Guten Tag miteinander,

leider habe ich mir vor einigen Tagen einen Dropper eingefangen, den ich leider nichtmal namentlich identifizieren kann. (Versuchte Programme: NortonAV05, Stinger, SpybotS&D, AdAwareSE)

Da bereits ungezählte Versuche meinerseits den Schädling loszuwerden fehlgeschlagen sind, hoffe ich um Hilfe über dieses Forum. Vielen Dank in jedem Fall im Voraus an diejenigen unter euch, die sich dazu berufen fühlen.

Mein System läuft unter WinXP inkl. ServicePack2. NortonAV läuft als Hauptvirenscanner. Im Folgenden habe ich ein Hjackthis-Logfile angefügt, woraus man wie ich hoffe mit geschultem Auge den Schädling identifizieren kann.

(Vielleicht Hilft auch die Information, dass der vom Dropper aufgerufene Prozess im Taskmanager 17exmodular.exe oder 63exmodular.exe oder auch 73exmodulas.exe heisst. (wechselt den Namen von mal zu mal) Sobald ich diesen Task abbreche hört das senden der Spammails auf. Allerdings startet sich dieser Prozess in unregelmässigen Abständen neu)


HJACKTHIS-LOGFILE:
--------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:35:51, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\svchost.exe
d:\Logitechhh\MouseWare\system\em_exec.exe
d:\fritzdsl\IGDCTRL.EXE
D:\fritzdsl\StCenter.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Norton\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
D:\Spybot\TeaTimer.exe
D:\Norton\Norton AntiVirus\navapsvc.exe
D:\firefox\firefox.exe
C:\Dokumente und Einstellungen\Kiesi\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat5\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\fritzdsl\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8127B44C-4193-4ECC-A77B-F1E9390B9E38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8127B44C-4193-4ECC-A77B-F1E9390B9E38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1888E745-FEA3-4734-B31D-5E5CF3AA1CDC}: NameServer = 192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{1888E745-FEA3-4734-B31D-5E5CF3AA1CDC}: NameServer = 192.168.0.2
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\fritzdsl\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Norton\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\Norton\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

----------------------------


Vielen Dank, euer Kiesi

hallo,

in deinem log sehe ich eventuell 1 eintrag der auffällig sein könnte..
aber um dies genau feststellen zu können mache bitte einen Escan halte dich genau an die anleitung und les sie dir vorher genau durch..
wichtig:
sprache auf englisch lassen..
teile zum schluss das ergebniss der find.bat hier mit..

Hallo,

las die Datei

C:\WINDOWS\system32\nvsvcd.exe

bei Jotti oder bei Virustotal scannen und poste das Ergebnis.

Gruß

Schrulli

Und die auch noch:
C:\WINDOWS\system\smss.exe

Hallo schonwieder !

Hätte ich gewusst, dass der eScan doch solange dauert, hätte ich mich gleich für die schnelle Antwort bedankt, hoerni.

Für alle weiteren Tips (Schrulli und Felix1) danke ich gleich mal im Voraus und werde die beiden Dateien gleich im Anschluss scannen.



Nunja, folgendes ergab sich beim eScan: (ich versuche das ganze so übersichtlich wie möglich zu posten)

-----------------------------------------------------
-----------------------------------------------------
Mon Mar 13 16:56:11 2006 => File C:\WINDOWS\system32\nvsvcd.exe infected by "Trojan-Proxy.Win32.Horst.u" Virus! Action Taken: File Deleted.

Mon Mar 13 16:56:11 2006 => *** SYSTEM\CurrentControlSet\Services\Windows Log has RunningProcess defined as C:\WINDOWS\system32\nvsvcd.exe (which is infected)!
Mon Mar 13 16:56:11 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\Windows Log\ImagePath deleted because it is infected by a Virus
Mon Mar 13 16:56:11 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\Windows Log deleted because ImagePath file infected by a Virus

Mon Mar 13 16:56:32 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Mon Mar 13 16:56:32 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Mon Mar 13 16:56:32 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
Mon Mar 13 16:56:32 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.

