Hallo allerseits!

Gestern ereilte mich erstmals der Adware/Hijacker-Schrecken ...und zwar gleich im Paket. Beim Surfen mit dem Internet Explorer (großer Fehler) klickte ich unbedacht auf einen Link, dessen Ziel ich jedoch nie erblickte, da sich augenblicklich alle Browserfenster schlossen.
Beim erneuten Öffnen des IE meldete mein AntiVir drei Trojaner (TR/Small.HL, TR/Click.526, TR/Click.Small.KG), die ich sofort löschen ließ. Das Browserfenster enthielt nun ausserdem eine Toolbar, die sich auch im normalen Windows Explorer zeigte. Letzterer versuchte auch gleich Verbindung ins Internet aufzunehmen, was ich jedoch per Firewall unterbinden konnte.

Danach setzte ich sofort AdAware in Gang, welches prompt einige Eindringlinge ausmachte: Adware.Toolband, CoolWebSearch und IEHIjacker.SearchExe. Ersteres zu entfernen bedurfte eines Windows-Neustarts, da die lästige Toolbar ja als Systemkomponente bereits aktiv war. Im Anschluss schien aber alles in Ordnung... ein paar Säuberungen mit meinem RegCleaner-Tool, Überprüfen der Einstellungen bei System und Browser. Das einzige was sich im Nachhinein noch aufzeigte, war ein Störenfried im Deckmantel eines AntiSpy-Programms namens "UnSpyPC". Das hatte sich als Extension im IE aktiviert, ausserdem einen Programmordner angelegt samt Link auf dem Desktop. All das hab ich sofort entfernt bzw. wurde auch AdAware nochmal darauf aufmerksam.

Nachdem das alles geschafft war, wirkt das System recht sauber - es ist auch erst seit einem Monat in Betrieb und daher übersichtlich.
Es sind keine unerklärlichen Registry-Einträge per Tool mehr auszumachen (RegCleaner und Easy Cleaner), es kommen keine AdWare- oder Virenwarnungen mehr (AntiVir, AdAware samt VX2 Cleaner, Rootkit Revealer und Crucial ADS), es ist nichts in den System- oder Browsereinstellungen verstellt (keine der typischen Symptome von CoolWebSearch z.B., die hier schon beschrieben sind) und keinerlei absonderliches Verhalten.

Ein Ärgernis aber blieb: in der Startup List, die man mit RegClean-Tools anzeigen lassen kann, taucht ein Eintrag folgender Art auf...
Exe.lmmbmd c:\windows\system32\dmbmml.exe
...der Titel ist also eine Umkehrung des betreffenden Dateinamens. Die dort aufgeführte EXE-Datei existiert allerdings gar nicht.
Wenn man den Eintrag löscht (oder auch nicht), generiert sich nach jedem Neustart ein neuer bzw. weiterer - es werden also stetig mehr Einträge in der Startup List, die alle dem gleichen Muster entsprechen und auf nicht existente Dateien c:\windows\system32\dm*.exe verweisen (z.B. Exe.fgzdmd c:\windows\system32\dmdzgf.exe ... oder Exe.djklmd c:\windows\system32\dmlkjd.exe).

Hat hier vielleicht jemand eine Idee, was sich dahinter verbirgt und wie ich dieses Phänomen ausschalten kann? Scans im Abgesicherten Modus brachten auch keine Ergebnisse - und auch dort generiert sich der Eintrag.

Ich danke euch schonmal herzlich im Voraus. Ich hoffe nur, dass ich mir einen komplizierten und langwierigen Neuinstallationsprozess ersparen kann - vor allem da das System ohnehin noch sehr frisch und stabil ist.

Hallo J.N.
Dateien sichtbar machen geht so :http://www.trojaner-board.de/59624-a...-sichtbar.html
Sind diese Einstellungen bei dir so ?
Irrlicht

Hi J.N.,

...haette nicht besser beschreiben koennen, was ich in den letzten Tagen durchgemacht habe. Habe genau die gleichen Probleme!!!
Was noch hinzukommt: ich werde oft auf andere Seiten umgeleitet (IE), und im HijackThis kommt mir dieser Eintrag verdaechtig vor:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D5701ED4-59CB-4684-8E46-B84A0BD02820}: NameServer = 85.255.116.60 85.255.112.203

Ausserdem haengt der Rechner ab und zu wenn ich ihr hochfahre oder auch im Netz bin, wobei die Platte staendig arbeitet. Was da passiert will ich lieber nicht wissen...

...wuerde es lieber wieder loswerden. Any ideas? Was hast du gemacht?
Grusz,
h!

