Zufall oder gehackt ??

Markus_33 · 07.07.2007, 21:43

Hallo,

Vorgestern habe ich längere Zeit nach einem Ort in Google recherchiert (Garmisch-Partenkirchen)
Anderthalb Tage später bekomme ich eine Russische Mail:

Betreff: Garmisch-Partenkirchen
Datum: Sat, 7 Jul 2007 15:30:33 -0200
Von: "hgump" <ilosvybf@z-nsk.ru>

Only we offer:
* Only you know what you want to improve with yourself
........

Kann das Zufall sein, oder habe ich einen keylogger drauf ??? (ich habe nirgendswo was bestellt und habe auch meine eMail Adresse nirgends bekanntgegeben)

Vielen Dank für Eure Vorschläge

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Markus_33 · 07.07.2007, 23:19

So ich habe jetzt mal den Spyware Doctor drüberlaufen lassen:

gefunden: trojan.psw.onlinegames.kw (!)
aha, ich dachte, dass wäre die Lösung: aber die entsprechende Datei ist kavss.dll (aus dem Jahre 2004) und gehört zu Kaspersky
also vielleicht eine Falschmeldung ??

Ich habe sie bei Kaspersky mal beim onlinescan hochgeladen, der hat nichts gefunden

Franz1968 · 08.07.2007, 16:54

Bitte poste unter Beachtung von GUAs Hinweisen ein neues HJT-Logfile und den genauen Pfad der Infektionsmeldung. Die als infiziert gemeldete Datei prüfe außerdem bitte auf www.virustotal.com und poste im Anschluss das komplette Ergebnis.

Markus_33 · 08.07.2007, 18:37

Hallo Franz,
danke, dass Du Dich dem Thema annimmst (das ist jetzt übrigens schon das 2. mal, das Du mir hilfst (*hüstel*)

also der Pfad lautet: C:\dokumente und einstellungen\rechnername\lokale einstellungen\temp\kavss.dll
virustotal.com: abgekürzt: no virus found

mein log (ich hoffe, dass es jetzt okay ist !?)

Logfile of HijackThis v1.99.1
Scan saved at 19:34:29, on 08.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\rechnername\Desktop\tools neu\sicherheit\hjt1991.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**tp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?******
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = 217.237.148.70 217.237.150.115
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Franz1968 · 08.07.2007, 18:53

Ich erinnere mich. Das wird dann ja wieder eine längere Sitzung.

In deinem Logfile sehe ich aber keinen Kaspersky. Hast du neulich einen eScan gemacht?

Markus_33 · 08.07.2007, 19:05

Hallo Franz,

ich glaube, die überlassen dir hier immer die unmöglichen/schwierigen Fälle

Stimmt, sorry, hatte ich vergessen, Kaspersky hatte ich wieder runtergeschmissen (ich hatte irgendwann mal eine Demoversion)
Es laufen nur AntiVir und ZoneAlarm (und vielleicht diverse Trojaner, aber die halten wenigstens mein System stabil

)

Ich habe schon fast gerechnet, dass du nach eScan fragst. Wenn ich es schaffe, werde ich heute abend noch einen durchführen, ansonsten erst morgen abend

Gruss
Markus

Franz1968 · 08.07.2007, 19:12

Zitat:

Zitat von Markus_33

ich glaube, die überlassen dir hier immer die unmöglichen/schwierigen Fälle

Nee. Ich picke sie mir selbst heraus und schreie nach ein paar Postings: "Hülfää, ich komm nicht weiter!"

Zitat:

Stimmt, sorry, hatte ich vergessen, Kaspersky hatte ich wieder runtergeschmissen (ich hatte irgendwann mal eine Demoversion)

Ist aber trotzdem seltsam. Wenn die kavss.dll von Kaspersky sein soll, hieße das ja, dass du seitdem nie deine temporären Dateien gelöscht hättest.

