|
Log-Analyse und Auswertung: Serv-U und seine Folgen. (services.exe)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.08.2007, 22:51 | #1 |
| Serv-U und seine Folgen. (services.exe) Hi, ich hab mir gestern zu meiner grossen Verwunderung einen Virus eingefangen. Der war in einer self-extract .exe von einem in Teile aufgsplitteten RAR Archiv drin, das ich *räusper aus dem Internet runtergeladen hatte. *räusper. Jedenfalls meldete Kaspersky einen ServU-Verwandten Virus, und ich konnte "disinfect". Gleich darauf erschien noch eine Warnung, und da konnt ich nur noch "skip". In der Liste der "Threats" ist auch jetzt noch die File "C:\Docs'n'Settings\Admin\Local_Settings\Temp\services" Allerdings habe ich die bereits manuell gelöscht. Wenn ich "neutralize" versuche, stürzt KAV ab, das war auch so, bevor ich die File manuell gelöscht hatte. Des weiteren habe ich selbst in C:\Windows\syswow64\drivers eine serv-u.ini file gefunden, die receht amüsanten Inhalt hat, denn anscheinend ist der Virus eine gehackte Version des nützlichen Serv-U Programms von "Cat soft" oder so was in der Art. Jedenfalls habe ich alle überbleibsel gelöscht, die mir suspekt schienen, zum Beispiel den Ordner: "C:\Windows\syswow64\drivers" (Denn da drinn war nichts anderes als 2 Dateien Viruskram, und ich glaube den Ordner gibts in Windows eh nicht, also den \drivers Teil, nicht den davor, es ist Win XP x64) Jedenfalls kommt bei mir jetzt bei jedem Booten eine Meldung: "Could not find C:\Windows\system32\drivers\services.exe" Was wohl zimelicher Unsinn ist, weil es in dem Ordner diese Datei gar nicht braucht. Nun hab ich ihm Log eine Zeile gefunden, die hab ich rot markiert, die wollte ich weg haben, aber wenn ich neu starte kommt sie wieder. Die Meldung erscheint im übrigen nicht im Eventlog und ansonsten scheint mein PC keinem weiteren Übel ausgesetzt zu sein, ausser dieser Fehlermeldung. Aber ich krieg sie nicht weg. Hab auch die registry nach dem pfad durchforstet, dort ist sie wie bei HijackThis unter RUN, aber wenn ich die (beiden) schlüsses lösche, kommen sie wieder beim nächsten systemstart (es ist noch eine mit dem gleichen pfad und LSASS.exe, was wohl auch ein virus-scherz ist, aber da gibts keine Fehlermeldung). Und im Eventlog hab ich 2x den Fehler: "The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {555F3418-D99E-4E51-800A-6E89CFD8B1D7} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19). This security permission can be modified using the Component Services administrative tool." unter dem Source DCOM. Wenn ich in der registry diese CLSID nachschaue taucht sie wiederholt als "HWDeviceCustomProperties" und die AppID führt mich zu wiederholtem "LocalService" "ShellHWDetection". Das könnte aber auch gar keinen zusammenhang mit dem Rest haben u.U. Weiss jemand wie ich die Meldung weg krieg? Btw handelt es sich wohl kaum um die echte services.exe... nur so... Thx! edit: Btw auch im abgesicherten modus stürzt KAV beim neutralize ab. ___________________________ Logfile of HijackThis v1.99.1 Scan saved at 23:23:36, on 10.08.2007 Platform: Windows 2003 SP1 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830) Running processes: C:\Program Files (x86)\Common Files\Realtime Soft\RTSHookInterop\x32\RTSHookInterop.exe C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\SysWOW64\ctfmon.exe C:\Program Files (x86)\Proxomitron\Proxomitron.exe C:\Program Files (x86)\FreePDF_XP\fpassist.exe C:\Program Files (x86)\OpenOffice.org 2.2\program\soffice.exe C:\Program Files (x86)\OpenOffice.org 2.2\program\soffice.BIN C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Program Files (x86)\Opera\Opera.exe C:\Program Files (x86)\WinRAR\WinRAR.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.203\HijackThis.exe F2 - REG:system.ini: UserInit=userinit O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\SysWOW64\JMRaidSetup.exe boot O4 - HKLM\..