Erstmal Holla miteinander


Also, es ist nicht so das sich mein Rechner übermässig komisch verhält, ISDN ist so oder so lahm *g* Eventuell höheres Aufkommen an Spam-Mail, aber das könnte ja auch an "bei irgendwelchen Foren registriert" liegen.

Aber während ich sorglos im Windows Explorer auf meinen Laufwerken rumklickte, fielen mir auf C: (reine Systempartition) 2 gar dubiose Dateien auf die ich bis dato noch gar nicht auf C: rumbummeln sah. Diese wären:
EIED_.htm
eied_s7_c_123.exe

Die .exe umbenannt und mal in die .htm geschaut, welche wohl per JavaScript das Fenster verschieben und per ActiveX die .exe ausführen wollen würde.

AVG hat das auch nach erneutem scannen nicht stutzig gemacht. Misstrauischerweise landete ich dann gestern hier und hab mal die ein oder anderen Tests gemacht.


Dieser jotti-OnlineScan warf folgendes aus:
Datei: fuck_eied_s7_c_123.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Trojan/Dldr.Agen.nv.4.B gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.cjs gefunden
NOD32 a variant of Win32/TrojanDownloader.Mediket gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Small.cjs gefunden


Also mal den Trojan Remover mit der aktuellsten Database drüberlaufen gelassen ... aber der war völlig zufrieden mit sich und der Welt und fand nüschts. Gut, nächster ... HijackThis drüber, mit folgendem Resultat:

Logfile of HijackThis v1.99.1
Scan saved at 21:58:55, on 27.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600) (jaja, out of date )
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Proggis\AVGFRE~1\avgamsvr.exe
d:\Proggis\AVGFRE~1\avgupsvc.exe
D:\proggis\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\proggis\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
D:\proggis\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\rundll32.exe
D:\Proggis\AVGFRE~1\avgcc.exe
D:\Proggis\AVGFRE~1\avgemc.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Proggis\FireFox\firefox.exe
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] d:\Proggis\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] d:\Proggis\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TrojanScanner] d:\Proggis\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Proggis\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Proggis\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Proggis\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Proggis\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Proggis\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Proggis\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Proggis\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{42057A74-9560-4A19-B858-3370DFD3BE6C}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\Proggis\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\Proggis\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\proggis\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Mein ungeschultes Auge sieht da so spontan nix und BlackLight findet auch keine versteckten Prozesse. Wobei, was ist das für'n Radio in der Toolbar @ O3?


Zu guter Letzt eScan im abgesicherten Modus, mit folgendem Resultat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 26 20:31:41 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: No Action Taken.
Sun Mar 26 20:51:50 2006 => Total Disinfected Objects: 0
Sun Mar 26 20:54:48 2006 => File C:\_muh\fuck_eied_s7_c_123.exe infected by "Trojan-Downloader.Win32.Small.cjs" Virus! Action Taken: No Action Taken.
Sun Mar 26 20:54:49 2006 => Total Disinfected Objects: 0
Sun Mar 26 21:21:48 2006 => Total Disinfected Objects: 0
Sun Mar 26 21:28:20 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: No Action Taken.
Sun Mar 26 22:25:10 2006 => File C:\_muh\fuck_eied_s7_c_123.exe infected by "Trojan-Downloader.Win32.Small.cjs" Virus! Action Taken: No Action Taken.
Mon Mar 27 01:23:03 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
hier war nur fehlalarm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

games.lnk stört wohl nur der Name, und die .exe da ließ sich auch problemlos entfernen soweit. Aber irgendwie muss die ja nun auf die Platte gekommen sein und man sollte meinen das sie sich dann auch im selben Atemzug ausführt und das System infiziert ... hab ich irgendwas übersehen oder gibts noch was zu testen?


Grüße,
November

Mh, keine Antwort = gut?

Aber btw. dieser RootkitRevealer fand jenes hier:
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 23.11.2005 09:25 0 bytes Hidden from Windows API.

Daemon Tools? Hidden? Tz, gehört das so?

Grüßle