Hallo,
ich möchte in diesem Board meine Erfahrungen mit einem Angriff auf meinem Computer zusammenfassen. Es wäre nett, wenn der eine oder andere – vielleicht mit ähnlichen Erfahrungen – diese kommentieren könnte oder die Experten dieser Seite zu der Stärke der Bedrohung Stellung nehmen könnten, die durch diverse Programme vermeintlich ausgeräumt würden.
Ich habe von einer nicht vertrauenswürdigen Seite eine gezippte Datei heruntergeladen, die eine patch.exe und crack.exe enthielt. Nach positivem Check mit meiner „glorreichen“ Norton Internet Security habe ich diese ausgeführt, wobei Norton dann doch eine Bedrohung aufgefallen ist, die entfernt wurde (leider erinnere ich mich nicht mehr an den Namen). Anschließend fiel das Programm in seinen Schneewittchenschlaf zurück. Alamiert dadurch habe ich mir dann VundoFix.exe heruntergeladen, welches dann die VTSQO.exe und die FIYOQSRV.exe sowie die entsprechenden dlls gefunden und laut Protokoll gelöscht hat. Leider hat sich die VTSQO.dll laut Zeitstempel eine Minute später bereits reinstalliert und zwar so im Windowssystem, dass Vundofix.exe sie nicht mehr las Malware identifizieren konnte. Dazu später mehr.
Schließlich habe ich einen Online-Scan mit Kasperski durchgeführt. Dieser zeigte mit folgende Bedrohungen:
Trojan.Win32.Dialer.yz (patch.exe, gos100.tmp)
Adware.Win32.PurityScan.gn
Adware.Win32.ZenoSearch.ad
Trojan.Win32.StartPage.atc (SuperFinderUSA.dll)
Trojan.Win32.inject.mt (crack.exe)
Adware.Win32.virtumonde.cli (Rcx28.tmp, rx23.tmp, rc12.tmp, usw.)
Außerdem wurden folgende Dateien als Dialer infiziert angesehen:
Drvfag.dll
Winwim.dll
Als mit Virtumonde infected wurden folgende Dateien identifiziert:
DevDetect.exe
Clistart.exe
Lightscribecontrolpanel.exe
Googletoolbarnotifier.exe
Jusched.exe
Msmsgs.exe
Prevxcsi.exe
Msconfig.exe.tmp
Ctfmon.exe.tmp

Gut, Norton wurde also zu diesem Zeitpunkt verdammt und wird nie wieder in die Nähe einer meiner Computer kommen, Kasperski installiert und alle Probleme erst mal behoben. Netterweise waren die betroffenen exe-Dateien noch in ihrem Originalzustand nur mit einem Leerzeichen vor den exe vorhanden und konnten somit durch Löschen dieses Leerzeichens wiederhergestellt werden (warum sollte man als Hacker so nett sein???).
Weiterhin entfernt wurden die ljjihee.dll, hshslgbo.dll, tmp39.tmp und die ctfmon.exe.
Kasperski hat dann noch alle Bedrohungen, die sich im System Volume Information befanden (insgesamt 269 infizierte Dateien) gelöscht. Da alle RestorePoints auch das Datum 7 Minuten nach der Infizierung trugen, habe ich diesen Bereich komplett gelöscht. Zusätzlich ließen sich die Windows-Updates nicht mehr installieren. Dazu musste einige Dateien neu registriert werden (wuapi.dll, wuaueng.dll, wuaueng1.dll, wucltui.dll, ...)
Die einzige Datei, die alles überlebt hatte und weder von Kasperski noch von VundoFix.exe, ActiveScan oder prevxcsi als Bedrohung eingestuft wurde, war die VTSQO.dll. Diese wurde zwar von Security Task Manager als gefährlich eingestuft, konnte aber nicht von diesem entfernt werden Auch killbox.exe und Konsorten waren nicht in der Lage, diese zu löschen. Erst RegRun hat das Ding gekillt (Bravo!). Die replizierte Version in der System Volume Information wurde von Kasperski wieder erkannt und gelöscht.
So, jetzt ist wieder Friede, Freude, Eierkuchen angesagt, oder? Gibt es noch ein nettes Tool, das mich auch weitere Schweinerein aufmerksam machen könnte?
Wieso sind z.B. 15 Ports offen, wenn ich meinen Computer hochfahre? Ist das normal?
Ich würde mich sehr über Kommentare freuen.
TC
Kosmo

Hallo.

Führe zunächst folgende Anleitungen durch:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Gruß
Sunny

Hi Sunny,
hier die entsprechenden Ergebnisse. Ich habe ComboFix.exe nicht laufen lassen, da im eScan folgende Zeile aufgetaucht ist:
ComboFix.exe infiziert mit "NULL.corrupted" Virus
Was macht dieses Programm eigentlich?
Ertmal vG
Kosmo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22:28, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\Schiemanns\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198376993296
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5191/mcfscan.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 4607 bytes


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/7/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Daten\Kai\aaa2\RESOURCE.FRK\LHA213.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Kais stuff\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\SCHIEM~1\LOKALE~1\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\temp\nero13890\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 138496
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 142
Dauer des Scans bisher: 00:27:15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:56:54,07
Batchende: 22:57:04,18

Hallo nochmal,
habe aufgrund der Fehlermeldungen selbst ein bisschen rungespielt. Das neue eScan Protokoll sieht ziemlich sauber aus (clean as a whistle!), oder?
Muss ich ComboFix noch laufen lassen? Soll ich die Systemwiedrherstellung löschen?
VG
Kosmo

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/7/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 138810
Gefundene Viren: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 142
Dauer des Scans bisher: 00:27:43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:44:33,54
Batchende: 0:45:01,15

Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Zitat:

Zitat von KosmoKramer

Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Versuch es hiermit:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!