Virus wird von nichts erkannt !!!

billted · 06.01.2007, 10:55

So nun ist es mir also auch passiert. Ich habe mir wohl auch einen eckelhaften Schädling eingefangen. Ich bekam eine Datei die einen MP3 Player in Form einer Jukebox sein sollte. Nach dem entpacken der Datei startete ich diese doch nichts geschah außer das ein Dateiauswahlfenster erschien. Hab es geschlossen und mich nicht weiter darum gekümmert
Ca 10min später meckert McAfee das ein Dienst die Firewall abgeschaltet hat und ob diese neu gestartet werden soll. Neustart misslang und nach einem Neustart des System funktionierte McAffe gar nicht mehr. Ein Onlinescan bei Bitdefender brachte nichts.
Antivir wird in der Installation abgebrochen ebenso Zonealarm und Spaybot. Bei Zonalarm kann man wenn man die Installationsdateien entpackt sehen wie nach dem entpacken plötzlich Dateien aus dem Verzeichnis verschwinden z. B. Vmon.exe. Da Mein System Win2000 eh schon ca. 4 Jahre läuft nehme ich dies zum Anlass es neu zu installieren. (Hatte eh schon auf einer anderen Platte angefangen) Was mich jedoch sehr gewundert hat war das keine Sicherheitseinrichtung angeschlagen hat. Mich würde sehr interessieren was das war. Ich poste mal das Log von HijackThis und wer möchte kann gerne die fragliche Datei mal haben.
Gepackt ca. 700kb

Gruß
Ted

Logfile of HijackThis v1.99.1
Scan saved at 21:56:25, on 05.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\SMSC\SetIcon.exe
C:\WINNT\system32\UMonit2K.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\vsnpstd3.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\klaus\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Cole2k Media Toolbar Helper - {08825191-C3C7-44e9-8CA6-07AB521FA8F2} - C:\Programme\Cole2k Media Toolbar\v2.0.0.2\Cole2k_Media_Toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Cole2k Media Toolbar - {015407A9-D183-4379-8452-DFD7C2297902} - C:\Programme\Cole2k Media Toolbar\v2.0.0.2\Cole2k_Media_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SetIcon] C:\Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\UMonit2K.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINNT\vsnpstd3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143875390312
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF2170DA-15A4-4DCD-BD83-7E78607ECC58}: NameServer = 192.168.0.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

billted · 06.01.2007, 12:50

Zitat:

Zitat von billted

So nun ist es mir also auch passiert. Ich habe mir wohl auch einen eckelhaften Schädling eingefangen. Ich bekam eine Datei die einen MP3 Player in Form einer Jukebox sein sollte. Nach dem entpacken der Datei startete ich diese doch nichts geschah außer das ein Dateiauswahlfenster erschien. Hab es geschlossen und mich nicht weiter darum gekümmert
Ca 10min später meckert McAfee das ein Dienst die Firewall abgeschaltet hat und ob diese neu gestartet werden soll. Neustart misslang und nach einem Neustart des System funktionierte McAffe gar nicht mehr. Ein Onlinescan bei Bitdefender brachte nichts.
Antivir wird in der Installation abgebrochen ebenso Zonealarm und Spaybot. Bei Zonalarm kann man wenn man die Installationsdateien entpackt sehen wie nach dem entpacken plötzlich Dateien aus dem Verzeichnis verschwinden z. B. Vmon.exe. Da Mein System Win2000 eh schon ca. 4 Jahre läuft nehme ich dies zum Anlass es neu zu installieren. (Hatte eh schon auf einer anderen Platte angefangen) Was mich jedoch sehr gewundert hat war das keine Sicherheitseinrichtung angeschlagen hat. Mich würde sehr interessieren was das war. Ich poste mal das Log von HijackThis und wer möchte kann gerne die fragliche Datei mal haben.
Gepackt ca. 700kb

