Dldr.Swizzor.DV + Luder.A.35

te4cup · 09.04.2007, 12:24

Hallo liebe Helfer,

habe heute den Luder.A.35 und den Trojaner Dldr.Swizzor.DV gefunden.

Habe beide mit AntiVir PE in die Quarantäne verschoben und danach System neugestartet. Habe aber immer noch die gleichen Probleme, die wären:

-Nach dem aufstarten von WinXP und einloggen, muss ich immer zuerst eine Taste drücken, damit Windows weiter macht mit aufstarten und ich den Desktop sehe.
-Wenn ich den PC über Nacht eingeschaltet lasse und ich am morgen wieder komme, ist der PC ausgeschaltet und nach dem aufstarten kommt die bekannte Meldung: Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt o.ä. /Senden/Nicht senden
-Bluescreens und Hänger zwischendurch (wo ich nicht einmal die Maus bewegen kann) häufen sich
-Das ganze habe ich seit etwa 3 Wochen oder so

Mein HJT-Logfile (das ich nach dem neustarten gemacht habe):

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 13:13:38, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://logon.bbbaden.local/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD5786C4-CDF4-4B4E-BF16-5C6C844001B7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{11E832B9-FA0B-4F1D-BA8A-4CF9A7A7B62A}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE (file missing)
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Dldr.Swizzor.DV müsste ein Trojaner sein. Google findet nur 2 Einträge dazu.

Zu Luder.A.35 finde ich gar nichts, zu Luder.A nur dass es ein Wurm sei und automatisch Trojaner runterlädt...

**Sunny** · 09.04.2007, 12:38

Hallo.

Mach als erstes mal folgendes:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\System32\remsdnsv.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

te4cup · 09.04.2007, 13:02

Hallo Sunny.

Werde ich gleich machen. Habe aber noch etwas interessantes herausgefunden:

Wenn ich Wireshark (Netzwerk Monitoring Prog) laufen lasse, fällt mir auf, dass ich andauernd (vllt. alle 2 Minuten) TCP Pakete (10-20) an verschiedene IPs schicke, die mir auch andauernd TCP Pakete schickt

Eine IP gehört zum Beispiel anscheinend Wikipedia.

te4cup · 09.04.2007, 13:12

Virustotal:

Code:

ATTFilter

Complete scanning result of "remsdnsv.exe", received in VirusTotal at 04.09.2007, 14:03:48 (CET).

Antivirus	Version	Update	Result
AhnLab-V3	2007.4.7.0	04.09.2007	no virus found
AntiVir	7.3.1.48	04.09.2007	no virus found
Authentium	4.93.8	04.08.2007	no virus found
Avast	4.7.936.0	04.08.2007	no virus found
AVG	7.5.0.447	04.08.2007	no virus found
BitDefender	7.2	04.09.2007	no virus found
CAT-QuickHeal	9.00	04.09.2007	no virus found
ClamAV	devel-20070312	04.09.2007	no virus found
DrWeb	4.33	04.09.2007	no virus found
eSafe	7.0.15.0	04.08.2007	no virus found
eTrust-Vet	30.7.3549	04.06.2007	no virus found
Ewido	4.0	04.08.2007	no virus found
FileAdvisor	1	04.09.2007	no virus found
Fortinet	2.85.0.0	04.09.2007	no virus found
F-Prot	4.3.1.45	04.08.2007	no virus found
F-Secure	6.70.13030.0	04.09.2007	no virus found
Ikarus	T3.1.1.3	04.09.2007	no virus found
Kaspersky	4.0.2.24	04.09.2007	no virus found
McAfee	5003	04.06.2007	no virus found
Microsoft	1.2405	04.09.2007	no virus found
NOD32v2	2174	04.09.2007	no virus found
Norman	5.80.02	04.09.2007	no virus found
Panda	9.0.0.4	04.09.2007	no virus found
Prevx1	V2	04.09.2007	no virus found
Sophos	4.16.0	04.06.2007	no virus found
Sunbelt	2.2.907.0	04.07.2007	no virus found
Symantec	10	04.09.2007	no virus found
TheHacker	6.1.6.088	04.09.2007	no virus found
VBA32	3.11.3	04.09.2007	no virus found
VirusBuster	4.3.7:9	04.08.2007	no virus found
Webwasher-Gateway	6.0.1	04.09.2007	no virus found

