|
Plagegeister aller Art und deren Bekämpfung: Infected !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.02.2006, 01:48 | #1 |
| Infected ! Hi, hoffe mir kann jemand helfen. bin mir ziemlich sicher dass ich nen backdoor oder irgend nen andren shice aufm rechner hab. Norton findet nix, antivir ebenfalls nich, ad-aware auch nich. hijackthis hat unter windows 25 prozesse aufgelistet, aber als ich HijackThis laufen hatte waren 31 prozesse geöffnet, unteranderem wmiprvse.exe... ad-aware dursucht ordner die nich im explorer aufgeführt sind ( hab versteckte dateien/system dat. eingeblendet) mediaplayer spielt keinen sound ab obwohl treiber installiert sind und soundkarte betriebsbereit ist. Unter Windows krieg ich keine Verbindung mehr zu Websites, aber der esel läuft noch...egal was ich öffnen will,der rechner läd sich nen Wolf,aber prozessorauslastung is unter 10%...Sobald ich meinen router ausschalte geht das laden wieder wie es sollte. Im abgesicherten modus funzt I-net ganz normal. Ich hab wirklich keine Ahnung was das ist. Hoffentlich hat von euch jemand ne idee. thx schon ma Scr00m Logfile of HijackThis v1.99.1 Scan saved at 00:50:42, on 15.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Spyware Doctor\swdoctor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\taskmgr.exe G:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [Spyware Doctor] "C:\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: FV - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\FV.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PKSYU - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\PKSYU.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: VDMLQFCASSC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\VDMLQFCASSC.exe Geändert von Scr00m (15.02.2006 um 01:54 Uhr) |
15.02.2006, 02:41 | #2 |
| Infected ! Da Du eh den Rootkitrevealer hast laufen lassen, poste doch bitte mal das Log.
__________________Dazu noch ein eScan Log, welches mit Hilfe der find.bat erstellt wurde. Halte Dich exakt und Wort für Wort an die Anleitung, sonst geht die Auswertung mit der find.bat schief: http://www.trojaner-board.de/showthread.php?t=17492
__________________ |
15.02.2006, 14:47 | #3 |
| Infected ! So thx erstma für eure(deine) Mühe...
__________________4 mal mit revealer geöffnet... jedesmal ging noch ein andrer( immer unterschielicher) Prozess auf beim ersten mal SHE.EXE, Proz.auslastung auf 99% system nicht mehr ansprechbar, sprich kein log(norton wurde mit 3 einträgen angezeigt was beim andren scan nicht mehr war. Beim 2ten scan von dem auch das log ist ging NCKAT.EXE auf, beim dritten starten UXWJOMNOTKG.EXE und beim 4ten mal STYTZPNAZ.EXE.( ich denk wenn ichs 10 mal versucht hätte wärn noch 6 andre prozesse dabei).. bei den letzten beiden hab ich nicht mehr gescannt. Nun ma die logs: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 03:33:26 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. Wed Feb 15 03:33:27 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Wed Feb 15 03:34:05 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1EBF720E.tmp infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken. Wed Feb 15 03:41:16 2006 => Scanning File C:\Programme\a-squared\infected.txt Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 08:12:13 2006 => File G:\Pr0gZ\girc442.