Gruß
Ted

Logfile of HijackThis v1.99.1
Scan saved at 21:56:25, on 05.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\SMSC\SetIcon.exe
C:\WINNT\system32\UMonit2K.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\vsnpstd3.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\klaus\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Cole2k Media Toolbar Helper - {08825191-C3C7-44e9-8CA6-07AB521FA8F2} - C:\Programme\Cole2k Media Toolbar\v2.0.0.2\Cole2k_Media_Toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Cole2k Media Toolbar - {015407A9-D183-4379-8452-DFD7C2297902} - C:\Programme\Cole2k Media Toolbar\v2.0.0.2\Cole2k_Media_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SetIcon] C:\Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\UMonit2K.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINNT\vsnpstd3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143875390312
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF2170DA-15A4-4DCD-BD83-7E78607ECC58}: NameServer = 192.168.0.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{06326212-F727-4B32-8534-E5D78EB453A8}: NameServer = 192.168.0.200
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Ich hoffe das kommt nicht doppelt da ich keinen Button zum editieren gefunden habe. Falls doch bitte den ersten Beitrag löschen, und ne kurze info wo ich meinen eigenen Beitrag editieren kann.
So nun noch das Log von Virus Total

Antivirus Version Update Result
AntiVir 7.3.0.21 01.05.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.05.2007 no virus found
BitDefender 7.2 01.06.2007 no virus found
CAT-QuickHeal 9.00 01.05.2007 no virus found
ClamAV devel-20060426 01.06.2007 no virus found
DrWeb 4.33 01.06.2007 Win32.HLLM.Beagle
eSafe 7.0.14.0 01.05.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.05.2007 no virus found
Fortinet 2.82.0.0 01.06.2007 no virus found
F-Prot 3.16f 01.05.2007 security risk named W32/Mitglieder.VJ
F-Prot4 4.2.1.29 01.05.2007 W32/Mitglieder.VJ
Ikarus T3.1.0.27 01.06.2007 no virus found
Kaspersky 4.0.2.24 01.06.2007 no virus found
McAfee 4933 01.05.2007 no virus found
Microsoft 1.1904 01.06.2007 no virus found
NOD32v2 1959 01.05.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.05.2007 no virus found
Prevx1 V2 01.06.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
TheHacker 6.0.3.143 01.05.2007 no virus found
UNA 1.83 01.04.2007 no virus found
VBA32 3.11.1 01.06.2007 no virus found

dani2112 · 06.01.2007, 17:32

Schick die Datei mal zur analyse an Antivir oder/und Kaspersky.
Und natürlich system auf jeden fall neu aufsetzen da das ja ein ganz aggressiver Bursche ist. Ich denke da hat der Versuch die Einträge zu fixen keinen Sinn mehr.

**Sunny** · 06.01.2007, 18:57

Zitat:

Zitat von dani2112

Schick die Datei mal zur analyse an Antivir oder/und Kaspersky.

Die Datei wird automatisch, sofern sie bei Virustotal ausgewertet wurde an die Herrsteller geleitet.

Zitat:

Ich denke da hat der Versuch die Einträge zu fixen keinen Sinn mehr.

Gibt ja auch in dem Log nichts mehr zu fixen, abgesehen von den regulären Einträgen.

@billted

Welche Datei hast du denn bei Virustotal auswerten lassen? Aus dem Log kann ich keinen Schädling entdecken?!

Überprüfe dein System mal mit eScan sowie F-Secure Blacklight.

Poste anschliessend die Ergebnisse.

Gruß

Sunny

billted · 07.01.2007, 00:17

anbei die gewünschten Logs . Das infizierte System ist auf einer Wechselplatte die ich nur noch alleine und ohne Netzwerk starte. das Programm sollte Silverjuke sein, jedoch scheint dies eine Fakedatei zu sein, da das Orginal Programm viermal so groß ist. Die Datei lässt sich auf dem infizierten system nicht mehr starten. Warum auch hat ihr Werk ja schon volbracht. Der Virus läuft immer noch im Hintergrund. Mich wundert das er sich so gut tarnt, und das z.B. Mcafee noch nicht mal was merkt. Das Verhalten ist dem Beagle sehr ähnlich jedoch viel besser verschleiert.

