Hallo!

Ich habe ein Problem mit dem Rechner eines Freundes. Browser-Hijack? Ich bin auf dem Rechner über einen SSH-Tunnel über einen Router per VNC eingeloggt.
Auf dem Rechner läuft W2k und er arbeitet nur mit Benutzerechten.
Der Downloadmanager des Firefoxes (ver: 2.0.0.6.) lädt einfach irgendwelche Kurzfilme (mit sehr freizügigen Damen ;-) ) im Hintergrund runter. Obwohl eingestellt ist, dass er nachfragen soll wohin die Datei gespeichert werden soll, werden die Dateien nach \lokaleEinstellungen\temp gespeichert. Es sind so viele, das der Download nicht manuell gestartet werden kann! Ein Scan mit Spybot und AdAware findet nichts. Hijackthis logfile findet sich am Ende.
Wie finde ich das Teil und werde es wieder los ?
Was bezweckt bitte ein Programm dieser Art? Wenn der Recher für irgendweche Dinge misbraucht werden soll, sollte sich der Rechner unauffällig verhalten und wenn es ein Dialer ist, ist es recht sinnlos, weil es sich um einen ADSL-Anschluss handelt und auch nirgendwo angegeben wird, wo man ein Abo oder so abschließen kann. Somit kann ich nicht nachvollziehen was der Zweck davon ist !?



Logfile of HijackThis v1.99.1
Scan saved at 11:15:47, on 10.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\fli4l\Imonc.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Verknpfung mit Imonc.lnk = C:\Programme\fli4l\Imonc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: h**p://www.pandasoftware.com
O15 - Trusted Zone: h**p://www.pdg-lineos.com
O16 - Trusted Zone: h**p://*.pdg-lineos.com
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst fr die Verwaltung logischer Datentrger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Zitat:

Ich bin auf dem Rechner über einen SSH-Tunnel über einen Router per VNC eingeloggt.

Hallo.

Du hast also eine Verbindung von deinem Netzwerk/Arbeitsplatz zu dem deines Freundes hergestellt um über die Fernwartungssoftware VNC sein System zu konfigurieren bzw. zu warten.

Richtig?

Zitat:

Der Downloadmanager des Firefoxes (ver: 2.0.0.6.) lädt einfach irgendwelche Kurzfilme (mit sehr freizügigen Damen ;-) ) im Hintergrund runter. Obwohl eingestellt ist, dass er nachfragen soll wohin die Datei gespeichert werden soll, werden die Dateien nach \lokaleEinstellungen\temp gespeichert. Es sind so viele, das der Download nicht manuell gestartet werden kann!

Kurz gesagt, auf dem System deines Freundes werden einfach Daten über dessen Downloadmanager ohne sein zutun heruntergeladen und irgendwo gespeichert?!

Richtig?

Zitat:

Wie finde ich das Teil und werde es wieder los ?

Gute Frage, das Hijacklog ist meiner Ansicht nach unbedenklich, was aber nichts zu bedeuten hat!

Versuch es als erstes mal hiermit:



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!



F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny

Du hast also eine Verbindung von deinem Netzwerk/Arbeitsplatz zu dem deines Freundes hergestellt um über die Fernwartungssoftware VNC sein System zu konfigurieren bzw. zu warten.

Richtig?

Ich habe mit Putty einen SSH-Tunnel zum Router aufgebaut und über diesen greife ich auf den PC per VNC zu. Also richtig

Zitat:

Kurz gesagt, auf dem System deines Freundes werden einfach Daten über dessen Downloadmanager ohne sein zutun heruntergeladen und irgendwo gespeichert?!

Richtig?

Die Downloads starten von selbst und werden immer nach /tmp gespeichert. Also richtig

Zitat:

Gute Frage, das Hijacklog ist meiner Ansicht nach unbedenklich, was aber nichts zu bedeuten hat!

Gudd so!

Zitat:

Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Ausgabe:
ComboFix 07-09-10.6 - "Administrator" 10.09.2007 18:32:59.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.372 [GMT 2:00]
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-10 bis 2007-09-10 ))))))))))))))))))))))))))))))
.