\Run: [kav] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [Windows smss] C:\WINDOWS\SysWow64\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\smss.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll O4 - HKLM\..\Run: [Windows Services Loader] C:\WINDOWS\SysWow64\DRIVERS\services.exe O4 - HKLM\..\Run: [FreePDF Assistant] "C:\Program Files (x86)\FreePDF_XP\fpassist.exe" O4 - HKLM\..\RunOnce: [Clean up] C:\WINDOWS\SysWow64\dllcache\lsass.exe C:\WINDOWS\system32\dllcache\cleanup.bat O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files (x86)\OpenOffice.org 2.2\program\quickstart.exe O4 - Startup: Proxomitron.lnk = C:\Program Files (x86)\Proxomitron\Proxomitron.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *ttp://update ( edit: ) m$.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186264953066 O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll O20 - Winlogon Notify: EFS - C:\WINDOWS\SYSTEM32\sclgntfy.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\SysWOW64\klogon.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing) O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing) O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing) O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing) O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing) O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing) O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing) O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing) O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing) O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing) Geändert von TB2 (10.08.2007 um 23:04 Uhr) |
11.08.2007, 01:06 | #2 |
/// Helfer-Team | Serv-U und seine Folgen. (services.exe) Hi,
__________________in deinem HijackThis ist noch einiges mehr im Argen. Code:
ATTFilter O4 - HKLM\..\Run: [Windows smss] C:\WINDOWS\SysWow64\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\smss.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll O4 - HKLM\..\Run: [Windows Services Loader] C:\WINDOWS\SysWow64\DRIVERS\services.exe O4 - HKLM\..\RunOnce: [Clean up] C:\WINDOWS\SysWow64\dllcache\lsass.exe C:\WINDOWS\system32\dllcache\cleanup.bat die Einträge sehen mir danach aus, dass dein Computer in eine ferngesteuerte FTP-Drohne verwandelt wurde, vermutlich um kriminelle Inhalte auf ihm zu lagern. Irgendwas zwischen illegalen Raubkopien und Kinderp0rn0s vermutlich. Was war denn das für ein Archiv *räusper*? Hört sich ja so an, als ob Du genau gewusst hast, dass daran was faul ist, da wundere ich mich schon, dass Du es dennoch installiert hast. Gruß, Karl |
11.08.2007, 01:34 | #3 |
| Serv-U und seine Folgen. (services.exe) Ne, also das war *räusper NetOp Remote Control. Das ist ein tool wie RealVNC und konsorten, nur ein bisschen fortgeschrittener. Ich schätze du kennst es. Interessanterweise hatte ich daselbe Dinge schonmal auf meinem alten PC entpackt, und da vom selben KAV keine Warnung erhalten. Wahrscheinlich bin ich da über die .r01... files gegangen und habe manuell entpackt. Ich nehme an nur die self-extract .exe war infiziert. Ich nehme sogar an dass der uploader sich seiner Versuechtheit nicht bewusst war.
__________________Wie auch immer. Ich werd mal eben tun was du mir empfohlen hast, thx! Ah btw, nein ich habe nicht vermutet, dass die File versuecht ist, eben weil ich sie schonmal verwendet hatte und auch, weil ich mich bis jetzt immer auf KAV verlassen konnte. Und mit üblen Dingen hab ich nichts am Hut, nur alltägliche Kriminalität. Mit *räusper will ich eher die "zwielichtige Herkunft" der Dateien andeuten, und viel weniger deren Inhalt. ^^ Edit: Also VirusTotal hat 0/32 gemeldet, alles OK. Jotti auch nichts gefunden. Naja... ohne anzugeben, ich freu mich nach wie vor darüber wie ich damals den Blaster eingefangen hatte und