Virus wird von nichts erkannt !!!-neues-bild.jpg

01/06/07 23:05:25 [Info]: BlackLight Engine 1.0.55 initialized
01/06/07 23:05:25 [Info]: OS: 5.0 build 2195 (Service Pack 4)
01/06/07 23:05:25 [Note]: 7019 4
01/06/07 23:05:25 [Note]: 7005 0
01/06/07 23:05:27 [Note]: 7006 0
01/06/07 23:05:27 [Note]: 7011 1216
01/06/07 23:05:28 [Note]: 7026 0
01/06/07 23:05:28 [Note]: 7026 0
01/06/07 23:05:28 [Note]: 7024 3
01/06/07 23:05:28 [Info]: Hidden process: C:\WINNT\system32\hldrrr.exe
01/06/07 23:05:31 [Note]: FSRAW library version 1.7.1021
01/06/07 23:05:32 [Info]: Hidden file: c:\Dokumente und Einstellungen\klaus\Anwendungsdaten\hidires\hidr.exe
01/06/07 23:05:32 [Note]: 10002 2
01/06/07 23:05:32 [Info]: Hidden file: c:\Dokumente und Einstellungen\klaus\Anwendungsdaten\hidires\m_hook.sys
01/06/07 23:05:32 [Note]: 10002 2
01/06/07 23:05:33 [Note]: 10002 3
01/06/07 23:05:33 [Note]: 10002 3
01/06/07 23:05:33 [Note]: 10002 2
01/06/07 23:05:33 [Note]: 10002 2
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\cleanup.ini
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\dunzip32.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcappins.exe
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcappins.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mccomctl.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mccomctl.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcinsres.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mghtml.exe
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mghtml.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Note]: 10002 2
01/06/07 23:06:38 [Note]: 10002 2
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 2
01/06/07 23:06:39 [Note]: 10002 2
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\01.05.0000.1009\de\marketstrings.cab
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\01.05.0000.1009\de\mkttools.dll
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\unicows.dll
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Note]: 10002 2
01/06/07 23:06:44 [Note]: 10002 2
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 2
01/06/07 23:07:21 [Note]: 10002 2
01/06/07 23:09:01 [Info]: Hidden file: C:\WINNT\system32\hldrrr.exe
01/06/07 23:09:01 [Note]: 10002 2
01/06/07 23:09:41 [Note]: 2000 1012
01/06/07 23:38:48 [Note]: 7007 0

Gruß

Ted

**Sunny** · 07.01.2007, 00:22

Hierbei geht es mehr als um einen Virus!

Es geht in deinem Fall um ein Rootkit was in deinem System installiert ist!
Deshalb erkennt auch kein AV-Scanner diesen Einbruch!

Zitat:

Dieses wird nach einem Einbruch in ein Computersystem auf dem kompromittierten System installiert, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.

Zusätzlich wurden mehrere BackdoorTrojaner (welche wahrscheinlich die Ursache für den Einbruch waren!) gefunden.

Ich kann dir nur schleunigst raten das System vom Internet zu trennen und eine Neuinstallation in Angriff zu nehmen!
Ändere danach auch alle Passwörter und Einstellungen...
Das ist die einzigste und sicherste Möglichkeit dein System zu breinigen!

Eine andere Möglichkeit ist ausgeschlossen.

Gruß
Sunny

billted · 07.01.2007, 11:51

Wie ich schon sagte arbeite ich schon mit einer Neuinstallation.
Das System war nach dem abschalten der Firewall nur für einen Onlinescann online.
Zwischen Rechner und Internet ist noch ein Router mit Firewall.
Woran hast du erkannt das dies ein Rootkit ist und nun muss ich auch gleich fragen wie schützt man sich davor?. Da ich die verseuchte Platte ja noch nicht formatiert habe könnte ich ja noch ein paar Tests machen um herauszufinden was das ist. Nur womit, will jetzt nicht einfach jeden Scanner downloaden, brennen, Platte wechseln und anschliesend installieren.

Gruß Ted

**Sunny** · 07.01.2007, 12:00

Wie du dir den Schädling eingefangen hast kann ich dir auch nicht sagen.
Vielleicht durch schon infizierte Dateien oder Programm die du nachträglich installiert hast?!