PS: Dateien (auch geschuetzte u.a. werden bei mir alle angezeigt. Diese dm***.exe /exe.***md -Dateien lassen sich so jedoch nicht anzeigen, tauchen allenfalls in der registry auf. Entfernt man diese, hat man sie beim nächsten Neustart unter anderen Namen wieder drin.

Aktuell:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\exe.mcnmd
Wert: C:\WINDOWS\system32\dmncm.exe

@haukster
eröffne bitte einen eigenen Thread, dort postest du das HijackThis logfile und ein Logfile von F-secure Blacklight (wird nach dem scan automatisch im selben Pfad erzeugt, fsbl**.txt)


Grüße Wildone

@Wildone

...danke, wieder einen Schritt weiter! :-) Blacklight hat tatsaechlich etwas gefunden.
Bin absoluter Newbie hier, muss erstmal lesen wie und wo man einen neuen "Thread" eroeffnet. Hier aber schon mal die Blacklight-Liste und der hijackthis-scan:
___________________________________________________

Blacklight:
___________________________________________________
04/12/06 13:29:11 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 13:29:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 13:29:11 [Note]: 7019 4
04/12/06 13:29:11 [Note]: 7005 0
04/12/06 13:29:17 [Note]: 7006 0
04/12/06 13:29:18 [Note]: 7011 1692
04/12/06 13:29:18 [Note]: 7026 0
04/12/06 13:29:19 [Note]: 7026 0
04/12/06 13:29:19 [Note]: FSRAW library version 1.7.1015
04/12/06 13:31:42 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 13:31:42 [Note]: 10002 1
04/12/06 13:32:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 13:32:05 [Note]: 10002 1
04/12/06 13:32:11 [Info]: Hidden file: C:\WINDOWS\system32\dmzqz.exe
04/12/06 13:32:11 [Note]: 7002 32
04/12/06 13:32:11 [Note]: 7003 1
04/12/06 13:32:11 [Note]: 10002 1
04/12/06 13:32:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/12/06 13:32:17 [Note]: 10002 1
04/12/06 13:32:22 [Info]: Hidden file: C:\WINDOWS\system32\cswpf.exe
04/12/06 13:32:22 [Note]: 7002 32
04/12/06 13:32:22 [Note]: 7003 1
04/12/06 13:32:22 [Note]: 10002 1
04/12/06 13:32:46 [Note]: 7007 0

______________________________

Hijackthis:
______________________________
Logfile of HijackThis v1.99.1
Scan saved at 13:36:54, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\The Bat!\thebat.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [exe.mcnmd] C:\WINDOWS\system32\dmncm.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5701ED4-59CB-4684-8E46-B84A0BD02820}: NameServer = 85.255.116.60 85.255.112.203
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
*grummel*
Einen neuen Thread hättest du einfach hier eröffnen können, indem du auf
geklickt hättest.

Wäre übersichtlicher gewesen wenn der Threadersteller wieder kommt.

Hast du Acronis nur zum Spass auf deiner Platte, oder hast du ein sauberes Image in der Hinterhand?


Grüße Wildone

@Wildone

...sorry, hab noch nie etwas in irgendwelchen Foren veroeffentlicht, kenn die Konventionen noch nicht. Aber man lernt ja hinzu. Wuerde ja auch gerne einen neuen Thread erstellen, aber ich weiss ja nicht einmal, welchen "Namen ich dem Kind" geben soll. (Sprich: um welchen Trojaner oder ähnliches es sich denn nun handelt)

Ach ja, letzte Acronis-Sicherung liegt mehrere Monate zurueck, sonst waere es ja einfach...

Hallo,
als Namen hättest du z.B. "komischer O17 Eintrag" oder "werde auf Seiten umgeleitet" wählen können, aber jetzt ist der Thread hier ohnehin schon verhundst, also können wir auch hier weitermachen.

Also wir haben es hier zumindest mit Rootkittechnologie zu tun, und diese ist nicht einfach zu beseitigen, da sie sich sehr tief in das System eingraben kann. Ich würde dir raten das etwas ältere Image wieder einzuspielen, das ist zumindest die sicherste Variante, beim weiteren herumfrickeln könnte man etwas übersehen, und ruckzuck sind deine Ebaydaten oder Onlinebankinginformationen auf einem Server in der Ukraine (IP des O17 Eintrags).



Grüße Wildone

Stoehn...

...die Antwort hatte ich schon erwartet. Ich glaub´ meine Daten hat der Russe schon- werde mich aber trotzdem die naechster Tage hinsetzen und das ganze System komplett neu aufsetzen.
Wollte ich eh mal wieder machen.

Hab Dank und Grüße zurück,
h!

Hallo J.N.

hier eine info zur unspyc.
Poste doch bitte ein HJT logfile

chaosman