2007-09-10 18:31 51,200 --a------ C:\WINNT\NirCmd.exe
2007-09-10 18:31 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_27c.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
30.07.07 19:19 92504 --a------ C:\WINNT\system32\cdm.dll
30.07.07 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll
30.07.07 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe
30.07.07 19:19 43352 --a------ C:\WINNT\system32\wups2.dll
30.07.07 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll
30.07.07 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll
30.07.07 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll
30.07.07 19:18 33624 --a------ C:\WINNT\system32\wups.dll
27.07.07 19:21 --------- d-------- C:\Programme\Vim
27.07.07 19:18 --------- d-------- C:\Programme\kav
26.06.07 11:57 235280 --a------ C:\WINNT\system32\GDI32.DLL
21.11.06 16:56 271 ---h----- C:\Programme\desktop.ini
21.11.06 16:56 22080 ---h----- C:\Programme\folder.htt
10.12.99 14:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys
10.09.07 11:15 --------- d-a------ C:\Programme\Spamihilator
07.06.07 08:50 1119232 --a------ C:\WINNT\system32\msxml3.dll
05.09.07 18:38 --------- d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 13:05 C:\WINNT\system32\mobsync.exe]
"Matrox PowerDesk SE"="c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [30.01.06 23:58 ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [06.09.07 08:19 ]
"Logitech Utility"="Logi_MwX.Exe" [17.12.03 10:50 C:\WINNT\LOGI_MWX.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fli4l"="C:\Programme\fli4l\Imonc.exe" [25.08.04 23:44 ]
"Spamihilator"="C:\Programme\Spamihilator\spamihilator.exe" [24.01.07 15:49 ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 G400DH;G400DH;C:\WINNT\system32\DRIVERS\g400dhm.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-10 18:33:42
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 10.09.2007 18:34:09
.
--- E O F ---

Zitat:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Ausgabe:
09/10/07 18:38:26 [Info]: BlackLight Engine 1.0.64 initialized
09/10/07 18:38:26 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/10/07 18:38:26 [Note]: 7019 4
09/10/07 18:38:26 [Note]: 7005 0
09/10/07 18:38:31 [Note]: 7006 0
09/10/07 18:38:31 [Note]: 7011 816
09/10/07 18:38:32 [Note]: 7026 0
09/10/07 18:38:32 [Note]: 7026 0
09/10/07 18:38:33 [Note]: FSRAW library version 1.7.1022
09/10/07 18:43:35 [Note]: 7007 0

Zitat:

Gruß
Sunny

Danke schon mal für die Hilfe
Gruß derDude79

Die Rootkitscanner haben mir auch keine befriedigenden Ergebnisse gebracht, keinerlei Anzeichen von Backdoor´s oder versteckten Roots.


Mach bitte mal noch folgendes:


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp



Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.


Sunny

Zitat:

Zitat von [Gc]Sunny

Die Rootkitscanner haben mir auch keine befriedigenden Ergebnisse gebracht, keinerlei Anzeichen von Backdoor´s oder versteckten Roots.

Gibt es irgendwelche Einstellungen im Firefox, die dafür verantwortlich sein können? Ich hab im about:config schon den prefetch für zuletzt besuchte Seiten deaktviert. Gibt es weitere Dinge, die automatisch Laden können?

Zitat:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\

10.09.2007  18:34                3.524 ComboFix.txt
10.09.2007  18:17          805.306.368 pagefile.sys
              11 Datei(en)    805.875.272 Bytes
               0 Verzeichnis(se),   7.154.921.472 Bytes frei
 
----- System32 ------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\WINNT\system32

10.09.2007  18:31               16.384 Perflib_Perfdata_27c.dat
03.08.2007  06:34           16.789.464 MRT.exe
            1555 Datei(en)    225.931.314 Bytes
               0 Verzeichnis(se),   7.154.790.400 Bytes frei
 
----- no Prefetch dir ------------------ 
 
----- Windows -------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\WINNT

10.09.2007  18:19            1.694.965 WindowsUpdate.log
10.09.2007  18:18            2.621.494 BGInfo.bmp
10.09.2007  11:18               32.628 SchedLgU.Txt
08.09.2007  14:37            1.108.356 ShellIconCache
30.08.2007  17:34              562.111 iis5.log
30.08.2007  17:34                1.429 imsins.log
30.08.2007  17:34              243.883 comsetup.log
30.08.2007  17:34              221.190 ocgen.log
30.08.2007  17:34               17.021 ockodak.log
30.08.2007  17:34               70.881 updspapi.log
30.08.2007  17:33                1.429 imsins.BAK
25.08.2007  16:46               14.485 KB921503.log
25.08.2007  16:46               14.197 KB938829.log
25.08.2007  16:45               13.659 KB936021.log
14.08.2007  15:09               13.941 dahotfix.log
             160 Datei(en)     13.606.071 Bytes
               0 Verzeichnis(se),   7.154.778.112 Bytes frei
 
----- Tasks ---------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\WINNT\tasks

10.09.2007  18:17                    6 SA.DAT
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),   7.154.831.360 Bytes frei
 
----- Wintemp -------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\WINNT\temp

 
----- Temp ----------------------------- 
 Datentrger in Laufwerk C: hat keine Bezeichnung.
 Datentrgernummer: 54FC-91B4

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.09.2007  19:39               91.074 filelist.txt
               1 Datei(en)         91.074 Bytes
               0 Verzeichnis(se),   7.154.831.360 Bytes frei
         

Zitat:

Deckards System Scanner (DSS)

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.
Sunny

Frage:
Wird der Wiederherstellungspunkt nicht nur bei WinXP gesetzt?

Zitat:

Zitat von [Gc]Sunny

Hier gibt es das Tool -> dss.exe

Bitte mal den Link aktualisieren und ggf. andere Tools nennen. Danke