System sauber? Schaut bitte dennoch mal drüber - scvhost.exe

ls2000 · 15.10.2007, 11:48

Mahlzeit zusammen,

habe ich jetzt mal auch angemeldet, weil es mich erwischt hat. Konnte wahrscheinlich das Problem fixen, habe aber noch ein ungutes Gefühl.

Deshalb wäre es nett, wenn ihr mal drüber schauen könntet.

Mich beunruhigen folgende Fragen:

- Seit wann bzw. wann wurde der Schädling aktiv?
- Kann ich einen Zeitraum angeben, sodass ich weiss welche Kennwörter ich wo eingegeben habe oder auch nicht?
- Was hat der Schädling gemacht?

Mit Schädling gab es folgenden HJT Log und als Aussertung, dass es sich bei der scvhost.exe um einen SDBOT-XT WORM handelt.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:44, on 13.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOWNLOAD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [Igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MSI US54SE 802.11 b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb
_site.cab?1182200568760
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 6534 bytes

Die scvhost.exe habe ich bei Jotti und Virustotal checken lassen mit folgendem Ergebnis:

Jotti:

A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found BackDoor.Generic8.VDE
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found BackDoor.B!tr
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found W32/Suspicious_T.gen
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Virus Total:

AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.13 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 BackDoor.Generic8.VDE
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 BackDoor.B!tr
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.13 SDBot.gen8
Ikarus T3.1.1.12 2007.10.14 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 Generic BackDoor.b
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 W32/Suspicious_T.gen
Panda 9.0.0.4 2007.10.13 -
Prevx1 V2 2007.10.14 Malware.Gen
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 VIPRE.Suspicious
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.13 -
Webwasher-Gateway 6.0.1 2007.10.13 Win32.Malware.gen (suspicious)

Danach habe ich Combofix und SDBOT Search & Destroy angewandt und das Ergebnis ist der folgende HJT Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:32:58, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\tp4serv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
E:\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [Igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - Global Startup: MSI US54SE 802.11 b+g USB Stick Utility.lnk.disabled
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182200568760
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5680 bytes

Sieht eigentlich sauber aus, oder? Der BOT hat mir noch folgende Datei angelegt: 14.10.2007 08:59 109.248 MSWINSCK.OCX

Die Datei habe ich umbenannt in MSWINSCK.000

Ich weiss, dass ich neu aufsetzen muss und sollte, trotzdem würde ich gerne wissen seit wann das Teil aktiv war und welche Daten es evtl. von mir gekriegt hat und wie hat es diese Daten an "seinen Meister" gesendet?

Andere Logs kann ich noch nachreichen.

Vielen Dank schon mal vorab.

Cleriker · 15.10.2007, 13:26

Hi und

Herzlich Willkommen im Trojaner-Board

Wie du schon gesagt hast, wäre ein Neuaufsetzen deines
System wohl das Beste, aber wie ich so heraus höre, wirst
du das nicht durchführen. Na dann gehen wir mal den alternativen
Weg, obwohl ich dir kein sicheres System garantiere.

Zitat:

1. Seit wann bzw. wann wurde der Schädling aktiv?
2. Kann ich einen Zeitraum angeben, sodass ich weiss welche Kennwörter ich wo eingegeben habe oder auch nicht?
3. Was hat der Schädling gemacht?

zu 1: sehen wir vielleicht an deinem Filelist.
zu 2: alle Logindaten, die nach dem letzten Neuaufsetzen ausgeführt wurden.
zu 3: Auszug aus Sophos:

Zitat:

- Erlaubt dritten Zugriff auf das System
- modifiziert Daten auf dem System
- löscht Daten auf dem System
- Stiehlt Informationen über Passwörter
- Lädt ausführbaren Code aus dem Internet

1. In deinem aktuellen Logfile ist nichts weiter malwareartiges zu sehen.

2. Fixe folgenden Eintrag noch:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

3. Suche folgende Schlüssel auf und lösche, falls vorhanden:
(Start > Ausführen > Regedit)

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update
scvhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update
scvhost.exe

4. * CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

5. Poste die Logs von folgenden Scans
(mehr können wir nicht für dich tuen)

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

mfg Cleriker

ls2000 · 15.10.2007, 13:46

Zitat:

Zitat von Cleriker

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Vielen Dank erst einmal für die Hinweise und Ratschläge.

