System Alert und andere Probleme

biojoerg · 05.07.2007, 16:32

Hi Sunny!
Danke für Deine Hilfe, hier der log von combofix:

"Besitzer" - 2007-07-05 18:14:00 - ComboFix 07-07-04.4 - Service Pack 2

((((((((((((((((((((((((( Files Created from 2007-06-05 to 2007-07-05 )))))))))))))))))))))))))))))))

2007-07-05 17:52 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-05 17:51 1,118,823 --a------ C:\Programme\ComboFix.exe
2007-07-05 13:57 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback
2007-07-05 13:51 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-07-05 13:51 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-07-05 13:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-07-05 13:51 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-07-05 13:46 883,694 --a------ C:\Programme\SmitfraudFix.exe
2007-07-05 13:46 <DIR> d-------- C:\DOKUME~1\Besitzer\SmitfraudFix
2007-07-01 18:56 <DIR> d-------- C:\DOKUME~1\Besitzer\.jpi_cache
2007-06-17 19:45 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Leadertech

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-05 16:08:37 -------- d-----w C:\DOKUME~1\Besitzer\ANWEND~1\OpenOffice.org2
2007-07-05 15:34:59 -------- d-----w C:\Programme\QuickTime
2007-07-05 15:34:59 -------- d-----w C:\Programme\iTunes
2007-07-05 15:34:55 -------- d-----w C:\Programme\Messenger
2007-07-05 15:34:37 -------- d-----w C:\Programme\ArcorOnline
2007-07-05 15:34:23 -------- d-----w C:\Programme\Opera
2007-07-03 17:04:30 8,704 --s-a-w C:\WINDOWS\system32\xnvaogd.dll
2007-06-28 05:47:08 -------- d-----w C:\Programme\VISTASCAN
2007-06-28 05:30:15 -------- d-----w C:\Programme\Feurio
2007-06-23 09:03:42 -------- d-----w C:\Programme\Filzip
2007-06-17 10:46:32 6,213 ----a-w C:\WINDOWS\mozver.dat
2007-06-09 19:43:21 -------- d-----w C:\Programme\IrfanView
2007-06-03 13:02:50 -------- d-----w C:\Programme\Vista
2007-06-03 12:57:25 12,296 ----a-w C:\WINDOWS\gcurve.dat
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 21:04:01 -------- d-----w C:\Programme\CDBurnerXP Pro 3
2007-05-09 19:32:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2005-11-13 18:56:46 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"@"="" []
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-12-01 00:19]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 09:54 C:\WINDOWS\SOUNDMAN.EXE]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-09 18:02]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 16:45]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-06 20:43]
"Arcor Online"="" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"UIWatcher"="C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe" [2002-08-02 17:02]
"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1b17f1db-790e-4d42-8e0c-d4d19123ee5b}"="C:\WINDOWS\system32\xnvaogd.dll" [2007-07-03 19:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^UMAX VistaAccess.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\UMAX VistaAccess.lnk
backup=C:\WINDOWS\pss\UMAX VistaAccess.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"W32Time"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanserver"=2 (0x2)
"mnmsrvc"=3 (0x3)
"WZCSVC"=2 (0x2)
"ERSvc"=2 (0x2)
"Browser"=2 (0x2)

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-05 18:18:55
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile, ZwQuerySystemInformation

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\WINDOWS\system32:c_1000f.nls

scanning hidden files ...

C:\WINDOWS\system32:c_1000f.nls 144184 bytes executable hidden from API
C:\WINDOWS\siatu1.dll

scan completed successfully
hidden files: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WinOkp]
"ImagePath"="\"C:\:iNdeDk.exe\""

Completion time: 2007-07-05 18:21:57
C:\ComboFix-quarantined-files.txt ... 2007-07-05 18:21

--- E O F ---

Liebe Leute,
habe seit gestern dieses blinkende, zwischen Kreuz und Fragezeichen wechselnde Wappenschild in der Taskleiste, das mir einen System Alert vorgaukelt und mich auf die Website von VirusProtectPro :: Home Page leiten will. Nun habe ich im Forum festgestellt, dass ich mir vermutlich trotz Panda Titanium Firewall den Zlob eingefangen habe. Ich wollte HijackThis herunterladen, aber immer, wenn ich auf einen Thread gehe, wo ich den runterladen könnte, schließen sich meine Browserfenster alle, sowohl bei Opera, als auch bei Mozilla und IE.
Ich weiss nicht weiter, hoffe jemand von euch schon
Grüß von biojoerg

**Sunny** · 05.07.2007, 16:39

Hallo biojoerg und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

biojoerg · 05.07.2007, 17:50

hi,
wenigstens hat HijackThis nun funktioniert. Hier der log:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:56, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\explorer.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\Apvxdwin.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Filzip\Filzip.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\This.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\avciman.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128531683515
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/13/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE7AAE7-0CBC-4AEF-950E-7104FD5CA9D3}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: WinOkp - Unknown owner - C:\:iNdeDk.exe

viele Grüße von biojoerg

**Sunny** · 05.07.2007, 18:11

So wie es aussieht ist bei dir ein Rootkit aktiv, das verschlimmert natürlich die Lage.

Poste bitte noch den eScan sobald er fertig ist und das hier:

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

biojoerg · 05.07.2007, 19:40

Hi,
leider klappt Punkt 8 der Anleitung zum eScan nicht: mwavscan.com kann nicht gefunden werden. Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?
Klappt leider nicht (s.o.). Hilft Dir ein Log von eScan weiter, das ich einfach mal hab durchlaufen lassen?
Grüße,
biojoerg
(weiterhin

)

P.S.: F-Secure Blacklight sagt mir: could not acquire necessary privileges (SeDebugPrivilege) und läuft auch nicht ;-(

biojoerg · 05.07.2007, 22:13

Neuester Stand:
habe es mit Hilfe von Look2Me-Destroyer geschafft, das SeDebugPrivilege wieder einzurichten und F-Secure BlackLight laufen zu lassen. Leider gab es dort kein Log, er hat aber "two items" bereinigt.
Werd mich für heute aufs Ohr hauen

ordell1234 · 05.07.2007, 22:49

Hallo biojoerg,

Zitat:

Zitat von biojoerg

Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?

Yep. Probier mal im abgesicherten Modus:
Start - Ausführen: %temp%\mwavscan.com

Hat das Update von escan funktioniert?

Das log von Blacklight befindet sich im gleichen Ordner wie die fsbl.exe und nennt sich fsbl-200707....log. Poste bitte den Inhalt.

Bei rootkit-Befall gibt es imho nur eine Lösung, und die heißt Neuaufsetzen.

Gruß

System Alert und andere Probleme

Plagegeister aller Art und deren Bekämpfung: System Alert und andere Probleme