Trojan horse Generic10.ZZA mit e-scan

alexisonchaos · 09.07.2008, 12:38

Hallo zusammen,

bekomme seit 2-3 Tagen von meim AVG 8.0 aus dem leerlauf heraus
ca. alle 1 st. eine infected Meldung zwecks trojan horse generic10.ZZA aus dem "system_restore".....

Bevor ich allerdings mit dem Hammer draufschlag, hab ich mal e-scan gemacht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.9.4
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Tools\ipscan.exe//UPX markiert als "not-a-virus:NetTool.Win32.Portscan.c". Keine Maßnahme ergriffen.
Datei D:\Ablage\CryptLoad_1.1.2.rar/router\FRITZ!Box\nc.exe markiert als "not-a-virus:RemoteAdmin.Win32.NetCat". Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
MicroWorld AntiVirus und Antispyware Toolkit.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
MicroWorld AntiVirus und Antispyware Toolkit.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 836341].
Indexed Spyware Databases Successfully Created...
System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{967b2d40-8b7d-4127-9049-61ea0c2c6dce})! Action taken: Keine Maßnahme ergriffen.
System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINXP\system32\services.exe
lsass.exe - C:\WINXP\system32\lsass.exe
svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - C:\WINXP\Explorer.EXE
mexe.com - "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com"
ScanningProcess.exe -
ctfmon.exe - ctfmon.exe
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Administrator\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP030F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP070F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP071F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP030F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP070F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP071F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OOO_24~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP030F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP070F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP071F~1.CAB
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\42g0bakv.exe is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\59ytryo2.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\59ytryo2.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\5bf9ons5.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\5bf9ons5.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\7668pyu0.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\7668pyu0.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\kvc875xy.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\kvc875xy.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\ovd0nuxp.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\ovd0nuxp.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\qbw6k6rl.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\qbw6k6rl.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\rush7btv.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\rush7btv.rar
Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\sogvnykr.exe is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\user.dmp
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_04\lib\rt.jar
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\images.zip
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~1.ZIP
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~2.ZIP
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~3.ZIP
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~4.ZIP
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP19\A0002461.exe
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP19\A0002462.exe
ERROR!!! ScanFile fails for C:\WINXP\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINXP\system32\CatRoot2\edb.log
ERROR!!! ScanFile fails for C:\WINXP\system32\CatRoot2\tmp.edb
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system.LOG
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINXP\System32\drivers\etc\hosts:
C:\WINXP\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 105369
Zahl der kritischen Objekte: 4
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 15
Zeit verstrichen: 01:15:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 13:14:49,84
Batchende: 13:14:54,10

blow-in · 09.07.2008, 13:08

Hallo alexisonchaos
Deaktiviere doch mal die Sytemwiederherstellung. Mache danach einen Scan mit CCleaner nach Anleitung, vor allen die Fehlersuche in der Registry mehrmals, bis nichts mehr gefunden wird. Schalte den Rechner aus. Nach 2 Minuten wieder einschalten und die Sytemwiederherstellung aktivieren.
Im Anschluss noch ein HijackThis Log nach Anleitung fertigen. Nicht vergessen, vor dem Einstellen aktive Links und Eigennamen editieren als http:// durch h**p://

alexisonchaos · 09.07.2008, 15:31

jo,
bis jetzt (2 Stunden) kein "alert"...... hijack scheint auch o.k.... kanns sein, dass des
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
war?

---------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:27:15, on 09.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Tools\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mwti.net/process/processlist.asp?process=svchost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Programme\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E66DDF04-15E4-409C-B08A-33AD793B6FEB}: NameServer = 213.191.74.11
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINXP\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

blow-in · 10.07.2008, 09:25

Hallo alexisonchaos
Du kannst noch einen Scan mit der MBR.EXE http://www.gmer.net zur Sicherheit machen. Das Log dazu ist dann im selben Verzeichnis wie die mbr.exe.
Diese Zeile O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) kannst du ja noch mit HJT fixen.
Verwende dazu aber das neue HijackThis von dieser Seite.
Schau dann mal in den System32 Ordner, ob dort noch die oben genannte Datei vorhanden ist. Kannst du alle Dateien sehen, also auch versteckte und Systemdateien?

Trojan horse Generic10.ZZA mit e-scan

Plagegeister aller Art und deren Bekämpfung: Trojan horse Generic10.ZZA mit e-scan