Hallo,

offenbar habe ich einen massiven Angriff auf Vista Home Premium 32 erlebt. Zuerst ging es los, dass die rundll32 wiederholt ausstieg. Dann verlor die AVG Firewall die Profilzuordnung. Seitdem bin ich offenbar Gast auf meinem PC. Alle Wiederherstellungspunkte sind weg. Er läuft zwar, aber verschiedene Einstellungen sind ausgegraut. Die Registry zeigt nur nur HKEY-Einträge und keine HKLM-Einträge mehr. Im Synchronisierungscenter wird meine SQL-Datenbank gespiegelt, ohne Recht das zu beenden. Beim IE ließen sich die Sicherheitseinstellungen nicht mehr ändern (alles total offen) und einiges mehr.

Der Eindringling kam mit hoher Wahrscheinlichkeit vor einiger Zeit über ICQ in mein System und hat es übernommen. Es gibt verschiedene Dateien, die gesperrt sind (Tab Tip.exe,taskeng.exe, WmiprvSE.exe und wisptis.exe) an die die nicht mehr rankomme. AVG 8.0 findet nichts. Wobei die auch manipuliert ist. Bei der Einstellung "Gesperrt" ist sämtlicher Datenverkehr offen und der Eintrag lässt sich nicht editieren.

Findet Ihr im HJT-File etwas, oder soll ich die Kiste gleich plattmachen?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:52, on 03.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\WTablet\Wacom_TabletUser.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\CTHELPER.EXE
C:\Windows\System32\Ctxfihlp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Money\System\REMINDER.EXE
C:\Windows\ehome\ehtray.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files\STAMPIT\Binary\STRAY.EXE
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\SEC\Natural Color Pro\NCProTray.exe
C:\Program Files\WISO\Sparbuch 2007\rswisoservice.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\CTXFISPI.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead VideoStudio\uvPL.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Reminder] C:\Program Files\Money\System\reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Program Files\STAMPIT\Binary\Stray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Program Files\Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: NCProTray.lnk = ?
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://dev.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab?AuthParam=1211666080_23972f39517f7b5f67cfc18143e06eeb&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab&File=jinstall-6u6-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{938E79A5-6A57-44D5-8B7D-9898AD0EB7DD}: NameServer = 192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EFO - Sysinternals - www.sysinternals.com - C:\Users\Kuntze\AppData\Local\Temp\EFO.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IZPTJPDUS - Sysinternals - www.sysinternals.com - C:\Users\Kuntze\AppData\Local\Temp\IZPTJPDUS.exe
O23 - Service: J - Sysinternals - www.sysinternals.com - C:\Users\Kuntze\AppData\Local\Temp\J.exe
O23 - Service: LP - Sysinternals - www.sysinternals.com - C:\Users\Kuntze\AppData\Local\Temp\LP.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: OWFZEPSSCV - Sysinternals - www.sysinternals.com - C:\Users\Kuntze\AppData\Local\Temp\OWFZEPSSCV.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\Windows\system32\Wacom_Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 11373 bytes
         

Gruß
Squadron

Halli hallo Squadron und

Bei dir läuft jede Menge Spyware. Ich an deiner Stelle würde den Rechner platt machen. Nur so wird ein vertrauenswürdiges System gewährleistet.

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


PS:
Wenn du unbedingt eine Bereinigung versuchen möchtest so melde dich bitte nochmal.

Hallo undoreal,

vielen Dank für Deine Tipps. Ich würde gerne zuerst eine Bereinigung probieren. Wobei ich hier auf BackDoor und Rootkit tippe. Der Verursacher ist mir vielleicht namentlich bekannt, denn es gibt offenbar Interesse, meine SQL-Datenbank zu spiegeln.

Kriegt man sowas überhaupt wieder sauber. Ich bin als Admin eigentlich Gast auf dem System.

Gruß
Squadron

Zitat:

Kriegt man sowas überhaupt wieder sauber.

Extrem schwierig und man kann nie sagen ob der Angreifer sich nicht Hintertüren eingebaut hat die man ohne Prüfsumme überhaupt nicht findet. Grade wenn er so ein spezielles Interesse hat...

Zitat:

denn es gibt offenbar Interesse, meine SQL-Datenbank zu spiegeln.

hast du eine Ahnung warum?