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 03:33:18 2006 => Offending Folder found: C:\WINDOWS\system32\cache329 Wed Feb 15 03:33:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sc00m\Eigene Dateien\thq\mxvsatv unleashed\save Wed Feb 15 03:33:26 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Wed Feb 15 03:33:27 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 10:03:33 2006 => Total Objects Scanned: 48704 Wed Feb 15 10:03:33 2006 => Total Critical Objects: 6 Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0 Wed Feb 15 10:03:33 2006 => Total Deleted Objects: 0 Wed Feb 15 10:03:33 2006 => Total Errors: 107 Wed Feb 15 10:03:33 2006 => Time Elapsed: 06:30:33 Wed Feb 15 03:28:37 2006 => Virus Database Date: 2/3/2006 Wed Feb 15 03:30:44 2006 => Virus Database Date: 2/15/2006 Wed Feb 15 10:03:33 2006 => Virus Database Date: 2/15/2006 Wed Feb 15 12:32:10 2006 => Virus Database Date: 2/15/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ un noch revealer log : HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 3.2.2006 18:50 58 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\vax347s\Config\jdgg40 15.2.2006 12:42 0 bytes Hidden from Windows API. C:\$AttrDef 24.1.2006 05:04 2.50 KB Hidden from Windows API. C:\$BadClus 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$BadClus:$Bad 24.1.2006 05:04 19.13 GB Hidden from Windows API. C:\$Bitmap 24.1.2006 05:04 612.10 KB Hidden from Windows API. C:\$Boot 24.1.2006 05:04 8.00 KB Hidden from Windows API. C:\$Extend 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$ObjId 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$Quota 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$Reparse 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$LogFile 24.1.2006 05:04 64.00 MB Hidden from Windows API. C:\$MFT 24.1.2006 05:04 22.86 MB Hidden from Windows API. C:\$MFTMirr 24.1.2006 05:04 4.00 KB Hidden from Windows API. C:\$Secure 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$UpCase 24.1.2006 05:04 128.00 KB Hidden from Windows API. C:\$Volume 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat 15.2.2006 12:39 0 bytes Visible in Windows API, but not in MFT or directory index. C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat\Find.bat 15.1.2006 19:27 2.15 KB Visible in Windows API, but not in MFT or directory index. D:\$AttrDef 31.1.2006 12:06 2.50 KB Hidden from Windows API. D:\$BadClus 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$BadClus:$Bad 31.1.2006 12:06 38.28 GB Hidden from Windows API. D:\$Bitmap 31.1.2006 12:06 9.57 MB Hidden from Windows API. D:\$Boot 31.1.2006 12:06 8.00 KB Hidden from Windows API. D:\$Extend 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$Extend\$ObjId 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$Extend\$Quota 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$Extend\$Reparse 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$LogFile 31.1.2006 12:06 64.00 MB Hidden from Windows API. D:\$MFT 31.1.2006 12:06 464.00 KB Hidden from Windows API. D:\$MFTMirr 31.1.2006 12:06 4.00 KB Hidden from Windows API. D:\$Secure 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$UpCase 31.1.2006 12:06 128.00 KB Hidden from Windows API. D:\$Volume 31.1.2006 12:06 0 bytes Hidden from Windows API. G:\$AttrDef 3.6.2005 20:17 2.50 KB Hidden from Windows API. G:\$BadClus 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$BadClus:$Bad 3.6.2005 20:17 233.76 GB Hidden from Windows API. G:\$Bitmap 3.6.2005 20:17 58.44 MB Hidden from Windows API. G:\$Boot 3.6.2005 20:17 8.00 KB Hidden from Windows API. G:\$Extend 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$ObjId 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$Quota 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$Reparse 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$LogFile 3.6.2005 20:17 64.00 MB Hidden from Windows API. G:\$MFT 3.6.2005 20:17 21.30 MB Hidden from Windows API. G:\$MFTMirr 3.6.2005 20:17 4.00 KB Hidden from Windows API. G:\$Secure 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$UpCase 3.6.2005 20:17 128.00 KB Hidden from Windows API. G:\$Volume 3.6.2005 20:17 0 bytes Hidden from Windows API. GreetZ Scr00m |
15.02.2006, 15:04 | #4 |
| Infected ! Also das meiste sind Metadaten. Die Einträge sind ok. Da ist zwar Cydoor drauf, aber ich glaube nicht, dass das so einen Ärger macht. Scanne bitte nocht mit Blacklight und berichte.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