Zitat:

Ich habe schon fast gerechnet, dass du nach eScan fragst. Wenn ich es schaffe, werde ich heute abend noch einen durchführen, ansonsten erst morgen abend

Ja. Und bitte ein Silentrunners-Logfile.
Außerdem wäre das komplette Virustotal-Ergebnis wichtig, inkl. Hash-Werten. Denn

Zitat:

virustotal.com: abgekürzt: no virus found

ist nicht wirklich aussagekräftig.

Markus_33 · 09.07.2007, 17:03

Hallo Franz,
eScan ist gestern abend 3,5h gelaufen danach mußte ich ihn ersteinmal abbrechen, so dass ich momentan nur die Infected hier reinstellen kann (einen vollständigen escan versuche ich heute abend nochmal)

Viele Grüße und vor allem vielen dank !
Markus

eScan:
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702f-c7d8-11d2-bef8-525400dfb47a})!
Offending Key found: HKCU\\ssubtimer6.ctimer !!!
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden!
Offending Key found: HKCU\\ssubtimer6.gsubclass !!!
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden!
HKCU\\ssubtimer6.isubclass !!!
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden!

Offending file found: C:\WINDOWS\system32\process.exe
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)!

Offending file found: C:\WINDOWS\system32\swreg.exe
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)!

Offending file found: C:\WINDOWS\system32\swsc.exe
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)!

Offending file found: C:\WINDOWS\system32\ssubtmr6.dll
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\system32\ssubtmr6.dll)!

Offending file found: C:\WINDOWS\system32\ishf_ex.tlb
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\system32\ishf_ex.tlb)!

Entry "HKCR\SevenZip" verweist auf das ungültige Objekt "{23170F69-40C1-278A-1000-000100020000}".
Entry "HKCR\SevenZip.1" verweist auf das ungültige Objekt "{23170F69-40C1-278A-1000-000100020000}".
Entry "HKCR\Ulead.VOE.1" verweist auf das ungültige Objekt "{6C91BBFD-0781-4936-A3DC-10D60BA3294D}
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Google\Google Earth\res\auto.png".
.......
(davon gibt es einige weitere)

Datei C:\WINDOWS\SYSTEM32\devldr32.exe infiziert von "Exe.Corrupted"
Datei C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18\6f88f192-3905fdf2/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus

Silent Runners
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{49707377-6974-6368-2E4A-756E6F644A01}" = "WS_FTP Pro Explorer"
-> {HKLM...CLSID} = "WS_FTP Pro Explorer"
\InProcServer32\(Default) = "C:\Program Files\WS_FTP Pro\ftpproex.dll" ["Ipswitch, Inc. 81 Hartwell Ave, Lexington MA"]
"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Eraser\erasext.dll" ["-"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\shellext.dll" ["Eastman Kodak"]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{5E2121EE-0904-1983-8D3B-444553540000}" = "AFS_ShellExt extension"
-> {HKLM...CLSID} = "AFS_ShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Advanced File Security 3.0 Basic\AFS_ShellExt.dll" [empty string]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"
-> {HKLM...CLSID} = "Haali Matroska Shell Property Page"
\InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Exctractor"
-> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"
\InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AFS_ShellExt\(Default) = "{5E2121EE-0904-1983-8D3B-444553540000}"
-> {HKLM...CLSID} = "AFS_ShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Advanced File Security 3.0 Basic\AFS_ShellExt.dll" [empty string]
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Eraser\erasext.dll" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AFS_ShellExt\(Default) = "{5E2121EE-0904-1983-8D3B-444553540000}"
-> {HKLM...CLSID} = "AFS_ShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Advanced File Security 3.0 Basic\AFS_ShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Eraser\erasext.dll" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Default executables:
--------------------

