Seit paar Tagen meldet meine Sygate Platinium-Firewall Verbindungsversuche
von Explorer.exe zu checkip.dyndns.org (204.13.250.51 Port 80) und zu
besotrix.net (208.72.168.163 Port 8081 ! ). Heute wollte auch noch der Explorer (laut Backtrace) zu mxs.mail.ru (ru !!!) auf Port 25 (SMTP !!!) verbinden. Also wenn das kein Trojaner ist ...

Da ich beruflich auch mit Computern zu tun habe, habe ich auch schon einiges
versucht. Momentan hab ich zwar paar Ideen aber irgendwie noch nichts
konkretes finden können. Leider habe ich kein Image da Acronis und Norton
Ghost mit meinem Raid-5 SATA irgendwie nicht funzen

Mein McAfee Virenscanner sowie der kostenlose Panda-Onlinescann konnten
nichts finden. Genauso Spybot und Ad-Aware nicht. Rootkitscanner wie
Blacklight und Rootkitrevealer brachten ebenfalls kein Ergebnis ...

Anbei erstmal mein Hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:59:57, on 16.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate Firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Razer CopperHead\razerhid.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Steganos Security Suite 6\safe.exe
C:\Programme\Steganos Security Suite 6\spm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Razer CopperHead\razertra.exe
C:\Programme\Razer CopperHead\razerofa.exe
C:\Programme\NETGEAR\WG111T Configuration Utility\wlan111t.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Security Task Manager\TaskMan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\J35ch1\Desktop\Administration\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [razer] C:\Programme\Razer CopperHead\razerhid.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165481027156
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo.

Dein Hijacklog ist unauffällig, versuch als erstes mal folgendes:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

c:\windows\system32\syglvxvrpiv.dll

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Arbeiten mit MWAV (eScan)

!!!Englische Sprache wählen!!!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

Meine Einschätzungen/Ergebnisse:

Es gibt zwar einige unbekannte Winsock-Einträge die laut Winsock-Test
(siehe Bild ) aber unbedenklich sind. Anhand des Namens würd ich auch mal
sagen gehört diese DLL zu meiner Sygate Firewall.

Auffällig im Security Task Manager (siehe Bild ) sind eigentlich nur
WMDM PMSP Service sowie 2x MSN Messenger. Der WMDM-Dienst ist von
Microsoft und für DRM Sachen im Mediaplayer zuständig. (PS: lese grad
bei Google es gibt ne Sicherheitslücke in diesem Dienst ^^). Der Messager
ist im Security-Taskmanager 2 mal aufgeführt. Einmal unter C:\Programme\Messenger\msmsgs.exe und das 2. mal (auf Bild nicht sichtbar)
unter C:\Programme\MSN Messenger\msnmsgr.exe. kA warum der 2 mal
gestartet ist. Noch dazu von 2 verschiedenen Orten ...

Neuerdings ist auch der SSDP-Suchdienst auf den Ports 1058 und 1059 aktiv ...

Danke für eure Hilfe im Voraus ...

Dann lass auf jeden Fall mal beide Messenger .exe Dateien auswerten.
Ist zwar nur ein Versuch, aber schaden kann es auch nicht.

Ansonsten fällt mir auch auf dem Screenshot nichts verdächtiges auf.

Hier das Virustotal Ergebnis. Chancen stehen fast 40:60 ...



Ma kucken ob meine Firewall noch funzt wenn ich mal versuche das Teil
im "Abgesicherten" umzubennen ... Aber wie krieg ich die Einträge bei Erfolg
aus der Registry ? Hijackthis kann keine O10 Einträge entfernen und Spybot
findet nix ...

Zitat:

Aber wie krieg ich die Einträge bei Erfolg
aus der Registry ? Hijackthis kann keine O10 Einträge entfernen und Spybot
findet nix ...

Suche mit diesem Tool in der Registry:
(achte aber auf den richtigen Dateipfad!)