Hier mal ein Auszug was erstellt wurde:
Verzeichnis von C:\WINDOWS\system32

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll
12.10.2007 07:57 2.278 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
02.09.2007 20:34 265.416 FNTCACHE.DAT
18.08.2007 22:50 0 mapisvc.inf
08.08.2007 16:31 2.707.456 OnlineScanner.ocx
08.08.2007 16:30 19.456 OnlineScannerLang.dll
02.08.2007 18:11 253.952 OnlineScannerDLLA.dll
02.08.2007 18:11 241.664 OnlineScannerDLLW.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 15:49 225.355 lnod32apiW.dll
27.07.2007 15:49 196.683 lnod32apiA.dll
26.07.2007 21:46 108.144 CmdLineExt.dll
14.07.2007 23:42 181.736 rmoc3260.dll
14.07.2007 23:42 5.632 pndx5032.dll
14.07.2007 23:42 6.656 pndx5016.dll
14.07.2007 23:42 278.528 pncrt.dll
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\DOKUME~1\STANDA~1\LOKALE~1\Temp

14.10.2007 09:33 100.377 datfind.txt
14.10.2007 09:32 114.688 ~DF924D.tmp
2 Datei(en) 215.065 Bytes
0 Verzeichnis(se), 13.450.457.088 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS

14.10.2007 09:00 2.006.742 WindowsUpdate.log
14.10.2007 08:59 0 0.log
14.10.2007 08:59 159 wiadebug.log
14.10.2007 08:59 50 wiaservc.log
14.10.2007 08:59 54.156 QTFont.qfn
14.10.2007 08:59 2.048 bootstat.dat
14.10.2007 08:58 32.574 SchedLgU.Txt
13.10.2007 08:55 839 win.ini
13.10.2007 08:54 26 Lic.xxx
13.10.2007 08:53 216.362 ntbtlog.txt
12.10.2007 16:07 473.110 setupapi.log
12.10.2007 08:05 69.880 iis6.log
12.10.2007 08:05 157.127 comsetup.log
12.10.2007 08:05 95.586 ntdtcsetup.log
12.10.2007 08:05 181.242 tsoc.log
12.10.2007 08:05 1.393 imsins.log
12.10.2007 08:05 24.684 ocmsn.log
12.10.2007 08:05 7.705 KB933729.log
12.10.2007 08:05 240.173 ocgen.log
12.10.2007 08:05 22.637 msgsocm.log
12.10.2007 08:05 444.911 FaxSetup.log
12.10.2007 08:05 17.346 updspapi.log
08.10.2007 17:25 218.408 setupact.log
28.09.2007 09:06 135.168 catchme.exe
02.09.2007 20:44 1.355 imsins.BAK
02.09.2007 20:44 9.810 KB885250.log
31.08.2007 16:08 42.896 KB899587.log
31.08.2007 16:07 42.397 KB927779.log
31.08.2007 16:07 39.389 KB927802.log
31.08.2007 16:07 38.989 KB922819.log
31.08.2007 16:07 38.059 KB923414.log
31.08.2007 16:07 38.742 KB928255.log
31.08.2007 16:07 38.689 KB931784.log
31.08.2007 16:06 36.565 KB911927.log
31.08.2007 16:06 35.567 KB901017.log
31.08.2007 16:06 35.589 KB899591.log
31.08.2007 16:06 25.654 KB923723.log
31.08.2007 16:06 36.201 KB920685.log
31.08.2007 16:06 38.329 KB923980.log
31.08.2007 16:06 37.714 KB936021.log
31.08.2007 16:06 36.428 KB911562.log
31.08.2007 16:06 34.647 KB924667.log
31.08.2007 16:05 36.565 KB924270.log
31.08.2007 16:05 33.963 KB924496.log
31.08.2007 16:05 35.400 KB921503.log
31.08.2007 16:05 34.590 KB938829.log
31.08.2007 16:05 34.437 KB925902.log
31.08.2007 16:05 32.300 KB920670.log
31.08.2007 16:05 31.217 KB891781.log
31.08.2007 16:05 34.864 KB902400.log
31.08.2007 16:04 28.714 KB926436.log
31.08.2007 16:04 29.909 KB930178.log
31.08.2007 16:04 27.172 KB919007.log
31.08.2007 16:04 28.961 KB914388.log
31.08.2007 16:04 27.697 KB917344.log
31.08.2007 16:04 26.706 KB905414.log
31.08.2007 16:04 27.452 KB917953.log
31.08.2007 16:04 28.494 KB932168.log
31.08.2007 16:04 26.660 KB901214.log
31.08.2007 16:04 24.495 KB923191.log
31.08.2007 16:03 18.078 KB922582.log
31.08.2007 16:03 23.468 KB918118.log
31.08.2007 16:03 23.567 KB926255.log
31.08.2007 16:03 23.917 KB900725.log
31.08.2007 16:03 22.820 KB938127.log
31.08.2007 16:03 23.048 KB920213.log
31.08.2007 16:03 21.889 KB935840.log
31.08.2007 16:03 21.325 KB904706.log
31.08.2007 16:03 21.924 KB908531.log
31.08.2007 16:02 15.436 KB923689.log
31.08.2007 16:02 25.188 KB937143.log
31.08.2007 16:02 18.448 KB935839.log
31.08.2007 16:02 18.001 KB908519.log
31.08.2007 16:01 18.691 KB920683.log
31.08.2007 16:01 17.184 KB928843.log
14.08.2007 23:12 0 mngui.INI
14.08.2007 22:51 57.918 DPINST.LOG
14.08.2007 22:27 119.583 wmsetup.log
26.07.2007 21:46 124.632 DirectX.log
14.07.2007 23:44 24 cdplayer.ini
14.07.2007 23:43 1.549 mozver.dat
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\temp
.
.
.

