|
Plagegeister aller Art und deren Bekmpfung: Ungewollte OrdnerflutWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwnschte Software zu deinstallieren bzw. zu lschen. Bitte schildere dein Problem so genau wie mglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.06.2006, 14:38 | #1 |
| Ungewollte Ordnerflut Kann jemand diese Ordnerflut hier erklren, lauter ungewollte Ordner, diese erstellen sich immer wieder neu und zwar im Bereich von Eigene Dateien, Programme, Windows, System32. Vor allem woher kommen Ordner wie Oracle oder Symantec? Habe absolut ZERO davon auf meinem System!!! |
02.06.2006, 17:18 | #2 |
/// Winkelfunktion /// TB-Sch-Tiger™ | Ungewollte Ordnerflut Poste ein Hijackthis-Logfile.
__________________
__________________ |
02.06.2006, 17:37 | #3 |
| Ungewollte Ordnerflut ogfile of HijackThis v1.99.1
__________________Scan saved at 18:30:10, on 03.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5346.0005) Running processes: C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\SpyBro\SpyBro.exe C:\Programme\ProcessGuard\dcsuserprot.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe c:\programme\AOL 9.0\waol.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Rkdetector2.exe C:\Programme\DAP\DAP.exe C:\RootkitRevealer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Tcpview.exe C:\WINDOWS\regedit.exe C:\Filemon.exe C:\Dokumente und Einstellungen\TEST\Eigene Dateien\My Completed Downloads\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148577407671 O17 - HKLM\System\CCS\Services\Tcpip\..\{541D5D69-DCE9-4099-9D41-3731C8E4B0FA}: NameServer = 192.168.0.1,192.168.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{5FDE094F-C102-474F-B08B-D475A2071297}: NameServer = 205.188.146.145 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: VKCD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\TEST\LOKALE~1\Temp\VKCD.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
02.06.2006, 17:46 | #4 |
/// Winkelfunktion /// TB-Sch-Tiger™ | Ungewollte Ordnerflut Da sind ein paar seltsame Eintrge drin. Wie ich sehe hast Du schon mal mit dem Rootkit Revealer gescannt. Hat der komische Eintrge angezeigt? Mach bitte einen Check mit eScan und poste das gefilterte Log, das Du mit der FIND.BAT erstellt hast.
__________________ Logfiles bitte immer in CODE-Tags posten |
02.06.2006, 18:10 | #5 |
| Ungewollte OrdnerflutDas ist komisch ?? anstatt Buchstaben, aber im Explorer werden Buchstaben angezeigt. EScan findet zero. RKRevealer zeigt das: HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 03.06.2006 19:11 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data. C: 01.01.1601 02:00 0 bytes Error mounting volume |
02.06.2006, 18:16 | #6 |
| Ungewollte Ordnerflut Hallo, sollte eine neue Variante von Purityscan sein. Du solltest dich schonmal mit dem Gedanken einer Neuinstallation abfinden. Es ist erstaunlich bis beunruhigend, dass man im HijackThis Log nichts sieht. Poste mal ein Log von Silentrunners. Findet F-Secure Blacklight bei dir etwas? Gre Wildone |
02.06.2006, 18:20 | #7 |
| Ungewollte Ordnerflut Naja vielleicht liegt es daran, da der Kernel im Laufenden System verndert wurde. Siehe hier: Hier liegt auch ein Problem, da ich schon lange vermutet habe: Die Hashwerte bleiben immer gleich nur die Buchstabenvariation ndert sich. 16 KB Temp Datei Kurzer Ausschnitt des Inhalts der Temp Datei, die sich nicht lschen lt: ** ™™f™™–––BBB 33™UUU333™™™999††† MMM999 ** ӽδȪƧE*"*VAd9E9?/7"6 :‹?"237.f.œ.1*-/,/”$v $W™‡ 鶢”ӿӽδȫf) jv %J 'Z9'>4;Š 8d O0;_9`)•$*Ž MP› 谝ŽԾεr y‘)* 2J †$t• o” % •…Կš„ -d7=(9s * ˜†{{l$‰# IyUw>M>H7@0:19Z Ÿzš>t ˜†ǣšg#90p—AsByGlH`GWDKAE;>6w œ>Pb Im Suchmodus mit Google habe ich eine tschechiche Seite entdeckt. Nein Blacklight findet nichts. Gendert von SystemPro (02.06.2006 um 18:28 Uhr) |
02.06.2006, 18:29 | #8 |
| Ungewollte Ordnerflut Hallo, da ist sehr wahrscheinlich ein ganz neues (Kernel)Rootkit bei der Arbeit. Damit sollte das Schicksaal deines Systems endgltig besiegelt sein. Trotzdem wre es interessant ob Blacklight etwas findet. Sieht wirklich nach ordentlich fieser Malware aus. Edit Wenn Blacklight auch nichts findet bin ich da eigentlich mit meinem Latein schon am Ende. Aber wie gesagt die Konsequenz (Neuaufsetzen)sollte klar sein. Ev. wrde das ganze Sabina von board.protcus noch sehr interessant finden, und dir ev. auch noch mehr ber die Malware sagen knnen. Gre Wildone |
02.06.2006, 18:40 | #9 |
| Ungewollte Ordnerflut Ja, habe mir gedacht, da da was ganz Neues am Werk ist, das Fiese an der Sache ist, da der Kerneldriver im Temp Verzeichnis sitzt und sich immer wieder neu generiert. Der Kernelhook bei 7c8000000 knnte u.a durch eine sogenannte mc21.tmp Datei im temporren Verzeichnis erzeugt werden, diese ist bei Adresse F7A8B000, diese ist aber so nicht sichtbar. Nebenbei wird auch die user32.dll durch ieframe.dll gehooked. Noch eine Frage Wildone, wie kamst du darauf, da es eine Variante von diesem sog. (mir unbekannten) Purityscan sein knnte? Gendert von SystemPro (02.06.2006 um 18:48 Uhr) |
02.06.2006, 18:50 | #10 |
| Ungewollte Ordnerflut Hallo, das ist der einzige mir bekannte Trojaner der mit diesen "Fragezeichen" arbeitet, die im Explorer als normale Zeichen zu sehen sind. Siehe Beschreibung von Sabina (ein wenig nach unten scrawlen). Kann aber natrlich sein das mittlerweile auch andere Malware mit dieser Technik arbeitet, aber die Ordnernamen usw. lassen schon auf eine Artverwandschaft schlieen. Falls du noch einen Thread bei board.protecus erffnest kannst du mal den Link posten, wrde mich schon interessieren was Sabina dazu meint. Gre Wildone |
02.06.2006, 18:54 | #11 |
| Ungewollte Ordnerflut Alles klar! Danke fr die Info. Nebenbei bemerkt Spybro.exe bezeichnet einen Haufen legitimer Dateien, darunter auch AOL, GDATA Avk Signaturdateien, also im Prinzip auch alle Dateien unter Microsoft Shared/System, Ole. uvm., im gemeinsamen Dateien Ordner als CLARIA GAIN Adware, das kann ja aber gar nicht stimmen, da es ja die legitimen Dateien von den oben genannten Programmen sind. Es sind ca. 1100 legitime Dateien, die von Spybro.exe als CLARIA GAIN bezeichnet werden. Vielleicht ein Datei-Infektor??? |
02.06.2006, 18:58 | #12 |
| Ungewollte Ordnerflut Hallo, glaube ich nicht. Erfahrungsgem werden auch neue Ordner unter diesem Pfad erzeugt, kann aber auch einfach sein das sich Spybro tuscht, ich bin mir der Serisitt dieses Programms sowieso nicht besonders sicher. Falls es dich noch interessiert kannst du es mal z.B. mit Ewido besttigen lassen. Gre Wildone |
02.06.2006, 19:11 | #13 |
| Ungewollte Ordnerflut Ewido findet bei mir eigentlich nie was, es kommt ja nahe an Kaspersky ran von der Leistung, aber auch KAV findet nichts. Am besten sind zur Zeit eh Bit Defender und NOD32. Beim Rescan jetzt hat Spybro nichts mehr gefunden, allerdings bei System Start bezeichnet es immer z.B. die Signaturdateien von GDATA als Claria.Gain Adware. |
02.06.2006, 19:14 | #14 |
| Ungewollte Ordnerflut Hallo, sollte zwar nicht passieren, aber kommt schonmal vor, dass sich Malwarescanner gegenseitig als Trojaner bezeichnen. Gre Wildone |
02.06.2006, 19:20 | #15 | |
| Ungewollte OrdnerflutZitat:
THN
__________________ Wer auf den Kopf geht, hat den Himmel als Abgrund. |
Themen zu Ungewollte Ordnerflut |
absolut, bereich, dateien, eigene dateien, erklren, immer wieder, lauter, neu, symantec, system, ungewollte, windows |