HKCU\Software\Classes\.bat\(Default) = "batfile"
HKCU\Software\Classes\batfile\

HKCU\Software\Classes\.com\(Default) = "comfile"
HKCU\Software\Classes\comfile\

HKCU\Software\Classes\.exe\(Default) = "exefile"
HKCU\Software\Classes\exefile\

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Mozilla\Firefox\Desktop Hintergrund.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users.WINDOWS/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
dcfssvc, Dcfssvc, "C:\WINDOWS\system32\DRIVERS\dcfssvc.exe" ["Eastman Kodak Company"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

Virustotal.com - kavss.dll

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.09.2007 no virus found
AntiVir 7.4.0.39 07.09.2007 no virus found
Authentium 4.93.8 07.07.2007 no virus found
Avast 4.7.997.0 07.08.2007 no virus found
AVG 7.5.0.476 07.08.2007 no virus found
BitDefender 7.2 07.09.2007 no virus found
CAT-QuickHeal 9.00 07.09.2007 no virus found
ClamAV devel-20070416 07.09.2007 no virus found
DrWeb 4.33 07.09.2007 no virus found
eSafe 7.0.15.0 07.08.2007 no virus found
eTrust-Vet 30.8.3774 07.09.2007 no virus found
Ewido 4.0 07.09.2007 no virus found
FileAdvisor 1 07.09.2007 no virus found
Fortinet 2.91.0.0 07.09.2007 no virus found
F-Prot 4.3.2.48 07.06.2007 no virus found
Ikarus T3.1.1.8 07.09.2007 no virus found
Kaspersky 4.0.2.24 07.09.2007 no virus found
McAfee 5069 07.06.2007 no virus found
Microsoft 1.2704 07.09.2007 no virus found
NOD32v2 2385 07.09.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.09.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.07.2007 no virus found
Symantec 10 07.09.2007 no virus found
TheHacker 6.1.6.144 07.09.2007 no virus found
VBA32 3.12.0.2 07.08.2007 no virus found
VirusBuster 4.3.23:9 07.09.2007 no virus found
Webwasher-Gateway 6.0.1 07.09.2007 no virus found

Aditional Information
File size: 143416 bytes
MD5: 881fb1628eec60d5367f1b3029a84e62
SHA1: 00924badcd352d33aed95f2b4c2bfc7ed0fba83b

Franz1968 · 10.07.2007, 10:40

So. Die kavss.dll ist den HASH-Werten zufolge tatsächlich von Kaspersky, und in deinem Silentrunners-Logfile kann ich nichts Auffälliges entdecken.
Als nächstes steht daher das vollständige eScan-Ergebnis an.

Markus_33 · 10.07.2007, 21:01

Hallo Franz,

die Ergbnisse sehen eigentlich so aus wie beim letztenmal, oder ich habe irgendetwas falsch gemacht

Viele Grüße
Markus

System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702f-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27032-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({b96bcbe1-f886-11d0-9c63-a06801c10627})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27036-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\system32\ssubtmr6.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\system32\ishf_ex.tlb)! Action taken: Keine Aktion vorgenommen.
Offending Key found: HKCU\\ssubtimer6.ctimer !!!
Offending Key found: HKCU\\ssubtimer6.gsubclass !!!
Offending Key found: HKCU\\ssubtimer6.isubclass !!!
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\ssubtmr6.dll
Offending file found: C:\WINDOWS\system32\ishf_ex.tlb

Markus_33 · 11.07.2007, 20:36

So ich habe exemplarisch die process.exe mal von virustotal überprüfen lassen:

AhnLab-V3 2007.7.11.1 20070711 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 no virus found
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 High threat detected
Fortinet 2.91.0.0 20070711 Misc/PrcViewer
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 potentially unwanted program PrcViewer
Microsoft 1.2704 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Application/Processor
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 no virus found
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 Aplicacion/Processor.20
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
Webwasher-Gateway 6.0.1 20070711 no virus found

Aditional information
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=7397f6ee4a9601a123b645c0cd428017

(komisch, dass kapersky nichts gefunden hat, eScan ist doch auch von denen ??)

Franz1968 · 12.07.2007, 10:24

Hallo Markus,

hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben.

