Logfile-Auswertung (Trojaner hleader_dll.dll)

nyneve · 04.11.2005, 00:10

Eine Bekannte hat massive Probleme mit ihrem PC und jetzt auch einen Trojaner gefunden. Hier hat sich der Übeltäter versteckt:
"C:\WINDOWS\system32\hleader_dll.dll"

Beim Virenprogramm (Norton) ist die Löschung fehlgeschlagen und manuell kann ich die Datei nicht geöffnet, nicht verschoben, nicht gelöscht werden.

Ein Virenscan mit Adaware hat jetzt auch nichts gebracht. Der Scan bleibt hängen.

Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:33:01, on 03.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\windows\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\O2Micro\AudioDJ\o2cd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Lexmark\Lexmark Precision Photo\MemCard.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Microsoft InfoChecker\ff.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\T-Online\T-Online_Software_6\eMail\MAIL.EXE
C:\WINDOWS\hh.exe
C:\windows\explorer.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

h**p://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

h**p://server224.smartbotpro.net/7search/?np-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://default-homepage-network.com/start.cgi?np-hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

h**p://www.couldnotfind.com/search_page.html?&account_id=144440
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =

h**p://default-homepage-network.com/start.cgi?np-hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton

AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [o2cd] C:\Programme\O2Micro\AudioDJ\o2cd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [appsrvq] C:\WINDOWS\System32\appsrvq.exe
O4 - HKLM\..\Run: [erfcip] C:\WINDOWS\System32\erfcip.exe
O4 - HKLM\..\Run: [FCMP11nL] C:\WINDOWS\System32\FCMP11nL.exe
O4 - HKLM\..\Run: [iskcopyd] C:\WINDOWS\System32\iskcopyd.exe
O4 - HKLM\..\Run: [lga] C:\WINDOWS\System32\lga.exe
O4 - HKLM\..\Run: [mp4AF2Ft] C:\WINDOWS\System32\mp4AF2Ft.exe
O4 - HKLM\..\Run: [sdartm] C:\WINDOWS\System32\sdartm.exe
O4 - HKLM\..\Run: [sportsm] C:\WINDOWS\System32\sportsm.exe
O4 - HKLM\..\Run: [swebdvdm] C:\WINDOWS\System32\swebdvdm.exe
O4 - HKLM\..\Run: [dsaddinr] C:\WINDOWS\System32\dsaddinr.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [mdrvm] C:\WINDOWS\System32\mdrvm.exe
O4 - HKLM\..\Run: [tis] C:\WINDOWS\System32\tis.exe
O4 - HKLM\..\Run: [SO5DEUM] C:\WINDOWS\System32\SO5DEUM.exe
O4 - HKLM\..\Run: [sasn1m] C:\WINDOWS\System32\sasn1m.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software]

"C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [MemoryCardManager] C:\Programme\Lexmark\Lexmark Precision Photo\MemCard.exe

-startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe]

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [auto__antiav__key] C:\windows\system32\antiav_exe.exe
O4 - HKLM\..\Run: [LXBSCATS] rundll32

C:\windows\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec

Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [FactFinder] C:\Programme\Microsoft InfoChecker\ff.exe /i
O4 - HKCU\..\Run: [auto__antiav__key] C:\windows\system32\antiav_exe.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} -

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -

h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) -

h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} -

h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -

h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094456693796
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) -

h**ps://banking.rwso.de/XXXXXXXXXX/srwso2001.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) -

h**p://www.adler-oberstdorf.com/plugin/mssurvid.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) -

h**p://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -

h**ps://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA711CA3-53FC-4327-9A7C-079F371599F9}: NameServer =

217.237.150.141 217.237.150.97
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner -

C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbscoms.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe, jemand kann ihr weiterhelfen und das System wieder sauber bekommen.

chaosman · 04.11.2005, 00:23

@nyneve
scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

nyneve · 04.11.2005, 00:29

Vielen Dank

)

Ich habe ihr den Link gerade per Mail zugeschickt.
Ich werde mich dann wohl erst wieder heute im Laufe des Tages melden, wenn ich von ihr Nachricht bekommen habe.

nyneve · 04.11.2005, 09:36

Guten Morgen, da bin ich wieder.

Sie hat escan jetzt drüber laufen lassen, und schon ist das nächste Problem da!

Auszug aus ihrer Mail:
OK, hab jetzt den escan drauf und wieder ein seltsames Problem:
escan läuft (knapp 7 min) hat 25 infizierte gefunden (wie ad-aware) plötzlich poppt ein Fenster auf: "Windows:nicht genügend virtueller Speicher" und verschwunden ist das escan-Fenster...
nimmer da!

Und nun?

unaxica · 04.11.2005, 11:41

Hallo,
ich bin nun die Betroffene von diesem mistigen Virus.

