Hallo Board-Team,

ich hoffe, dass ihr mir bei meinem Problem weiterhelfen könnt. Da ich auch ein Hijack-Log zur Auswertung zur Hand habe, bei dem mir zwei Einträge Kopfschmerzen bereiten, poste ich mal hier. Sollte ich am falschen Ort sein verpasst mir einfach einen symbolischen Arschtritt und verschiebt den Post.

Zum Problem:
Über Neujahr hatte ich mit einem ziemlich hartnäckigen Problem zu kämpfen, welches unter anderem einen neuen User mit vollen Admin-Rechten angelegt hat und diverse manipulierte Dateien eingeschleust hat, die zB das Windows-Remotetool bei Systemstart geladen haben. Ich hatte garnicht die Lust gegen das ?Rootkit? anzugehen, was bei der Schwere der Infektion imho eh keinerlei Erfolg mit sich gebracht hätte. Die seltsamste Datei, die mir beim stöbern durch mein Dateisystem auffiel, war ein passwortgeschütztes ZIP-Archiv mit Namen pinfect. Hierzu habe ich keinerlei Infos finden können, da es aber eine nod32drv.sys oder auch gmer.ini enthält, denke ich mir, dass es nicht sauber ist. Nach der ersten Installition von NOD32 hatte der Scanner noch was gefunden...
Lange Rede kurzer Sinn. System neu aufgesetzt(Vollformatierung), Outpost und NOD32 auf den neusten Stand gebracht, NOD laufen lassen, Gmer durchlaufen lassen (Zeugs von der C`t-Notfall-CD - also vertrauenswürdige Quelle), Spybot installiert(alles sauber), Massenger und Thunderbird zum Laufen gebracht, und mit dem Vorhaben SP2 am nächsten Tag nachzuinstallieren ins Bett gegangen.
Heute habe ich den Rechner angemacht und kurz nach Start sprang meine Maus 2mal ohne erfindlichen Grund. Also dachte ich mir SP2 muss warten und habe das System diverse Male gescannt, gegoogelt usw. Unter eigene DAteien habe ich sowohl beim Admin, als auch beim eingeschränkten User die mir bekannte pinfect.zip wiedergefunden(natürlich mit den NOD-Signaturen...).
Da ich dank Kabel Deutschland eine praktisch statische IP(per DHCP erzeugt, aber einer User-MAC zugewiesen und wird bis zum St. Nimmerleinstag offengehalten) habe, weiß ich nicht, ob ich mein System nochmal sauber kriegen kann.

HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:56, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\*\LOKALE~1\Temp\mexe.com
C:\WINDOWS\system32\wscntfy.exe
C:\security\hijackth.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe

--

eScan(im abgesicherten Modus):

Object "mirar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Object "backdoor (ircbot) trojans Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".part". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pcv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "RivaTuner". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\DOKUME~1\*\LOKALE~1\TEMPOR~1\Content.IE5\45GM7NV3\asktoolbar[1].exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45GM7NV3\asktoolbar[1].exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\Programme\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000401.asw markiert als "not-a-virus:AdTool.Win32.MyWebSearch.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Da ich mich leider Null mit Viren, Bots und Rootkits auskenne hoffe ich, dass mir jemand helfen kann und mir sagen kann, wie ich ab sofort meinen Rechner sicher kriege.
Derzeit gehe ich direkt über ein Modem rein, habe aber noch einen WLAN-Router rumfliegen, weiß aber nicht, ob der einen Sicherheits-Mehrwert mit sich bringt.

Ok, da wohl keiner weiterhelfen kann...

Das Problem mit der "statischen" IP lässt sich wohl nicht so einfach lösen. Ich werde also die Hardware-Firewall meines Routers bemühen und erstmal mit dem infizierten System alles dicht machen, um dann mein System neu aufzusetzen und wieder vor dem ersten Netzstart alle relevanten Programme aufspielen.

Sollte das nicht helfen, werde ich zusätzlich versuchen, nachdem ich die MAC gespooft habe und mir so eine neue IP zugelegt habe alles neu aufzusetzen. Mal sehen, wann das pinfect.zip endlich verschwindet.

Zum ersten Post:
Ich hatte SP2 noch installiert. Die Einträge im HJT-Logfile, die mir Kopfschmerzen gemacht haben, haben sich für mich DAU zumindest als harmlos herausgestellt. Die eScan-Meldungen werden für mich immer kryptisch bleiben. Die IRC-Backdoor neheme ich erstmal ernst, da ich nichtmal nen Client installiert habe.

An das Board-Team:
Ich weiß eure Bemühungen im Allgemeinen wirklich zu schätzen. Dennoch finde ich es erschreckend, dass vielen Usern, die nichteinmal einen Satz geradeaus schreiben können geholfen wird, und ich keinen einzigen Kommentar bekomme, warum mir nicht geholfen wurde. Ganz groß!
Mir ist durchaus bewusst, dass ich mich in dem Post verhaspelt habe, weil ich versuchte ein Problem aus einem Themengebiet zu schildern, welches für mich Neuland ist.

hi,

hab auch so ne verschlüsselte pinfect.zip in eigene dateien und folgendes herausgefunden:

wird von escan (mwav.exe) beim start angelegt

passwort: infected

enthält die unveränderten originaldateien, bei mir
bootfont.bin
NTHANDLE.SYS
diverse *.ini dateien


was soll das?