15.02.2006, 15:31 | #5 |
| Infected ! thx für deine schnelle antwort... blacklight findet nichts <-- log macht wenig sinn, poste es trotzdem mal 02/15/06 15:18:47 [Info]: BlackLight Engine 1.0.30 initialized 02/15/06 15:18:47 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/15/06 15:18:47 [Note]: 7019 4 02/15/06 15:18:47 [Note]: 7005 0 02/15/06 15:19:01 [Note]: 7006 0 02/15/06 15:19:01 [Note]: 7011 1940 02/15/06 15:19:03 [Note]: FSRAW library version 1.7.1014 02/15/06 15:20:29 [Note]: 7007 0 Norton hat eben unter windows nen zugriffsversuch eines Remote-systems gemeldet, und ein unbekanntes prog versuchte mit hilfe von LuComServer_2_7.EXE aufs internet zuzugreifen GreetZ Scr00m |
15.02.2006, 15:35 | #6 |
| Infected ! Schau mal, ob Du diese LuComserver-Datei finden kannst und lasse sie bei jotti prüfen. Es kann aber ein ganz gewaltiger Bug von Norton sein: http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e
__________________ --> Infected ! |
15.02.2006, 15:48 | #7 |
| Infected ! auf jotti wird nichts gefunden ... ich hab wirklich langsam keinen plan mehr was mit dem rechner los is. GreetZ Scr00m |
15.02.2006, 16:17 | #8 |
| Infected ! Ich blci da grad auch nicht mehr durch. Am besten wartest Du, bis sich das mal jemand anders angeschaut hat. Während dessen kannst Du mal noch folgendes machen: Lade Dir mal Filemon von Sysinternals und mache folgende Einstellungen Include: LuComServer_2_7.EXE Exclude: Highlight: Einfach nebenher laufen lassen und mal schauen was auf die Datei zugreifen will
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
15.02.2006, 16:26 | #9 |
| Infected ! k werd ich mal ausprobieren... trotzdem thx für deine Bemühungen GreetZ Scr00m |
15.02.2006, 17:29 | #10 |
| Infected ! Hallo Scr00m ich schau mal nach stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html
__________________ MfG Sabina |
15.02.2006, 17:32 | #11 |
| Infected ! soo hab grad ewido laufen lassen ... updaten funzte nicht, da mal wieder ein unbekanntes prog drauf zu greifen wollte. Wenn ich mit firefox ins netz will, versucht ein unbek. prog. mit hilfe von svchost.exe aufs internet zuzugreifen... Ewido "ohne" update, hat lediglich 11 tracking cookies gefunden.... Als ich filemon laufen hatte, versuchte wieder ein unbekanntes prog mit dem LuComserver_2_7.exe zumnetz zu verbinden. Nachdem ichs 3 oder 4 mal blockiert hab war funkstille, normalerweise musste ich mindestens 12-14 mal blockieren bis es ruhe gab ?!?!? Hat evtl. noch jemand ne idee? Bin über jeden Ratschlag dankbar hi sabina thx für deine hilfe ... werd ich gleich mal machen GreetZ Scr00m |
15.02.2006, 17:34 | #12 |
| Infected ! versucht diese exe Anschluss an den PC zu bekommen ? c:\program files\symantec\liveupdate\lucomserver_2_7.exe
__________________ MfG Sabina |
15.02.2006, 17:35 | #13 | |
| Infected !Zitat:
Was zeigt Filemon an beim Zugriff auf die lucom-Datei (Spalte Process)? @Sabina http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e So wie ich den TO verstanden habe, versucht ein Programm über lucom aufs Netz zuzugreifen. Also nicht lucom selbst. Aber so ganz peil ich das nicht. Deswegen auch meine PN.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
15.02.2006, 17:42 | #14 | |
| Infected !Zitat:
__________________ MfG Sabina |
15.02.2006, 17:42 | #15 | |
| Infected !Zitat:
__________________ MfG Sabina |
Themen zu Infected ! |
abgesicherten modus, ad-aware, antivir, antivirus, backdoor, bho, dll, drivers, explorer, hijack, hijackthis, icqtoolbar, infected, internet, internet explorer, internet security, keine ahnung, nvidia, ordner, programme, protection center, prozesse, router, rundll, security, settings manager, software, spyware, symantec, temp, urlsearchhook, was das ist., windows, windows xp |