Hallo, Wie es ausssieht habe ich mir trotz aller Vorsicht etwas eingefangen.

Folgendes ist passiert:
Der PC lief und ich war einige Stunden weg. Als ich zurück kam war der PC neu gestartet.

Als nächstes meldete meine Hardware-Firewall folgendes immer wieder:

[Firewall] 2007/03/09 16:46:53,920
Paket matched rule BLOCK
DstIP: 85.255.112.16, SrcIP: 192.168.0.110 TOS: ----
Prot.: ICMP (1) port unreachable
embeded IP header:
DstIP: 192.168.0.110, SrcIP: 85.255.112.16 TOS: ----
Prot.: UDP (17) DstPort: 2027, SrcPort: 53

send email to administrator
packet dropped


[Firewall] 2007/03/09 16:55:37,790
Paket matched rule BLOCK
DstIP: 85.255.114.53, SrcIP: 192.168.0.110 TOS: ----
Prot.: ICMP (1) port unreachable
embeded IP header:
DstIP: 192.168.0.110, SrcIP: 85.255.114.53 TOS: ----
Prot.: UDP (17) DstPort: 2029, SrcPort: 53

send email to administrator
packet dropped


Ich kontrollierte meine Netzwerkeinstellungen.
Diese waren tatsächlich geändert worden!
Es war nicht mehr die Router-Adresse eingetragen, sondern 85.255.114.53 und 85.255.112.16.
Hab ich wieder richtig eingestellt und die FW-Medlungen kommen nicht mehr.


Allerdings bin ich erstaunt wie dies pasieren kann. Desweiteren bin ich mir auch noch unsicher ob mein system sauber ist.

An dieser Stelle villeicht ein paar Daten zum System:
OS: MS Windows 2000 Prof. (inkl. akt. Updtaes), vor ca. 3 Wochen neu installiert
Virenscanner: McAfee VirusScan Enterprise 8.0.0 inkl akt. Updates und höchster Sicherheitsstufe.

Daher habe ich einmal nach Rottkits gesucht.
Hierbei wird die versteckte Datei kdxhr.exe gefunden!?

Wer kann mehr dazu sagen google findet hierzu nichts. Allerdings scheinen die geänderten DNS-IPs öffters aufzutauchen


Grüsse
Oskar

Hallo

Mach bitte alle versteckten Datein und Ordner sichtbar und erstelle ein HijackThis log --> HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.
lade dir auch (wenn nicht schon geschehen) Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).
Du hast dir wie es aussieht eine Umleitung über die Ukraine eingefangen.

MFG

Hallo, vielen Dank für die schnelle Antowrt!

Hier das logfile:
Logfile of HijackThis v1.99.1
Scan saved at 08:25:04, on 10.03.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Symantec\Norton Commander\NC.EXE
C:\DL\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [FscHMCfg] C:\Programme\Fujitsu Siemens Computers\DeskView\Common\FscHMCfg.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171975525843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171981484468
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - hxxp://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DvcCfg - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\DeskView\Common\DvcCfg.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Wie ich sehe sind noch die Ukraine DNS-Einträge vorhanden!?

Was hat das ganze ausgelöst, und wie ist das sicherheitstechnisch zu bewerten?

Gruß
Oskar

Nachtrag blacklight log:

03/10/07 07:12:30 [Info]: BlackLight Engine 1.0.55 initialized
03/10/07 07:12:30 [Info]: OS: 5.0 build 2195 (Service Pack 4)
03/10/07 07:12:30 [Note]: 7019 4
03/10/07 07:12:30 [Note]: 7005 0
03/10/07 07:12:34 [Note]: 7006 0
03/10/07 07:12:34 [Note]: 7011 1416
03/10/07 07:12:34 [Note]: 7026 0
03/10/07 07:12:34 [Note]: 7026 0
03/10/07 07:12:38 [Note]: FSRAW library version 1.7.1021
03/10/07 07:16:42 [Info]: Hidden file: c:\WINNT\system32\kdxhr.exe
03/10/07 07:16:42 [Note]: 7002 32
03/10/07 07:16:42 [Note]: 7003 1
03/10/07 07:16:42 [Note]: 10002 1
03/10/07 08:23:56 [Note]: 7007 0

Hallo

lass die c:\WINNT\system32\kdxhr.exe
bitte mal hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Hallo,

vielleicht eine etwas dumme Frage, aber wie komme ich an die Datei ran, wenn diese per rootkit versteckt wurde!?
Im Explorer und per attrib-Befehl ist nichts sichtbar.