ls2000 · 15.10.2007, 13:49

Zitat:

Zitat von Cleriker

zu 2: alle Logindaten, die nach dem letzten Neuaufsetzen ausgeführt wurden.

a) Werden die Login Daten gespeichert?
b) Welche Login Daten werden gespeichert?
c) Werden auch Login Daten von Foren, Webmail, Online-Banking gespeichert auch wenn ich den Browser so einstelle, dass er nichts speichern soll?

Cleriker · 15.10.2007, 14:27

Hi nochmal,

Zitat:

14.10.2007 08:59 109.248 MSWINSCK.OCX

Sieht so aus, als wäre die ganze Geschichte erst gestern passiert.

Zitat:

a) Werden die Login Daten gespeichert?
b) Welche Login Daten werden gespeichert?
c) Werden auch Login Daten von Foren, Webmail, Online-Banking gespeichert auch wenn ich den Browser so einstelle, dass er nichts speichern soll?

ich geh hier mal vom worst case aus:
a) wenn der Schädling mit einer Keyloggerfunktion ausgestattet ist, ja
b) Online-Banking, Ebay, E-Mail-Account
c) siehe a)

mfg Cleriker

ls2000 · 15.10.2007, 14:35

...denke auch, dass das erst gestern morgen passiert ist.

Trotzdem werde ich noch die ganzen anderen Dinge aus dem Antwort Post abarbeiten und hier bescheid geben.

ls2000 · 15.10.2007, 20:16

Zitat:

Zitat von Cleriker

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

ich bekomme das nicht hin, da die find.bat keine verkürzte Datei generiert. Habe MWAV und find.bat im gleichen Verzeichnis, aber es wird nichts generiert, obwohl die Batch Datei abläuft ist das Ergebnis leer.

MWAV meldet aber u.a.

Mon Oct 15 19:36:19 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Mon Oct 15 19:36:19 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.

Mon Oct 15 19:36:19 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Mon Oct 15 19:36:19 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

Was soll ich jetzt machen?