Mon Mar 13 17:06:58 2006 => File C:\Dokumente und Einstellungen\Kiesi\Lokale Einstellungen\Temp\tmp1.tmp infected by "Trojan-Proxy.Win32.Horst.u" Virus! Action Taken: File Deleted.
Mon Mar 13 17:06:59 2006 => File C:\Dokumente und Einstellungen\Kiesi\Lokale Einstellungen\Temp\netf.dll infected by "Trojan-Proxy.Win32.Horst.u" Virus! Action Taken: File Deleted.
Mon Mar 13 17:34:28 2006 => File C:\RECYCLED\NPROTECT\00005491.EXE infected by "Trojan-Proxy.Win32.Horst.u" Virus! Action Taken: File Deleted.
Mon Mar 13 17:35:09 2006 => File C:\RECYCLED\NPROTECT\00008373.exe infected by "Trojan-Proxy.Win32.Horst.u" Virus! Action Taken: File Deleted.

Mon Mar 13 17:40:38 2006 => File D:\Norton\Norton AntiVirus\Quarantine\22C878E3 infected by "Trojan-Spy.Win32.Gepost.a" Virus! Action Taken: File Deleted.
Mon Mar 13 17:40:38 2006 => File D:\Norton\Norton AntiVirus\Quarantine\2C7B4752 infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: File Deleted.
Mon Mar 13 17:40:38 2006 => File D:\Norton\Norton AntiVirus\Quarantine\47E6608F infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: File Deleted.
Mon Mar 13 17:40:38 2006 => File D:\Norton\Norton AntiVirus\Quarantine\6E1C710F infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: File Deleted.
Mon Mar 13 17:40:39 2006 => File D:\Norton\Norton AntiVirus\Quarantine\139949E9 infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: File Deleted.

Mon Mar 13 18:38:45 2006 => Total Objects Scanned: 104061
Mon Mar 13 18:38:45 2006 => Total Critical Objects: 12
Mon Mar 13 18:38:45 2006 => Total Disinfected Objects: 0
Mon Mar 13 18:38:45 2006 => Total Objects Renamed: 0
Mon Mar 13 18:38:45 2006 => Total Deleted Objects: 10
Mon Mar 13 18:38:45 2006 => Total Errors: 3
Mon Mar 13 18:38:45 2006 => Time Elapsed: 01:42:47
Mon Mar 13 18:38:45 2006 => Virus Database Date: 3/13/2006
Mon Mar 13 18:38:45 2006 => Virus Database Count: 174012

Mon Mar 13 18:38:45 2006 => Scan Completed.

-------------------------------------------------
-------------------------------------------------


Wie es aussieht, habe ich besuch von "Horst" auf meinem Rechner ?! Daran ist leider auch nur der Name lustig. Meine Frage ist nun, ob ich bei den Einträgen, welchen ein "Action Taken: File Deleted." folgt, weitere Schritte unternehmen muss.

Zum Zweiten irritiert mich dann natürlich die Meldung bei "Mon Mar 13 16:56:32 2006" welcher ein "Action taken: No Action Taken." folgt.

Die Viren in Norton-Quarantäne wurden schöner weise auch erkannt und wohl entfernt.

Die nvsvcd.exe scheint wirklich böse gewesen zu sein. (siehe erste Zeilen der Scanmeldungen)


In jedem Fall bedanke ich mich vielmals für diese ersten Hinweise !

mfg
euer Kiesi

So und nochmals Hallo:

Die Datei nvsvcd.exe:

- war in C:\WINDOWS\system32\nvsvcd.exe nichtmehr zu finden. (wurde wohl von eScan laut Logfile gelöscht ?!)
- aber mit ähnlichem Namen in c:\windows\system32\nvsvc32.exe; Scan mit Jotti: OK


Die Datei smss.exe:

- war in c:\windows\system\smss.exe nichtmehr zu finden. (evtl. auch wegen eScan nichtmehr vorhanden ?!)
- aber in c:\windows\system32\smss.exe; Scan mit Jotti: OK
- aber in c:\WINDOWS\ServicePackFiles\i386\smss.exe; Scan mit Jotti: OK


Anmerkung: Die Suche nach den jeweiligen Dateien habe ich mit "Start->suchen->Dateien u. Ordner" durchgeführt. Die explizit erwähnten Pfade habe ich zusätzlich händisch überprüft.


Bin ich nun womöglich Trojaner/Dropper-frei ? Das war ja was.


Danke schonmal !

euer Kiesi

Hallo,

leider kann man Dir nur den Rat geben, das System neu aufzusetzen, da Du einen Backdoor Trojaner auf dem Rechner hast/hattest.
Beachte dabei die Anleitung zum Neuaufsetzen.

Gruß

Schrulli

Sowas hatte ich schon befürchtet... in jedem Fall vielen Dank für die Hilfestellungen. Ich habe dabei einiges gelernt.

mfg
euer Kiesi