Ich zeige dir was alles in deinem System sitzt:

W32/Bagle-KJ
W32.Beagle.DZ.
Trojan.Tooso.R

Dein McAfee sollte auch infiziert sein, so sagt es zumindest Blacklight.

Gruß
Sunny

billted · 07.01.2007, 12:45

Habe gerade mein Neues System gescannt (Log ist unten ). Da fast Zeitgleich nach dem öffnen der Besagten Datei die Firewall runtergefahren ist glaube ich schon das dies von doert kommt. Der Onlinescan bei Dr. Web und Co. bestätigen dies ja auch und wenn man unter Beagle nachliest kommt ja genau das was das System macht. Da ich aber noch einen Rechner habe (den meiner Freundin 3 * im jahr online ) vertraue ich dem nicht mehr. Für mich war eine Firewall ein Scanner und die Firewall des Routers eigentlich sicher genug. War wohl ein Irrtum (klopf auf die Finger und schreibe 100mal „du sollst keine Fremden Dateien öffnen“)
Als das Log von HijackThis auch nix zeigte war ich immer noch der Meinung nichts eingefangen zu haben. Wuste zwar das dies nicht stimmt jedoch hatte ich keine Ahnung mehr.
Wie hast du anhand des Scans von Blacklight erkannt was los ist. Kann man so etwas nachlesen oder FAQ oder oder.

Möchte mich schon jetzt mal für die herzliche und kompetente Hilfe bedanken die ich hier bekomme. Einfach super. Nochmals Dank.

01/07/07 12:23:06 [Info]: BlackLight Engine 1.0.55 initialized
01/07/07 12:23:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/07/07 12:23:07 [Note]: 7019 4
01/07/07 12:23:07 [Note]: 7005 0
01/07/07 12:23:11 [Note]: 7006 0
01/07/07 12:23:11 [Note]: 7011 3084
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:22 [Note]: FSRAW library version 1.7.1021
01/07/07 12:27:41 [Note]: 2000 1012

**Sunny** · 07.01.2007, 13:08

Zitat:

Zitat von billted

Für mich war eine Firewall ein Scanner und die Firewall des Routers eigentlich sicher genug.

Jede Absicherung durch Software oder auch Hardware ist immer nur so gut, wie der, der sie bedient.

Keine Fireall und kein AV-Scanner schützen dich unentwegt, wenn du dir selbst schädlichen Code auf den Rechner lädst.
(z.B. durch Filesharing, Besuch von Cracksites oder nicht installierten Updates deines Betriebssystems etc.)

Zusätlichz kann ich dir das empfehlen -> Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

Da sind noch mehr Sachen abzuarbeiten welche dein System zusätzlich absichern!

Zitat:

War wohl ein Irrtum (klopf auf die Finger und schreibe 100mal „du sollst keine Fremden Dateien öffnen“)

Zitat:

Wie hast du anhand des Scans von Blacklight erkannt was los ist. Kann man so etwas nachlesen oder FAQ oder oder.

Nachlesen nicht unbedingt, es ist halt einfach die Erfahrung die ich mit Rootkits gemacht habe.
Und der Scan sowie die Auswertung von Blacklight ist nur ein kleiner Teil, der diese untermauert.

so sollte das Ergebnis immer aussehen:

Zitat:

01/07/07 12:23:06 [Info]: BlackLight Engine 1.0.55 initialized
01/07/07 12:23:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/07/07 12:23:07 [Note]: 7019 4
01/07/07 12:23:07 [Note]: 7005 0
01/07/07 12:23:11 [Note]: 7006 0
01/07/07 12:23:11 [Note]: 7011 3084
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:22 [Note]: FSRAW library version 1.7.1021
01/07/07 12:27:41 [Note]: 2000 1012

Zitat:

Möchte mich schon jetzt mal für die herzliche und kompetente Hilfe bedanken die ich hier bekomme. Einfach super. Nochmals Dank.

Bitteschön

Virus wird von nichts erkannt !!!

Log-Analyse und Auswertung: Virus wird von nichts erkannt !!!