Nochmal MWAV starten und dann ohne Netzwerkunterstützung? Brauche ich die zum Scannen die Netzwerkunterstützung?

ls2000 · 15.10.2007, 20:21

Zitat:

Zitat von Cleriker

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"PWRMGRTR" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor" [MS]
"SoundMAX" = "C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray" ["Analog Devices, Inc."]
"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"BLOG" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog" [MS]
"IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."]
"Igfxhkcmd" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\System32\igfxpers.exe" ["Intel Corporation"]
"igfxtray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{C539A15A-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Context Menu Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Context Menu Extension"
\InProcServer32\(Default) = "C:\Programme\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{C539A15B-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
MyPhoneExplorer\(Default) = "{6863F1C7-E13A-481E-BF9C-5C8F01AF74E5}"
-> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
\InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Startup items in "Standard Benutzer" & "All Users" startup folders:
-------------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> "MSI US54SE 802.11 b+g USB Stick Utility.lnk.disabled" [null data]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
STI Simulator, STI Simulator, "C:\WINDOWS\System32\PAStiSvc.exe" [null data]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]

---------- (launch time: 2007-10-15 21:17:17)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 71 seconds, including 17 seconds for message boxes)

ls2000 · 15.10.2007, 20:28

Zitat:

Zitat von Cleriker

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\

15.10.2007 21:22 43 filelist.txt
15.10.2007 21:03 1.332.203.520 hiberfil.sys
15.10.2007 21:03 390.070.272 pagefile.sys
15.10.2007 20:57 0 23990098.$$$
14.10.2007 09:30 8.253 ComboFix.txt

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS

15.10.2007 21:04 0 0.log
15.10.2007 21:04 159 wiadebug.log
15.10.2007 21:04 2.052.738 WindowsUpdate.log
15.10.2007 21:04 50 wiaservc.log
15.10.2007 21:04 54.156 QTFont.qfn
15.10.2007 21:03 2.048 bootstat.dat
15.10.2007 19:29 50 Lic.xxx
15.10.2007 19:26 298.382 ntbtlog.txt
15.10.2007 19:25 32.574 SchedLgU.Txt
14.10.2007 16:04 506.144 setupapi.log