ihn innert 30 Sekunden entschärft hatte Ich glaub auch diesen Virus hab ich fast gekillt. Aber die Meldung versteh ich nicht. Ich dachte, ich hätte Ahnung, aber echt, woher kommt das? Gibt es eine art Shutdown-Script ähnlich wie RUN beim Startup? Also dass kurz vor dem Shutdown nochmal dafür gesorgt wird, dass diese RUN einträge die ich gelöscht hatte wiederhergestellt werden? Ich sehe keine Prozesse, die mir suspekt vorkommen. Oder gibt es die möglichkeit, Prozesse versteckt auszuführen? Wär mir neu... Btw zeigt DU-Meter 0 Verkehr an. Ich glaube kaum, dass ich bereits zur FTP-Drohne vermacht wurde. Das wär mir glaube ich aufgefallen ^^ ... Geändert von TB2 (11.08.2007 um 01:48 Uhr) |
11.08.2007, 01:41 | #4 |
> MalwareDB | Serv-U und seine Folgen. (services.exe) Ich will gar nicht wissen, was jemanden der meint einen w2k3 Server betreiben zu müssen, veranlaßt solch einen Müll zu laden. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
11.08.2007, 01:58 | #5 |
| Serv-U und seine Folgen. (services.exe) Wie kommst du auf w2k3? Das ist XP x64. Ich hab kein Win server 2003. Das ist ein PC zum zocken. Hab ihn nicht so lange, und bis jetzt läuft x64 ganz gut, drum hab ichs. Und findest du NetOp Müll? Ich finde es ist das mächtigste Remote Tool von allen... edit: btw jetzt fällt mir grad auf, "Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste;" ist auch grad ein klein wenig sexistisch. Wenn du's schon darauf anlegst... |
11.08.2007, 05:33 | #6 | |
/// Helfer-Team | Serv-U und seine Folgen. (services.exe) Naja, ist dein Rechner, und im Zweifelsfall werden es auch deine Probleme sein. Ich habe gerade mal nach "NetOp Remote Control" gegoogelt und bin jedenfalls keiner gestückelten RAR-Datei begegnet, sondern einer EXE (InstallShield). Falls Du es aus einer anderen Quelle bezogen haben solltest (z.B. um Kosten für eine Lizenz zu sparen) könnte es verändert sein, dass kommt in diesen Kreisen oft vor. Und ja, so ein Selbstextrahierer kann Befehle enthalten, die sofort weitere Aktionen bewirken. Dieses Bündel der drei O4-Einträge kommt mir ziemlich bekannt vor, hab das in den letzten Jahren schon einige Male auf verseuchten Rechnern gesehen. Ich denke mal, dass der erste Eintrag ein FTP-Server ist, wohl dieser Serv-U. Dass die Dateien so umbenannt wurden, dass sie Systemdateien vortäuschen sollen, ist mit Sicherheit ein schlechtes Zeichen. Zitat:
Shutdown-Scripte gibt es auch -> Microsoft Übrigens behauptet HijackThis wirklich, dass Du ein Windows 2003 hast (zweite Zeile). Hijackthis ist ein sehr altes Programm, vielleicht funktioniert die Erkennung da nicht richtig. |
11.08.2007, 16:44 | #7 |
| Serv-U und seine Folgen. (services.exe) Das find ich aber schon erstaunlich. Also ich werd den PC einfach mal neu aufsetzen, die Installation ist eh erst 2 Wochen alt, kein grosser Verlust. Und zwar mach ich's so: - Netzwerkkabel von Anfang an ausgesteckt lassen - Windows installieren - Auf dem Notebook die aktuellen KAV-Virendatenbanken als file runterladen, zusammen mit einer Firewall und einigen wichtigen Windows-Updates (z.b. RPC-Locator-Lücke) auf CD Brennen. - Updates installieren - KAV auf dem PC installieren, aktuelle Datenbanken installieren, vollen Systemcheck machen. - Firewall installieren. - Erst dann das Netzwerkkabel wieder anschliessen. Meinst du das sollte wirken, und allfällige Kopien auf anderen Paritionen / Festplatten ausmerzen? Oder gibt es noch andere Dinge die man tun muss um wirklich alle Instanzen zu finden? Was für eine Firewall würdet ihr empfehlen? Ich verwendete mal vor Jahren Sygate und war sehr zufrieden. Ist aber discontinued, und Symantec-Dinge installier ich bei mir bestimmt nicht. Kann es sein, dass der Notebook, der ebenfalls im Netzwerk ist, und ebenfalls nur KAV, aber keine Firewall installiert hat, ebenfalls versuecht wurde? Ganz allgemeinie Frage, gibt es Tools die solche rootkits sichtbar machen? Btw versuchte ich vorhin noch kurz das alte Sygate auf dem PC zu installieren, beim Reboot sagte es dann dass teile missing seien. Ganz schön mächtiger Virus... o.Ô Versteh auch gar nicht wie der an KAV vorbeigekommen ist... Versetzt mich alles sehr ins Staunen edit: ich werd auch gleich mal noch mein Modem resetten damit ich ne neue IP bekomme. Geändert von TB2 (11.08.2007 um 16:56 Uhr) |