Und ansonsten poste bitte die Ergebnisse der find.bat, wie es in der eScan-Anleitung beschrieben ist.

12.07.2007, 10:57

Hallo Markus 33,

Lad dir mal diesesTool herunter und mache damit einen Scan Blacklight-scan und schau ob es was findet dann eventuelle Funde löschen und nochmals ein HJT-Logfile hier her posten

Markus_33 · 12.07.2007, 19:44

Hallo Franz und Terayaki,

Franz:
Smitfraud hatte ich bei meinem letzten Problem einmal eingesetzt, könnte also gut möglich sein !
Die find.bat produzierte zwei files (mwav_clean.log, mwav_cut.log mit) mit jeweils 8 und 12mb, da kann irgendetwas nicht stimmen, weswegen ich eine
findmwav.bat von einer anderen Site benutzt habe und das Ergebnis hier gepostet habe

Terayaki:
Auch Dir hier ersteinmal vielen Dank, dass Du Deine Zeit investierst.
Der Scan von Blacklight war sauber (also können wir rootkits (vielleicht) schon mal ausschließen?)

Tja, vielleicht ist mein System 'sauber', aber ein bißchen komisch ist dieser Zufall mit der russischen Mail schon;

Franz1968 · 12.07.2007, 20:47

Hallo Markus,
ich neige fast dazu dich zu bitten, den eScan von Grund auf zu wiederholen und dich genau an die Anleitung zu halten. Denn wie wichtig das Ergebnis der find.bat ist, siehst du daran, dass eScan behauptet

Zitat:

System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.

es für die process.exe aber wahrscheinlich eine harmlose Erklärung gibt.
Aber ich denke, wir belassen es dabei. Kannst du aus den dir vorliegenden Logs denn Angaben über die "infected files" machen?
Da Blacklight nichts findet, lass vorsichtshalber noch mal Combofix laufen. Poste diesmal aber bitte das komplette Ergebnis (c:\ComboFix.txt).

08.07.2007, 16:54	#3
Franz1968 /// Helfer-Team	Zufall oder gehackt ?? Bitte poste unter Beachtung von GUAs Hinweisen ein neues HJT-Logfile und den genauen Pfad der Infektionsmeldung. Die als infiziert gemeldete Datei prüfe außerdem bitte auf www.virustotal.com und poste im Anschluss das komplette Ergebnis. __________________ __________________

08.07.2007, 18:53	#5
Franz1968 /// Helfer-Team	Zufall oder gehackt ?? Ich erinnere mich. Das wird dann ja wieder eine längere Sitzung. In deinem Logfile sehe ich aber keinen Kaspersky. Hast du neulich einen eScan gemacht? __________________ Alle Tipps und Anleitungen ohne Gewähr

10.07.2007, 10:40	#9
Franz1968 /// Helfer-Team	Zufall oder gehackt ?? So. Die kavss.dll ist den HASH-Werten zufolge tatsächlich von Kaspersky, und in deinem Silentrunners-Logfile kann ich nichts Auffälliges entdecken. Als nächstes steht daher das vollständige eScan-Ergebnis an. __________________ Alle Tipps und Anleitungen ohne Gewähr

12.07.2007, 10:24	#12
Franz1968 /// Helfer-Team	Zufall oder gehackt ?? Hallo Markus, hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben. Und ansonsten poste bitte die Ergebnisse der find.bat, wie es in der eScan-Anleitung beschrieben ist. __________________ Alle Tipps und Anleitungen ohne Gewähr

12.07.2007, 10:57	#13
terayaki Gast	Zufall oder gehackt ?? Hallo Markus 33, Lad dir mal diesesTool herunter und mache damit einen Scan Blacklight-scan und schau ob es was findet dann eventuelle Funde löschen und nochmals ein HJT-Logfile hier her posten

Zufall oder gehackt ??

Plagegeister aller Art und deren Bekämpfung: Zufall oder gehackt ??