13.10.2007 08:55 839 win.ini
12.10.2007 08:05 69.880 iis6.log
12.10.2007 08:05 157.127 comsetup.log
12.10.2007 08:05 95.586 ntdtcsetup.log
12.10.2007 08:05 181.242 tsoc.log
12.10.2007 08:05 1.393 imsins.log
12.10.2007 08:05 24.684 ocmsn.log
12.10.2007 08:05 7.705 KB933729.log
12.10.2007 08:05 240.173 ocgen.log
12.10.2007 08:05 22.637 msgsocm.log
12.10.2007 08:05 444.911 FaxSetup.log
12.10.2007 08:05 17.346 updspapi.log
08.10.2007 17:25 218.408 setupact.log
28.09.2007 09:06 135.168 catchme.exe
02.09.2007 20:44 1.355 imsins.BAK
02.09.2007 20:44 9.810 KB885250.log
31.08.2007 16:08 42.896 KB899587.log
31.08.2007 16:07 42.397 KB927779.log
31.08.2007 16:07 39.389 KB927802.log
31.08.2007 16:07 38.989 KB922819.log
31.08.2007 16:07 38.059 KB923414.log
31.08.2007 16:07 38.742 KB928255.log
31.08.2007 16:07 38.689 KB931784.log
31.08.2007 16:06 36.565 KB911927.log
31.08.2007 16:06 35.567 KB901017.log
31.08.2007 16:06 35.589 KB899591.log
31.08.2007 16:06 25.654 KB923723.log
31.08.2007 16:06 36.201 KB920685.log
31.08.2007 16:06 38.329 KB923980.log
31.08.2007 16:06 37.714 KB936021.log
31.08.2007 16:06 36.428 KB911562.log
31.08.2007 16:06 34.647 KB924667.log
31.08.2007 16:05 36.565 KB924270.log
31.08.2007 16:05 33.963 KB924496.log
31.08.2007 16:05 35.400 KB921503.log
31.08.2007 16:05 34.590 KB938829.log
31.08.2007 16:05 34.437 KB925902.log
31.08.2007 16:05 32.300 KB920670.log
31.08.2007 16:05 31.217 KB891781.log
31.08.2007 16:05 34.864 KB902400.log
31.08.2007 16:04 28.714 KB926436.log
31.08.2007 16:04 29.909 KB930178.log
31.08.2007 16:04 27.172 KB919007.log
31.08.2007 16:04 28.961 KB914388.log
31.08.2007 16:04 27.697 KB917344.log
31.08.2007 16:04 26.706 KB905414.log
31.08.2007 16:04 27.452 KB917953.log
31.08.2007 16:04 28.494 KB932168.log
31.08.2007 16:04 26.660 KB901214.log
31.08.2007 16:04 24.495 KB923191.log
31.08.2007 16:03 18.078 KB922582.log
31.08.2007 16:03 23.468 KB918118.log
31.08.2007 16:03 23.567 KB926255.log
31.08.2007 16:03 23.917 KB900725.log
31.08.2007 16:03 22.820 KB938127.log
31.08.2007 16:03 23.048 KB920213.log
31.08.2007 16:03 21.889 KB935840.log
31.08.2007 16:03 21.325 KB904706.log
31.08.2007 16:03 21.924 KB908531.log
31.08.2007 16:02 15.436 KB923689.log
31.08.2007 16:02 25.188 KB937143.log
31.08.2007 16:02 18.448 KB935839.log
31.08.2007 16:02 18.001 KB908519.log
31.08.2007 16:01 18.691 KB920683.log
31.08.2007 16:01 17.184 KB928843.log
14.08.2007 23:12 0 mngui.INI
14.08.2007 22:51 57.918 DPINST.LOG
14.08.2007 22:27 119.583 wmsetup.log