Desweiteren habe ich festgestellt, daß die Datei in der Registry eingetragen ist:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdxhr.exe"


Gruss
Oskar

Hallo

entschuldige mir ist es erst eingefallen wie ich schon unterwegs war das du die Datei nicht sehen kannst.
Starte bitte Blacklight und benutze die Funktion zum Umbenennen der Datei, dann wirst du sie finden können und kannst sie auch auswerten lassen.

MFG

Hallo,

hier das Ergebnis:
Complete scanning result of "kdxhr.exe", received in VirusTotal at 03.10.2007, 15:13:48 (CET).

AntiVir 7.3.1.41 03.09.2007 TR/Dldr.DNSChanger.Gen
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 Win32NSChanger-BA
AVG 7.5.0.447 03.09.2007 no virus found
BitDefender 7.2 03.10.2007 Trojan.DNSChanger.AO
CAT-QuickHeal 9.00 03.10.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.10.2007 no virus found
DrWeb 4.33 03.10.2007 Trojan.DnsChange
eSafe 7.0.14.0 03.08.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.10.2007 no virus found
FileAdvisor 1 03.10.2007 no virus found
Fortinet 2.85.0.0 03.10.2007 suspicious
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.09.2007 no virus found
Ikarus T3.1.1.3 03.10.2007 Trojan.Win32.DNSChanger.hg
Kaspersky 4.0.2.24 03.10.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.10.2007 no virus found
NOD32v2 2106 03.10.2007 Win32/Small.FB
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 Trj/Downloader.NCP
Prevx1 V2 03.10.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 VIPRE.Suspicious
Symantec 10 03.10.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.09.2007 no virus found
VBA32 3.11.2 03.10.2007 Trojan.DnsChange
VirusBuster 4.3.19:9 03.09.2007 Trojan.DNSChanger.MU


File size: 63436 bytes
MD5: cc475277f1685e99f94c801f79064ee1
SHA1: 2a7333083790e3894e3c72aa22ff34a7f5ff7c3e
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


weiterhin habe ich noch verdächtige Einträge im Virenscanner Protokoll entdeckt:
09.03.2007 16:02:05 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM RZUETZW.exe C:\ADMIN\INSTALLIERT\SOFTWARE\DESKFLASH\FSC_1007774.zip\HAPOFFA.EXE.2D646C04_E0A1_467A_AA1B_E2D0A70B9D58 (Virus)
09.03.2007 16:02:10 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM RZUETZW.exe C:\ADMIN\INSTALLIERT\SOFTWARE\EBAY_JAVA_SDK\eBaySDKJava_v1.1.2_b030805.exe\ZEROGC2.CLASS (Virus)
09.03.2007 16:02:20 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM RZUETZW.exe C:\ADMIN\INSTALLIERT\SOFTWARE\JAVA JDK INKL NETBEANS\jdk-1_5_0_11-nb-5_5-win-ml.exe\CONSOLEUICOMPONENT.CLASS (Virus)
09.03.2007 16:02:30 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM RZUETZW.exe C:\ADMIN\INSTALLIERT\SOFTWARE\NERO 6 UPDATES\Nero-6.6.1.4_no_yt.exe\IMAGX7.DLL (Virus)
09.03.2007 16:02:39 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM RZUETZW.exe C:\ADMIN\INSTALLIERT\SOFTWARE\NERO 6 UPDATES\NVE-3.1.0.25_no_yt.exe\CDR50S.DLL (Virus)

