Fragt mich nicht, in welchem Geisteszustand ich Rechnung.PDF.EXE in einer ohnehin verdächtigen Spam-mail doppelgeklickt habe, schlimm genug dass ich's getan habe....

Erstmal passierte nichts. Tage später wollte ich zu mcafee.com und landete auf einer Linkfarm. Verdächtig!

Also das System mit AVG und Spambot überprüft, nichts!! Kam mir trotzdem seltsam vor, hab mir AdAware runtergeladen, beim ersten Scan ging der Ärger los: AdAware findet einen verdächtigen Prozess, genau in dem Moment kommt etwas, was entfernt Dr.Watson ähnlich schaut, und dann bootet der Computer!!!
Uh, oh! Ich habs nicht geglaubt, aber die Wiederholung brachte die Gewissheit: kein Zufall!
Also rein in die Registry, gibts was verdächtiges in RUN bzw. RUNONCE, aber alles OK.
Jetzt stand ich ziemlich blöd da, weil ich auf KEINE Anti-Virus Homepage mehr gekommen bin, sowohl mit IE als Firefox (das biest hängt sich offenbar in die DNS Auflösung rein). Zum Glück habe ich es nach einigen vergeblichen Versuchen geschafft, in AdAware den Scan zu stoppen und den Quarantäne-button zu drücken, bevor das System gebootet hat. Das hat zwar nicht direkt was genützt, weil die Datei weder gelöscht wurde noch in Quaratäne gekommen ist, aber jetzt hatte ich wenigstens einen Log-Eintrag, welches die Datei war: %windir%\system32\directut.dll.
Ich hab die Datei umbenannt, gebootet und der Spuk war vorbei (keine Fehlermeldungen).

Danach hab ich die manuell die neuersten Virendefinitionen von AVG geladen, und siehe da, heute erkennt er wenigstens den Dropper, nicht aber die DLL selbst.

Ich schreib das zur Warnung: Verlaßt euch nicht auf eure AV-Programme!!!

Ich werd das System morgen neu aufsetzen, erstens weil's eh schon lange nötig war, und zweitens weil ich keine ruhige Minute mehr hätte, das elende Ding ist ganz offensichtlich ein rootkit und klaut gerüchteweise Bank-passwörter und TANs.


Trotzdem: hat jemand infos zu dieser Variante von Goldun, ich kann da nichts finden!

Nachtrag:

Vorneweg das interessanteste von HJT:

O20 - Winlogon Notify: directut - directut.dll

und hier das ganze log, das system läuft - verständlicherweise - OHNE eben dieser dll.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 02:46:02, on 11.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.utanet.at:8080;ftp=proxy.utanet.at:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - D:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - D:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Startup: Guess whats hidden beneath the toolbar.lnk = D:\Programme\Samurize\Client.exe
O4 - Startup: Launch K9.lnk = D:\Programme\K9\K9.exe
O4 - Startup: SyncronizeTime.lnk = C:\Programme\Neutron\Neutron.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LION Pro.lnk = D:\Programme\Lion Pro\lionPRO.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://www.4xem.com/downloads/cab/WPTZ/VatDec.cab
O16 - DPF: {62D6556A-808B-4322-A76F-B5DFF38D3DC5} (Control Media Class) - http://www.acti.com/software/NVCTRLMEDIA.dll
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://www.4xem.com/downloads/cab/WLPTG/h263ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{250FDFD4-B115-4152-A6C5-B6A33FCF483A}: NameServer = 195.96.0.4,195.70.224.45
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
=============================================================
O20 - Winlogon Notify: directut - directut.dll (file missing)
=============================================================
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - D:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe