von neuem los.

wo finde ich den befehl der die cmd.exe auslöst??? registry?
im hijack is eigendl alles klar bis auf die zwei prozesse eben.

removal tools fehlanzeige, und antivirus versagt.ich dreh echt noch durch.
va hab ich durch diese hintergrundaktivitäten immer ping 200.

greetz
bastian

Logfile of HijackThis v1.99.1
Scan saved at 21:07:29, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Daemon\daemon.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Programme\TuneUp2004\memoptimizer.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\TuneUp2004\ProcessManager.exe
C:\Dokumente und Einstellungen\zwoot\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = zwoot
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\KAV5\kav.exe /minimize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton

Ghost\Agent\GhostTray.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp2004\memoptimizer.exe"

autostart
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} -

C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -

C:\Programme\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab

?1126687537375
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\KAV5\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton

Ghost\Agent\PQV2iSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. -

C:\Programme\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp

Software GmbH - C:\Programme\TuneUp2004\WinStylerThemeSvc.exe

[edit]
links entfernt
[/edit]

@zwoot
lasse die beiden dateien
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
hier überprüfen
http://virusscan.jotti.org/de/

und poste das ergebnis

chaosman

also der scan hat ergeben, keine viren gefunden...

noch was, wenn ich beim neustart sofort den processmanager anschau, mein ich einmal kurz svchost(2).exe gelesen zu haben...


was mich noch stresst:

wenn die ftp.exe läuft, zeigt mir die sygate fw keinen traffic über ftp.exe an... beende ich sie, bleibt mein ping immernoch bei 200, d.h irgendwas wird wohl noch nachm beenden übertragen

greetz
bastian

Was mich an Deinem Log stört:

Logfile of HijackThis v1.99.1
Scan saved at 21:07:29, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Schon mal was von SP2 und regelmäßigen Updates gehört?

Versuche mal eine Bereinigung damit:
http://www.ewido.net/de/download/

Poste das Ergebnis.

ok, ewido findet ein paar cookies mehr nicht...

im system32 befinden sich jetz wieder folgende files:
i 1kb (vom kaspersky als trojan-downloader...)
eraseme_27322.exe 0kb
eraseme_44550 0kb
ftp.exe,nachdem ich sie umbenannt habe wieder da
ftpupd.exe 0kb aktuell erstellt worden laut geändert am
tftp.exe, die jetzt auch als gestarteter process vorkommt
teskmangr.exe 0kb aktuell erstellt worden laut geändert am
TFTP2312 aktuell erstellt worden laut geändert am
TFTP3704 aktuell erstellt worden laut geändert am
network.exe 0kb vor 1 woche erstellt

die onlinescanner nehmen keine 0kb files...
a² squared findet nix
spybot findet nix
ewido findet nix
kaspersky findet nix

sp2 hab ich nicht drauf, stimmt
aber ich denke sämtliche anderen updates von microsoft

greetz
bastian

@felix1,
dies sind warscheinlich seine geringsten Probleme.

Ich denke, er wird sich unter anderem den hier gefangen haben.
Grund: C:\WINDOWS\System32\GEARSec.exe

karaya

omg volltreffer....

gearsec läuft... hatt mich gefragt was das soll dacht is irgendwas vom ghost

wie bekomme ich den los? gut dass kaspersky diesmal garnix erkennt, bin total enttäuscht

hat gearsec was zu tun mit den ftp.exe usw?

Hallo,
Moment, die gearsec kann auch ganz legitim sein und etwas mit der Brennersoftware zu tun haben. So wie ich die Virenbeschreibung verstehe müßte die gearsec auch als O4 und nicht als O23 Eintrag gestartet werden.
Die ganz normale gearsec wäre das hier



Grüße Wildone

Hallo Wildone,

wollte das auch gerade posten.

dartus

Hallo zwoot,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Bitte erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

dartus

Hallo,
@dartus
Escan wird wahrscheinlich wenig bringen wenn sein normales AV schon Kaspersky ist, und nichts findet, ein Versuch kann alerdings nicht schaden.
@zwoot
Also irgendwie habe ich bei deinem System ein ganz schlechtes Gefühl, läßt sich zwar bisher nicht belegen, aber irgendwas ist da hochgradig faul.
Untersuche mal dein System mit Silentrunner und poste das Log.
Und mache vielleicht nochmal zusätzlich einen Onlinescan bei Panda
Und gleich mal vorsorglich gefragt, ich habe gesehen das du Norton Ghost auf deinem System hast, hast du ein sauberes Image gesichert?



Grüße Wildone

also, hab soeben ein image aufgespielt...
leider sind die probleme auch da schon vorhanden.

weiss jemand zu welchem trojaner diese dateien gehören?
i,eraseme_XXXXX.exe,ftpupd.exe,network.exe,TFTPXXX,
zum glück is diese komische teskmngr.exe nicht dabei...
und im msconfig unter systemstart ist eine zeile komplett leer, nur der reg pfad
currentversion/run

dort finde ich aber lediglich normale dienste, bis auf bei standart steht beim wert garnichts... bei allen anderen standart schlüsseln aber immer wert nicht gesetzt...

unter shell extensions(currentversion) finde ich ein key meltme, der die eraseme exe ausführt....

also ich probiers jetzt noch alle einträge von hand zu löschen und hoffen der trojaner schreibts nicht alles wieder rein...
dazu müsst ich halt wissen was alles wichtig is und gelöscht werden muss...(siehe dateien oben , z.b.)


hier noch die log


"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"DrvMon.exe" = "C:\WINDOWS\System32\DrvMon.exe" ["Alcor Micro, Corp."]
"TuneUp MemOptimizer" = ""C:\Programme\TuneUp2004\memoptimizer.exe" autostart" ["TuneUp Software GmbH"]
"Steam" = ""d:\steam\steam.exe" -silent" ["Valve Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SmcService" = "C:\PROGRA~1\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"KAVPersonal50" = "C:\Programme\KAV5\kav.exe /minimize" ["Kaspersky Labs"]
"CloneCDTray" = ""C:\Programme\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"DAEMON Tools-1033" = ""C:\Programme\Daemon\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"(Default)" = (empty string)
"Norton Ghost 9.0" = "C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
INFECTION WARNING! taskmgr.exe\Debugger = "C:\Programme\TuneUp2004\PMLauncher.exe" ["TuneUp Software GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\Programme\ICQ\ICQ.exe" ["ICQ Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"]
kavsvc, kavsvc, "C:\Programme\KAV5\kavsvc.exe" ["Kaspersky Labs"]
Norton Ghost, Norton Ghost, "C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe" ["Symantec Corporation"]
Sygate Personal Firewall, SmcService, "C:\Programme\SPF\smc.exe" ["Sygate Technologies, Inc."]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 52 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 9 seconds.
---------- (total run time: 84 seconds)

Hallo,
überprüfe doch mal die besagten Dateien (i, eraseme....exe usw.) hier aber ich befürchte schlimmes, nämlich einen IRC/Sdbot, und das hieße, wenn du kein sauberes Image hast, das du dein komplettes System neu aufsetzen solltest.


Grüße Wildone

aaaalso:

sieht so aus als wär ich geheilt hehe.

hab die komplette registry durchgeklickt und da warn unter shellextensions einträge von wegen meltme & cmd.exe mit eraseme.exe
alles gelöscht und die ganzen komischen files gekillt...

seither keine komischen prozesse mehr laufen...

wie würde sich der sd/irc bot bemerkbar machen? bzw wo finde ich einträge von dem?

ansonsten danke für die vielen scannerlinks

greetz
bastian