Zitat:

Ich bin als Admin eigentlich Gast auf dem System.

Wie meinst du das?

Zitat:

Extrem schwierig und man kann nie sagen ob der Angreifer sich nicht Hintertüren eingebaut hat die man ohne Prüfsumme überhaupt nicht findet.

Glaub es fast auch schon. Da sind echte Profis dran. Ich habe sogar den Eindruck, dass das EEPROM der Grafikkarte befallen ist. Erst flackerts im Betrieb und beim nächsten Start piepts 3x und der Rechner fährt trotzdem hoch.

Zitat:

Grade wenn er so ein spezielles Interesse hat...
hast du eine Ahnung warum?

Ja. Ein Marktführer, bzw. deren Helfershelfer wollen mich plattmachen. Die wesentlichen Daten sind zwar gesichert und vom System getrennt, aber wie lange die Daten schon versaut sind kann ich nicht sagen. Geht bestimmt schon seit mehreren Wochen so. Aber beweis das mal....

Wie ich neulich Word gestartet habe, steht da auf einmal: Soll Verbindung mit w*w.freenet-rz.d* hergestellt werden? Fein, oder?

Zitat:

Wie meinst du das?

Naja, als Admin angemeldet stoße ich auf ausgegraute und nicht klickbare Dialoge im System.

Escan ist jetzt schon bei 83 kritischen Objekten.

Gruß
Squadron

Wenn Profis am Werk sind bringt ein HJT Log und ein Escan wenig.
Da ich in dem HJT Log allerdings keinen SQl Server sehe, frage ich mich, von was für einer Art SQL Datenbank du redest? Handykontakte? PIM Snyc?

Du hast TrueImage auf dem Rechner, mit einem aktuellen Image kannst Du Dir die Probleme vom Hals schaffen.

Zitat:

Zitat von BataAlexander

Wenn Profis am Werk sind bringt ein HJT Log und ein Escan wenig.
Da ich in dem HJT Log allerdings keinen SQl Server sehe, frage ich mich, von was für einer Art SQL Datenbank du redest? Handykontakte? PIM Snyc?

Du hast TrueImage auf dem Rechner, mit einem aktuellen Image kannst Du Dir die Probleme vom Hals schaffen.

MS SQL Express 2005 läuft da aktiv. Da läuft eine WAWI drauf. Wieso das nicht HJT gezeigt wird? Keine Ahnung. Der Rechner funktioniert zwar, aber nur soweit, wie es meine Gäste erlauben. Da werde ich wohl richtig plattmachen müssen.

Gibt es Rootkits-Backdoors, die sich in der Hardware (BIOS, EEPROM) verankern können? Sonst steht auch noch ein neuer Rechner an.

Gruß
Squadron

Spaß Beiseite: Wenn Du Dir sicher bist, dass der Rechner manipuliert wurde, ggf. von einem Konkurrenten, dann für der Weg zu einem Computerforensiker.
Schalte den Rechner ab, trenne ihn vom Netz und lasse einen entsprechenden Fachmann vorbeikommen. Auf der Grundlage der Ergebnisse leitet sich dann Dein weiteres Vorgehen ab.

Bei dem Rechner habe ich allerdings nicht ein Produktivsystem vermutet, da doch einige untypische Komponenten installiert sind.

Zu Deiner Frage: Technisch möglich ist ein solcher Virus. In freier Wildbahn gab es bisher nur den CIH Virus.

Zitat:

Zitat von BataAlexander

Spaß Beiseite: Wenn Du Dir sicher bist, dass der Rechner manipuliert wurde, ggf. von einem Konkurrenten, dann für der Weg zu einem Computerforensiker.
Schalte den Rechner ab, trenne ihn vom Netz und lasse einen entsprechenden Fachmann vorbeikommen. Auf der Grundlage der Ergebnisse leitet sich dann Dein weiteres Vorgehen ab.

Bei dem Rechner habe ich allerdings nicht ein Produktivsystem vermutet, da doch einige untypische Komponenten installiert sind.

Zu Deiner Frage: Technisch möglich ist ein solcher Virus. In freier Wildbahn gab es bisher nur den CIH Virus.

Hab gerade gelesen was der CIH Virus so alles kann! Man O man, der ist ja derbe! Bios überschreiben er war sogar in CD's drinnen und in neuen PC's von IBM loool ey!