10.03.2007 07:00:15 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM GWXMDNXUXU.exe C:\ADMIN\INSTALLIERT\SOFTWARE\DESKFLASH\FSC_1007774.zip\DESKVIEWCLIENT.SYSTEMDATA_1. (Virus)
10.03.2007 07:00:20 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM GWXMDNXUXU.exe C:\ADMIN\INSTALLIERT\SOFTWARE\EBAY_JAVA_SDK\eBaySDKJava_v1.1.2_b030805.exe\MACCLASSICFILEINFOWRITER.CLASS (Virus)
10.03.2007 07:00:30 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM GWXMDNXUXU.exe C:\ADMIN\INSTALLIERT\SOFTWARE\JAVA JDK INKL NETBEANS\jdk-1_5_0_11-nb-5_5-win-ml.exe\QBASE.CLASS (Virus)
10.03.2007 07:00:40 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM GWXMDNXUXU.exe C:\ADMIN\INSTALLIERT\SOFTWARE\NERO 6 UPDATES\Nero-6.6.1.4_no_yt.exe\LAME_ENC.DLL (Virus)
10.03.2007 07:00:49 Nicht gescannt (Zeitüberschreitung) NT-AUTORITÄT\SYSTEM GWXMDNXUXU.exe C:\ADMIN\INSTALLIERT\SOFTWARE\NERO 6 UPDATES\NVE-3.1.0.25_no_yt.exe\CDR50S.DLL (Virus)


Was ist nun zu tun? Kann ich davon ausgehen daß das System jetzt wieder OK ist?
und wie kann man sich gegen sowas schützen? reicht z.B. ein Konto ohne Admin-Rechte?


Vielen Dank
Oskar

Hallo.

Das System ist sehr stark vermüllt, aber versuchen wir es mal zu bereinigen.

Arbeite das hier ab:

DNS-Einträge entfernen:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
c:\WINNT\system32\kdxhr.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Registrierung durchsuchen:

-Erstell dir einen neuen Ordner in -> C.\Programme\Regsrch
-lade dir Regserch.zip in den vorher erstellten Ordner herunter
-entpacke das Programm auch in diesem Ordner
-starte das Tool -> Doppelklick auf „regsrch.vbs“ und suche nun nach folgendem Namen:

Zitat:

kdxhr

-wenn etwas gefunden wurde, wird am Ende ein Editorfenster geöffnet,
poste den Inhalt des Textfiles ab und füge ihn in einen Beitrag ein.
(wurde nichts gefunden, bitte auch erwähnen!)

Gruß
Sunny

So, hier das Ergebins der Aktion:

fixwareout:
Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdxhr.exe"

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
h**p://www.virustotal.com/flash/index_en.html
Or h**p://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FscHMCfg"="C:\\Programme\\Fujitsu Siemens Computers\\DeskView\\Common\\FscHMCfg.exe"
"ShStatEXE"="\"C:\\Programme\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Programme\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"Network Associates Error Reporting Service"="\"C:\\Programme\\Gemeinsame Dateien\\Network Associates\\TalkBack\\TBMon.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


avenger:
Leider wurde kein logfile erzeugt, aber ich konnte kurz die Meldung sehen, daß die Datei nicht gefunden wurde. Die liegt wohl daran, daß sie mit blacklight umbenannt wurde.

regsearch:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "kdxhr" 10.03.2007 17:52:59

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1454471165-1482476501-725345543-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="kdxhr.exe"

hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18:21:40, on 10.03.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Symantec\Norton Commander\NC.EXE
C:\WINNT\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DL\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [FscHMCfg] C:\Programme\Fujitsu Siemens Computers\DeskView\Common\FscHMCfg.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171975525843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171981484468
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O17 - HKLM\System\CS1\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O17 - HKLM\System\CS2\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DvcCfg - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\DeskView\Common\DvcCfg.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hoffe jetzt ist wieder alles sauber

Ich habe auch in der registy nachgesehen, dort ist der Eintrag unter winlogon auch weg.