11.08.2007, 18:19 | #8 |
/// Helfer-Team | Serv-U und seine Folgen. (services.exe) Der Plan hört sich ganz gut an. Wesentlich ist, dass die Updates installiert werden, bevor Du online gehst, ansonsten wird der Rechner schneller verwurmt sein, als Du die Updateseite geladen hast. Wenn Du die Updates nicht lokal zur Verfügung hast, brauchst Du auf jeden Fall eine Firewall, die den Würmern den Appetit verdirbt. Entweder eine von Windows oder eine andere. Ein Router würde es auch tun. Ich sage dazu, dass die von Windows ausreicht, da gibt es aber auch andere Meinungen dazu. Der wesentliche unterschied ist, dass die von Windows nicht verspricht, was die anderen nicht halten können: ausgehende Verbindungen zu überwachen. Sollte ausreichen die Systempartition neu zu installieren. Andere Partitionen sollten allerdings vor erneutem Zugriff gründlich gescannt werden, das ist aber mehr eine zusätzliche Sicherheit gegen einen sehr unwahrscheinlichen Fall. Sofern auf dem Notebook alle Updates vorhanden sind und Du dort nicht seltsame Softwarepakete installierst, sollte es sicher sein. Ein Rootkit ist erstmal nur eine Technik, um auf einem System was zu verstecken. Das kann eine CD-Emulation (Daemon-Tools) sein, das kann Adware sein, ebenso gut aber auch ein Backdoorserver mit Keylogger und allem Drum und Dran. Im Prinzip geht es dabei darum, dass Windowsfunktionen so manipuliert werden, dass sie bestimmte Dinge einfach anzeigen. Dann bekommt der Explorer bestimmte Dateien nicht zu sehen, der Virenscanner ebenfalls nicht. Es können z.B. auch laufende Prozesse, Registryeinträge oder geöffnete Ports sein. Die Liste ist nicht vollständig, im Prinzip kann alles versteckt werden, das sind nur ein paar typische Beispiele. Es gibt eine Reihe von Spezialscannern, die versuchen Hinweise darauf zu ermitteln, ob ein Rootkit vorhanden ist. Ein Funktionsprinzip dieser Scanner ist es, zu versuchen, dieselbe Information auf unterschiedlichem Weg zu bekommen. Z.B. erstmal Windows nach den vorhandenen Dateien zu befragen und dann die Festplatte direkt zu lesen. Treten dabei Unterschiede auf, sind die ein Hinweis auf das Vorhandensein eines Rootkits. Aber noch kein Beweis, es ist möglich, dass ein anderer Prozess zwischen den beiden Scans Veränderungen am Dateisystem vorgenommen hat. Umgekehrt ist das Ausbleiben solcher Unterschiede kein Beweis, dass kein Rootkit vorliegt. Es könnte auch eins sein, dessen Programmierer besonders gut gearbeitet hat. Übliche Rootkitscanner, mit denen gute Erfahrungen vorliegen, sind z.B. Gmer, Catchme, RootkitRevealer und Blacklight. Grundsätzlich solltest Du es einrichten, dass bei ihrem Einsatz möglichst wenig Hintergrundaktivitäten auf deinem Rechner stattfinden. Also von allen Netzwerken trennen, Virenscanner deaktivieren und Maus und Tastatur nicht benutzen. Dennoch erzeugen diese Scanner (besonders GMER und Rootkitrevealer) eine manchmal beachtliche Menge Meldungen, die man dann im einzelnen ansehen muss. |
Themen zu Serv-U und seine Folgen. (services.exe) |
abgesicherten modus, application, booten, c.exe, c:\windows\system32\services.exe, desktop, drivers, explorer, handel, hijack, hijackthis, internet, internet explorer, kaspersky, keine fehlermeldung, log, neu, nvidia, opera, ordner, performance, policyagent, registry, security, server, services.exe, software, suspekt, system, syswow64, temp, virus, warnung, windows, windows\system32\drivers, wmi |