Registrierung durchsuchen:

-Erstell dir einen neuen Ordner in -> C.\Programme\Regsrch
-lade dir Regserch.zip in den vorher erstellten Ordner herunter
-entpacke das Programm auch in diesem Ordner
-starte das Tool -> Doppelklick auf „regsrch.vbs“ und suche nun nach folgendem Namen:

Zitat:

msnmsgr.exe

-wenn etwas gefunden wurde, wird am Ende ein Editorfenster geöffnet,
poste den Inhalt des Textfiles ab und füge ihn in einen Beitrag ein.
(wurde nichts gefunden, bitte auch erwähnen!)

Und danach lösch den gesamten Ordner von der Platte.

Zur Not auch hiermit:


Anleitung KILLBOX:

Lade dir mal die Killbox, starte das Programm, klicke auf die Option -> delete on reboot und suche nun folgende Datei:
(oder kopiere den Dateipfad!)

Zitat:

C:\Programme\MSN Messengerxx??????

Gruß
Sunny

Das Virustotalergebnis war übrigens für die syglvxvrpiv.dll Datei.
Ein umbenennen dieser Datei hat, wie schon von mir vermutet, zur
Fehlfunktion meiner Sygate Firewall geführt. Die Überprüfung des
Messengers brachte kein Virus/Trojaner ...

Also nochmal!

Die Datei welche du gescannt hast war diese -> c:\windows\system32\syglvxvrpiv.dll

Diese gehört aber nicht zu Sygate, oder?

Beziehungsweise was heisst Fehlfunktion der Firewall, funktionierte Sygate nach dem umbenennen nicht mehr?

Zitat:

Zitat von [Gc]Sunny

Also nochmal!

Die Datei welche du gescannt hast war diese -> c:\windows\system32\syglvxvrpiv.dll

Diese gehört aber nicht zu Sygate, oder?

Beziehungsweise was heisst Fehlfunktion der Firewall, funktionierte Sygate nach dem umbenennen nicht mehr?

So ich denke mal ich hab das Problem gelöst. War nicht ganz einfach ...

Ja ich hatte die Datei syglvxvrpiv.dll gescannt. Nach dem Umbenennen
hat meine Firewall nicht mehr gestartet und meine Netzwerkverbindung
brachte eingeschränkte Connectivität. Ich hatte nun die Firewall nochmal
auf einem anderen Rechner installaliert. Dort gab es allerdings keine Datei
mit diesem Namen. Also doch vermutlich ein Trojaner. Also habe ich die
Einträge in der Registry mit LSPFIX eintfernt und die Datei gelöscht.
Firewall und Netzwerkverbindung funktionierten danach noch aber das
Problem mit den Verbindungsversuchen war immer noch da !!!
Also habe ich nochmal mit Onlinescanner von Bitdefender und F-Secure
gescannt. In der Systemroot wurde eine Cp1041.nls Datei mit dem
SpamTool.Win32.Agent.u gefunden. NAch dem löschen und Neustart war
diese Datei und die Verbindungsversuche wieder da. Also habe ich mal
"gegoogelt" und im Internet folgendes gefunden:

SpamTool.Win32.Agent.u

Als erstes ist mir in der Beschreibung der Netzwerktreiber ndis.sys ins Auge
gefallen. Also diese Datei mal vorgenommen bzw. vornehmen wollen. Diese
Datei lies sich weder kopierer noch zu Virustotal hochladen. Virenscanner
haben diese Datei vermutlich auch übersprungen. Die ndis.sys Datei war
vom 13.04.2007 und wesentlich größer als die Datei im dllcache. Außerdem
gab es noch eine ndis(2).sys die genauso groß war wie die Datei im dllcache ...
Also im abgesicherten Modus die ndis.sys mit der ndis(2).sys ersetzt.
Und siehe da .. keine Verbindungsversuche mehr
Allerdings läßt sich die infizierte ndis.sys Datei, welche ich in einen Quarantäne
Ordner verschoben habe, immer noch nicht zu Virustotal hochladen. Naja was
soll´s, ist mit Sicherheit infiziert. Spybot hat außerdem noch einen Firewall
Bypass von explorer.exe in der Registry behoben ...

thx 4 help @all. Keep clean guys