Aber einmal eine andere Frage, wie bekommt man so einen Blinden Passagier an Bord? bzw. wie kann man sich gegen sowas schützen?
Reicht es z.B. aus wenn man sich als user ohne admin-Rechte am System anmeldet? (Das system und auch der Virenscanner waren ja aktuell)


Viele Grüße
Oskar

Zitat:

Zitat von Berferd

avenger:
Leider wurde kein logfile erzeugt, aber ich konnte kurz die Meldung sehen, daß die Datei nicht gefunden wurde. Die liegt wohl daran, daß sie mit blacklight umbenannt wurde.

Dann geht das in Ordnung, wollte mit Avenger nur erreichen das die Datei auch wirklich gelöscht wurde.

Starte aber nochmal den Avenger und kopiere, wie in der Anleitung zuvor, folgenden Text in das Feld:

Zitat:

Registry values to delete:

[HKEY_USERS\S-1-5-21-1454471165-1482476501-725345543-1000\Software\Microsoft\Internet Explorer\ExplorerBars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="kdxhr.exe"

Zitat:

Hoffe jetzt ist wieder alles sauber

Das sollte es...

Zitat:

Aber einmal eine andere Frage, wie bekommt man so einen Blinden Passagier an Bord? bzw. wie kann man sich gegen sowas schützen?
Reicht es z.B. aus wenn man sich als user ohne admin-Rechte am System anmeldet? (Das system und auch der Virenscanner waren ja aktuell)

-ohne Adminrechte surfen
-AV-Scanner immer aktuell halten
-nicht auf alle klicken was bunt leuchtet
-und den Kopf einschalten beim surfen
(keine Crackseiten besuchen, eMail oder Dateianhänge öffnen, sowie Downloads von nicht vertrauenswürdigen Seiten machen.)

Gruß
Sunny

Ich bin neu hier, aber ich tippe auf Win32:Adan-094.

Aber ohne Logfile will ich mich da nicht festlegen.

Zitat:

Zitat von Achtung: Greenhorn

Ich bin neu hier, aber ich tippe auf Win32:Adan-094.

Aber ohne Logfile will ich mich da nicht festlegen.

Wie kommst du denn darauf?
Bei Adan-094 handelt es sich um Adware und nicht um ein Rootkit.

Das solltest du mir mal erklären wie du auf den Schädling kommst, außerdem ist ein Logfile vorhanden.

Sunny

Hallo!

Zunächst einmal großen Dank an sunny und nochdigger.

Ich mußte nach der Aktion einmal Pause machen.
Heute schalte ich den Pc ein und muß nach einiger Zeit feststellen, daß doch nicht alles in Ordnung ist

Meine Hardware-Firewall meldet immer wieder folgenden traffic:


Date: 3/11/2007 10:52:14

The packet below

Src: 192.168.0.110:2120 Dst: 85.255.114.53:53 (TCP)


45 00 00 30 c8 bc 40 00 80 06 a8 bf c0 a8 00 6f | E..0..@. .......o
55 ff 72 35 08 48 00 35 3e 93 c6 aa 00 00 00 00 | U.r5.H.5 >.......
70 02 40 00 73 02 00 00 02 04 3e ca 01 01 04 02 | p.@.s... ..>.....

matched this filter rule: BLOCK
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second

because of this the actions below were performed:
drop
send email to administrator


Nach ein paar Minuten ist dann aber wieder ruhe.

Also ließ ich nochmal blacklight laufen, aber es wurde nichts gefunden.
Dann suchte ich in der Registry nach 85.255.114.53, und tatsächlich war die IP mehrfach vorhanden, und zwar bei den DHCP-Servern->gelöscht!

Bislang kein weiterer traffic, aber einmal abwarten...

Ist aber schon komisch Zugriff auf Port 53 und dann noch TCP, oder ist das bei DHCP normal?


Gruss
Oskar