----- System ---
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\system

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\system32

14.10.2007 16:03 2.550 Uninstall.ico
14.10.2007 16:03 1.406 Help.ico
14.10.2007 16:03 30.590 pavas.ico
14.10.2007 08:59 109.248 MSWINSCK.000
14.10.2007 00:16 53.760 zlib.dll
12.10.2007 07:57 2.278 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
02.09.2007 20:34 265.416 FNTCACHE.DAT
18.08.2007 22:50 0 mapisvc.inf

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\Prefetch

15.10.2007 21:22 33.686 NOTEPAD.EXE-336351A9.pf
15.10.2007 21:22 27.354 CMD.EXE-087B4001.pf
15.10.2007 21:22 5.502 MORE.COM-32DCB7E4.pf
15.10.2007 21:22 10.806 REG.EXE-0D2A95F7.pf
15.10.2007 21:22 10.838 FINDSTR.EXE-0CA6274B.pf
15.10.2007 21:22 17.610 VERCLSID.EXE-3667BD89.pf
15.10.2007 21:17 42.620 WMIPRVSE.EXE-28F301A9.pf
15.10.2007 21:17 29.132 WSCRIPT.EXE-32960AB9.pf
15.10.2007 21:05 20.784 RUNDLL32.EXE-48E23B49.pf
15.10.2007 21:05 86.726 FIREFOX.EXE-1D57670A.pf
15.10.2007 21:05 19.646 EXPLORER.EXE-082F38A9.pf
15.10.2007 21:05 25.332 WUAUCLT.EXE-399A8E72.pf
15.10.2007 21:05 17.816 ZDWLAN.EXE-1126074B.pf
15.10.2007 21:05 586.188 NTOSBOOT-B00DFAAD.pf
15.10.2007 19:23 14.912 WISPTIS.EXE-0C21B942.pf
15.10.2007 19:23 56.026 ACRORD32.EXE-2525A870.pf
15.10.2007 19:18 16.662 CCLEANER.EXE-065E2F3F.pf
15.10.2007 19:16 25.342 CCSETUP201.EXE-3211894B.pf
15.10.2007 19:16 20.950 HIJACKTHIS.EXE-0A4EAF9C.pf
15.10.2007 19:15 29.022 RUNDLL32.EXE-34BFB767.pf
15.10.2007 19:04 14.554 REGEDIT.EXE-1B606482.pf
15.10.2007 19:03 28.794 RUNDLL32.EXE-27FF3EFB.pf
15.10.2007 19:02 39.694 AVNOTIFY.EXE-22AE9451.pf
15.10.2007 19:01 52.872 UPDATE.EXE-13D57D76.pf
15.10.2007 19:01 14.404 PREUPD.EXE-358AA1C1.pf
15.10.2007 19:01 58.186 AVCENTER.EXE-37584419.pf
14.10.2007 20:51 14.754 LOGONUI.EXE-0AF22957.pf
14.10.2007 19:59 167.138 layout.ini
14.10.2007 17:18 16.420 PREVXCSI.EXE-308C6556.pf
14.10.2007 17:18 12.798 PREVXCSIFREE.EXE-04E64BF9.pf
14.10.2007 17:18 67.302 AVSCAN.EXE-05AECC0E.pf
14.10.2007 16:09 6.648 PATCH.EXE-214982C6.pf
14.10.2007 16:06 25.882 TSC.EXE-17468B7E.pf
14.10.2007 16:05 19.964 IPCONFIG.EXE-2395F30B.pf
14.10.2007 16:04 16.670 GUARDGUI.EXE-1BD45C30.pf
14.10.2007 15:11 39.446 RUNDLL32.EXE-36753CDB.pf
14.10.2007 13:38 13.822 CTFMON.EXE-0E17969B.pf
14.10.2007 13:38 70.888 IEXPLORE.EXE-2CA9778D.pf
14.10.2007 13:38 27.442 RUNDLL32.EXE-3EF62648.pf
14.10.2007 13:34 13.610 IPODSERVICE.EXE-233792DA.pf
14.10.2007 12:33 35.252 SDUPDATE.EXE-30CF90C0.pf
14.10.2007 12:31 35.676 SPYBOTSD.EXE-1D495A65.pf
14.10.2007 10:53 15.282 TASKMGR.EXE-20256C55.pf
14.10.2007 10:44 20.094 IMAPI.EXE-0BF740A4.pf
14.10.2007 10:44 15.588 ALG.EXE-0F138680.pf
14.10.2007 10:44 18.064 PYTHON.EXE-28B11BC1.pf
14.10.2007 09:28 4.210 SED.CFEXE-268D7E58.pf
14.10.2007 09:28 8.350 SWREG.CFEXE-2BF4FFCD.pf
14.10.2007 09:28 4.048 GREP.CFEXE-20443039.pf
14.10.2007 09:28 11.186 NIRCMD.CFEXE-19FF4781.pf
14.10.2007 09:26 8.468 NIRCMD.EXE-1F7FED22.pf
14.10.2007 09:26 55.188 COMBOFIX.EXE-3220F68D.pf

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\tasks

15.10.2007 21:04 324 PMTask.job
15.10.2007 21:04 6 SA.DAT

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\Temp

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\DOKUME~1\STANDA~1\LOKALE~1\Temp

14.10.2007 16:04 208 java_install_reg.log
14.10.2007 14:20 0 lf_ir_1192364406.log
14.10.2007 09:33 112.152 datfind.txt

ls2000 · 15.10.2007, 20:32

Zitat:

Zitat von Cleriker

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

[System Process]:0 TCP el001:1311 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1303 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1295 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1256 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1268 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1288 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1296 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1281 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1293 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1269 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1261 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1289 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1282 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP el001:1314 194.116.241.52:http TIME_WAIT
alg.exe:2124 TCP EL001:1029 EL001:0 LISTENING
AppleMobileDeviceService.exe:420 TCP EL001:27015 localhost:1025 ESTABLISHED
AppleMobileDeviceService.exe:420 TCP EL001:27015 EL001:0 LISTENING
firefox.exe:1192 TCP el001:1319 downloads.sysinternals.com:http ESTABLISHED
firefox.exe:1192 TCP EL001:1045 localhost:1044 ESTABLISHED
firefox.exe:1192 TCP EL001:1044 localhost:1045 ESTABLISHED
firefox.exe:1192 TCP EL001:1043 localhost:1042 ESTABLISHED
firefox.exe:1192 TCP EL001:1042 localhost:1043 ESTABLISHED
firefox.exe:1192 TCP el001:1239 bu-in-f99.google.com:http ESTABLISHED
firefox.exe:1192 TCP el001:1270 mu-in-f167.google.com:http ESTABLISHED
iTunesHelper.exe:1712 TCP EL001:1025 localhost:27015 ESTABLISHED
lsass.exe:828 UDP EL001:isakmp *:*
lsass.exe:828 UDP EL001:4500 *:*
svchost.exe:1052 TCP EL001:epmap EL001:0 LISTENING
svchost.exe:1088 UDP el001:ntp *:*
svchost.exe:1088 UDP EL001:ntp *:*
svchost.exe:1132 UDP EL001:1070 *:*
svchost.exe:1132 UDP EL001:1087 *:*
svchost.exe:1132 UDP EL001:1088 *:*
svchost.exe:1132 UDP EL001:1046 *:*
svchost.exe:1200 UDP el001:1900 *:*
svchost.exe:1200 UDP EL001:1900 *:*
System:4 TCP EL001:microsoft-ds EL001:0 LISTENING
System:4 TCP el001:netbios-ssn EL001:0 LISTENING
System:4 UDP el001:netbios-ns *:*
System:4 UDP EL001:microsoft-ds *:*
System:4 UDP el001:netbios-dgm *:*

KarlKarl · 15.10.2007, 20:33

Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

ls2000 · 15.10.2007, 20:34

So, jetzt sollte ich alles haben, außer find.bat oder sollte ich wirklich nichts haben?

Danke schon mal vorab für eure Unterstützung! :aplaus:

ls2000 · 15.10.2007, 20:38

Zitat:

Zitat von KarlKarl

Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

Guter Hinweis,
also kann es sein, dass das Teil schon länger auf meinem System ist und nur da zum letzten mal aktiv war.

Cleriker · 16.10.2007, 16:03

Oha, das wusste ich auch noch nicht @ KarlKarl,
danke für den Einwand.
Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.

Nichts desto trotz hab' ich nichts auffälliges gefunden.

Tue mir bitte den Gefallen und werte folgende Datei aus:
* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\shmgrate.exe

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Beim Googlen treffe ich bei jedem User auf einen Trojaner, jedoch
steht wiederrum oft da, dass sie zum System gehört. Machst du
das bitte?

mfg Cleriker

KarlKarl · 16.10.2007, 18:43

Zitat:

Zitat von Cleriker

Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.

Hab ich auch, da ich da aber nichts aufregendes gefunden habe, habe ich es nicht rein geschrieben. Bei Tcpview ist mir zwar die Ansicht ohne die Übersetzung in Namen lieber, geht aber auch so.

Code:

ATTFilter

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll

Die erste ist die bereits erwähnte Datei, die zweite kann auch von der Malware mitgebracht worden sein. Ist (dem Namen und der Größe nach) eine harmlose Freeware-DLL für ZIP-Kompression, die überall gerne eingesetzt wird. Man kann sie mal probeweise entfernen, sollte aber ein Backup haben, für den Fall dass ein anderes Programm sie dann vermisst.

Die Escan-Meldungen sind typische Falschmeldungen, nerviges Thema ohne Ende.

Sieht alles danach aus, dass die aktive Backdoor entfernt ist, was sie aber zurück gelassen hat an Systemveränderungen wissen wir nicht.

C:\WINDOWS\system32\shmgrate.exe aus dem Silentrunners ist ein ganz normaler Eintrag, der in jedem Windows vorhanden ist.

Btw: Hier ist doch Acronis Trueimage installiert. Wofür macht man denn ein Image seines Systems, wenn nicht, um es in einem solchen Fall zurückzuspielen?

System sauber? Schaut bitte dennoch mal drüber - scvhost.exe

Log-Analyse und Auswertung: System sauber? Schaut bitte dennoch mal drüber - scvhost.exe