Firefox: 'Googeln' verweigert - Trojaner installiert??

milchkeks · 15.08.2008, 09:45

Hallo TB-Team!

Ich bitte um Hilfe bei folgendem Problem:

Vor kurzem konnte ich plötzlich nicht mehr mit Firefox 'Googeln' (wurde mit Spam-Verweis abgelehnt). Mit Ubuntu ging's ohne Probleme. Darauf hin habe ich erst realisiert, dass FF seit geraumer Zeit nicht upgedated wurde (noch version 2.0.0.12), da ich zwar Autoupdate aktivert hatte, jedoch im eingeschränkten Benutzerkonto surfe.

Daraufhin habe ich FF komplett deinstalliert, alle Benutzerprofile vollständig gelöscht und neu installiert (v3.1) - jetzt funktioniert Google wieder. Natürlich habe ich jetzt bedenken, was denn nun der Grund war... Avira fand einige Schädlinge, ich bin mir aber nicht ganz sicher, ob es sich nicht um Fehlalarme handelt:

Zitat:

C:\Dokumente und Einstellungen\######1\Desktop\....\DATA\KAP_13.HTM
[FUND] Enthält verdächtigen Code: HEUR/Worm.Outlook.VBS
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\######2\Desktop\Systools\xpy-0.9.8-bin\xpy.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gampass.GP
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\######3\Desktop\Systools\xpy-0.9.8-bin\xpy.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gampass.GP
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <Volume>
D:\System Volume Information\_restore{FB#####E-13E9-436B-A922-C9D2FB67E1F0}\RP224\A0066543.exe
[FUND] Ist das Trojanische Pferd TR/Generic.98821
[WARNUNG] Die Datei wurde ignoriert.

Besonders bei 'xpy' bin ich etwas skeptisch, 'System Volume' finde ich eher seltsam und auch das .doc file... ich bin aber kein Fachmann für Viren.
Ein Scan mit 'ClamAV' und Linux ergab etliche Funde, wobei viele davon 'oversized Zipfiles' sind und ich habe keine Ahnung, inwiefern das Aussagekraft bezüglich einer Infektion hat:

Zitat:

#StartTime=1218709470
#Duration=5899
#NScanned=140554
#NInfected=19
#NProblems=2
#Total=140554
#BlocksScanned=24194144
#Location=/media/C
#Status=19 Viruses Found 2 Problems Found Duration: 1:38:19
LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
"/media/C/AddOn/DirectX-Panel/Feb2005_d3dx9_24_x86.cab" Input/Output error
!"/media/C/Dokumente und Einstellungen/#####1/.eclipse/net.sf.wascana.ui.ide_1.0.0.qualifier_1208943328/configuration/eclipse/plugins/org.eclipse.jdt.core_3.3.3.v_793_R33x.jar" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####1/Desktop/.../C++.doc" WM.Psycho
!"/media/C/Dokumente und Einstellungen/#####2/Dokumente/RemoveWGA_1-2.exe" Trojan.RemovWGA
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
!"/media/C/Dokumente und Einstellungen/#####3/Anwendungsdaten/Sun/Java/jdk1.6.0_06/sb160060.cab" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####3/Anwendungsdaten/Sun/Java/jdk1.6.0_07/sb160070.cab" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####3/Desktop/slipstreamer/slipstreamer.exe" Trojan.DNSChanger-3887
!"/media/C/Dokumente und Einstellungen/#####3/Desktop/Unzip/sam2_patch_2_068_62787.exe" Oversized.Zip
"/media/C/Programme/DirectX9c/Feb2005_d3dx9_24_x86.cab" