Hallo Leute,

hatte mir auf meinem Rechner angeblich den "Win32.myzor.fk@yf" eingefangen.
Beim Aufruf des IE wurde ich direkt auf die Seite h**p://www.sysnetsecurity.com/ verlinkt. Hab in Eurem Forum die Anleitung zum Beseitigen mit SmitFraudFix befolgt und konnte den Schädling wohl auch erfolgreich entfernen. Jedenfalls wird jetzt die Startseite wieder angezeigt. Da aber davor auch mal noch eine Meldung mit "Win32.Mt.Rs" im IE hochkam wollte ich nun mal das HighJackThis Logfile auswerten lassen. Das SmitFraudFix Log hänge ich ebenfalls noch mit an. Abschließend hatte ich noch Antivir, Stinger, Spybot und den Online Scan von h**p://www.ewido.net/de/ drüber laufen lassen und noch das ein oder andere entfernt.
Ist noch irgendwas anhand der Logfiles erkennbar, das nicht ok ist.
Ich weis SP2 für Windows WP muss ich noch einspielen und werde auch zukünftig lieber den Firefox als IE verwenden.

Hoffe ich hab Eure 7 goldenen Regeln eingehalten und bekomme eine Antwort.

Vielen Dank vorab.

Gruß
Mirac

SmitFraudFix v2.67

Scan done at 18:26:19,95, 05.07.2006
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:50:13, on 05.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab]
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

fixe noch:

Zitat:

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

Zitat:

O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)

Das sollte es dann gewesen sein. Kannst ja noch mal mit escan prüfen. Sollte escan fündig werden, poste das log. Anleitung und link hierzu findest du bei den faq, Achtung: es gibt zwei Versionen, nutze die neuere.

Gruß

PS: installiere auch alle Post-SP2 updates

Hallo,
wenn dieser Remote Admin nicht selbst installiert wurde, würde ich mir Gedanken machen.
Und bloses fixen reicht dann sowieso nicht aus, den Ordner
C:\Programme\Safety Bar muss man auch löschen.

Antwort von Mirac abwarten.

Gruß

Schrulli

Danke für den Hinweis, so schnell kann man Mist erzählen... Ich dachte, die Sache mit Safety Bar hätte sich durch Smitfraudfix erledigt. Daher mal ne Verständnisfrage: Wenn HijackThis den Eintrag

Zitat:

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

anzeigt, heißt das, dass die Datei auch vorhanden ist, weil der Zusatz (file missing) fehlt?

Gruß

Hallo,

dem "file missing" Bug bin ich selber schon mal aufgesessen, daher immer noch mal nach der Datei suchen und ggf. mit Killbox löschen lassen.
HJT gibt typischerweise bei den O23 Einträgen ein file missing bei nicht M$ Prozessen aus, warum??

Gruß

Schrulli

Hallo,
@ordell

Zitat:

anzeigt, heißt das, dass die Datei auch vorhanden ist, weil der Zusatz (file missing) fehlt?

Fangfrage,oder ?
Eigentlich beantwortet sich doch diese Frage von selbst,oder ?
Mal ausgenommen,eventueller Bug`s..........

@Mirac
Was ist damit,kennst du das ?

Zitat:

C:\Programme\SentinelSuperProServer\spnsrvnt.exe

Irrlicht

Hallo Zusammen,

hatte auch das Problem. Durch Smitfraudfix konnte ich das Problem sehr gut lösen. Vielen Dank für den Tip !

Ich bin sehr verärgert über diese Spams. Würde am liebsten strafrechtlich gegen solche Leute vorgehen. Aber ich habe mal gehört, daß es wohl sehr schwierig sein soll, weil sich diese "liebenswerten" Mitmenschen der deutschen Jusitiz entziehen und nur aus dem Ausland fungieren, wo wohl so etwas nicht strafbar sein soll. Da ich selbst Jurist bin, hätte ich große Lust solchen "Leuten" an den "Kragen" zu gehen.

Also ciao, vielen Dank nochmal, Jimmy

Hallo,
diesen Leuten kannst du nicht so ohne weiteres an den Kragen gehen, es ist ziemlich wahrscheinlich das sie mit der russischen Unterwelt zusammen arbeiten und somit quasi nicht zu fassen sind. Sind wahrscheinlich übrigens die selben, die auch die wmf Lücke per Exploit als erste ausgenutzt haben (iframecash gang).


Grüße Wildone

Zitat:

Zitat von ordell1234

fixe noch:

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)

PS: installiere auch alle Post-SP2 updates

Also Safety Bar.dll hab ich gefixed.
PLSRemote.exe ist eh nicht mehr vorhanden gewesen.

Zitat:

Zitat von irrlicht

Hallo,
@ordell

Was ist damit,kennst du das ?
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
Irrlicht

Nein, sagt mir nichts, nach diversen Berichten in anderen Foren, sollte das aber nichts kritisches sein. Da gehen die Meinungen auseinander.

Hoffe das war´s.

@ordell
Was sind Post-SP2 Updates?

Anbei nochmal das letzte HighJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:18:26, on 10.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\temp\u3spwd.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

Hallo Mirac,

Zitat:

Was sind Post-SP2 Updates?

Alle nachfolgenden Update`s nach Service Pack 2.
Aber du hast ja noch immer

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Da wirst du in ,geschätzt ,einer Woche wieder da sein
Die hier war in deinem alten Log nicht vorhanden :

Zitat:

C:\WINDOWS\temp\u3spwd.exe

Prüfung bei Virustotal ?

Zitat:

PLSRemote.exe ist eh nicht mehr vorhanden gewesen.

Sicher ?
Dateien sichtbar gemacht ? Richtig gesucht ?
Nur weil HJT ein "file missing" ausgibt ? Könnte auch ein Bug sein,wäre nicht das erste Mal,speziell bei Nichtmicrosoft-Diensten.

Zitat:

C:\Programme\SentinelSuperProServer\spnsrvnt.exe

das kannst du nicht zuordnen ? Auch nicht unter "Eigenschaften" was zu erkennen ? Also Programme die ich nicht kenne und nicht zuordnen kann und in denen von Server die Rede ist,und die einem "unknown owner" haben.....
Prüfung bei Virustotal ?
Irrlicht

Zitat:

Zitat von irrlicht

Hallo Mirac,

Aber du hast ja noch immer SP1

Irrlicht

Ich weis. Aber ich will erst eine vernünftige Sicherung haben, bevor ich
SP2 einspiele.

Den Rest prüfe ich noch und poste dann nochmal das Log.
Vielen Dank vorab.

Gruß,
Mirac