Aditional Information
File size: 12800 bytes
MD5: 3a338c3b945ab0e52eef51f466a6821c
SHA1: 86d87707278ee2dd22754dd2324d6221776bbe54

te4cup · 09.04.2007, 15:30

Hat zwar etwas gedauert, aber hier der andere Test:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 09 14:33:22 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d6dde18-136a-11db-a208-000df01dd67b} 
Mon Apr 09 14:28:00 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 14:31:34 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 16:07:23 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 16:14:55 2007 => Virus-Datenbank Datum: 4/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Mon Apr 09 14:32:46 2007 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Einträge entfernt.
Mon Apr 09 14:32:49 2007 => System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Einträge entfernt.
Mon Apr 09 14:33:15 2007 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: Einträge entfernt.
Mon Apr 09 14:33:16 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Einträge entfernt.
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Mon Apr 09 15:37:38 2007 => Scanne Datei C:\cygwin\usr\include\boost-1_33_1\boost\parameter\aux_\tagged_argument.hpp
Mon Apr 09 15:45:56 2007 => Scanne Datei C:\cygwin\usr\share\ri\1.8\system\Net\IMAP\get_tagged_response-i.yaml
Mon Apr 09 15:47:46 2007 => Scanne Datei C:\cygwin\usr\share\ri\1.8\system\YAML\tagged_classes-c.yaml
Mon Apr 09 15:16:39 2007 => File C:\Programme\NetPumper\ZM\NP_0132_1.exe//PE_Patch.UPC//UPC markiert als "not-a-virus:AdWare.Win32.Lop.ai". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Mon Apr 09 15:18:23 2007 => File C:\Programme\eMule\Incoming\Cadsoft Eagle v4 16 Patch Crack Multilanguage With Serial By Paradox.zip/cadsoft_eagle_v4.16_run.exe//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Mon Apr 09 15:25:03 2007 => Datei C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen.
Mon Apr 09 15:25:32 2007 => Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Mon Apr 09 16:03:38 2007 => File C:\System Volume Information\_restore{34E9EC65-8771-4430-A620-D369588743C6}\RP369\A0109781.exe//PE_Patch.UPC//UPC markiert als "not-a-virus:AdWare.Win32.Lop.ai". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Mon Apr 09 14:32:49 2007 => Offending file found: C:\WINDOWS\iun6002ev.exe
Mon Apr 09 14:33:16 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
Mon Apr 09 14:33:09 2007 => Offending Folder found: C:\Dokumente und Einstellungen\****\Startmenü\programme\whenu
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Mon Apr 09 14:32:47 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!!
Mon Apr 09 14:32:47 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Apr 09 14:32:47 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Mon Apr 09 14:32:48 2007 => Offending Key found: HKCU\\magnet !!!
Mon Apr 09 14:32:48 2007 => Offending Key found: HKCU\\wusn.1 !!!
Mon Apr 09 14:33:22 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d6dde18-136a-11db-a208-000df01dd67b} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Mon Apr 09 16:07:23 2007 => Gefundene Viren: 16
Mon Apr 09 16:07:23 2007 => Anzahl Fehler: 189
Mon Apr 09 16:07:23 2007 => Dauer des Scans bisher: 01:35:42
Mon Apr 09 16:07:23 2007 => Gescannte Dateien: 182298
Mon Apr 09 14:31:41 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 14:31:41 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 14:31:41 2007 => System-Ordner Überprüfung: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung aller Festplatten :Aktiviert

Ist mein System jetzt wieder frei von Schädlingen?

Das obengenannte Problem, dass ich eine Taste drücken muss, damit Windows weiter macht mit booten, tritt leider immer noch auf.

Dldr.Swizzor.DV + Luder.A.35

Log-Analyse und Auswertung: Dldr.Swizzor.DV + Luder.A.35