Momentaner Stand: ich kann keinen Scanner mehr laufen lassen (escan geht nach ein paar Minuten einfach zu, adaware ebenso)

Da ich nicht so richtig bewandert bin mit solchen PC Problemen hoffe ich das mir jemand mit Geduld weiterhelfen kann wie ich meinen PC wieder sauber und zum laufen bringe.

Danke an dieser Stelle an nyneve die mir seit gestern Abend hilft und diesen Thread eröffnet hatte.

Was bisher war:
Habe mir oben genannten Virus über eine Mail deren Anhang ich nicht geöffnet habe (aber die Vorschau hat wohl genügt) eingefangen.
Mein Norton konnte den Virus nicht löschen und nach vielem Hin und Her konnte ich den Virus bis aufs Desktop schubsen und in den Papierkorb verfrachten. Hierbei ist mein Norton mit flöten gegangen und lässt sich nicht mehr installieren weil angeblich das Laufwerk voll ist.
Mein PC wurde super langsam.
Habe dann Adaware downgeloaded aber der Scan blieb hängen.
Habe dann escan versucht aber nach ca. 7 min öffnete sich ein Fenster"virtueller Speicher voll" und escan war weg. Beim erneuten Versuch escan laufen zu lassen klappte er ohne Meldung einfach zu - weg!
Dann ging men I-Net Browser zu und ein Fenster: "Microsoft Internet Explorer: Out of memory at line 31" erschien.

Ich komme nun nur noch mit x Anläufen überhaupt ins I-Net und in die Mails.

Wäre super wenn ich hilfe bekäme!!!

Danke
Gruß,
Xica

chaosman · 04.11.2005, 12:01

@unaxica
lade clearprog
setze alle häkchen bei IE und windows, löschen.
Hopes it helps.
chaosman

unaxica · 04.11.2005, 12:24

Danke chaosman... habe ich gemacht.
Wie jetzt weiter?
Jetzt kann ich den Adaware nicht mehr öffnen.
Habe escan nochmal runtergeladen und versucht, da kommt internal Error

Was nun tun?
Danke

raman · 04.11.2005, 12:51

Damit chaosman nachher weiterarbeiten kann, starte Escan bitte im abgeicerten Modus, das sollte funktionieren.

Eine kleine Frage nebenbei, hast du in der letzten Zeit irgendeinen Mailanhang geoeffnet?

stupormundi · 04.11.2005, 12:55

@raman

Zitat:

Habe mir oben genannten Virus über eine Mail deren Anhang ich nicht geöffnet habe (aber die Vorschau hat wohl genügt) eingefangen.

Richtiger Gedanke

stupormundi

raman · 04.11.2005, 13:01

Sh*t schon wieder nicht genau genug gelesen. Abe ich hatte an eine neue Bagle Variante gedacht, und OE sollte bei SP2 eigentlich recht sicher sein.

Dirk Gently · 08.11.2005, 10:35

Hallo,

ich konnte diese Bagle Variante entfernen:
Rechner im abgesicherten Modus starten.
Die Dateien im Ordner "windows\exefld\*.*" löschen
Im Windows\System32 folgende Dateien löschen:
antiav_exe.exe
hleader_dll.*
hloader_dll.*
Prüfen, ob es auch
hleader_exe.*
hleader_exe.*
gibt. Diese dann auch löschen.
Zum Löschen empfiehlt sich die Kommandozeile (del hleader_dll.dll) oder der TotalCommander, der direkt ohne den Mülleimer zu benutzen, Dateien löschen kann.
Dateien, die gelockt sind, da sie ausgeführt werden, lassen sich aber umbenennen (hleader_dll.exe nach hleader_dll.ex) Damit werden sie beim nächsten Rechnerstart nicht wieder gestartet (Wenn der Prozess des Wurms dieses nicht überwacht)

In der Registry befinden sich bei HKLM und HKCU unter Sotfware\Microsoft\CurrentVersion\Run die Aufrufe für die oben gelöschten Programme.
Die Windows Systemwiederherstellung habe ich abgeschaltet.
Gefunden habe ich die Dateien mit Hilfe von Knoppicillin 4 (c't). Der betroffene PC scheint seit dem wieder sauber zu sein. Da ich nicht weiß, wie sich der Wurm an einem direkten Internetzugang verhält, weiß ich auch nicht, was er nachgeladen und installiert hat.

Dirk.

Dirk Gently · 08.11.2005, 10:39

Sorry,

ich habe noch vergessen, die Datei "antiav_dll.dll" im Windows/System32 Ordner muß natürlich auch gelöscht werden.
(Quelle : http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.co@mm.html)

Dirk.

Logfile-Auswertung (Trojaner hleader_dll.dll)

Log-Analyse und Auswertung: Logfile-Auswertung (Trojaner hleader_dll.dll)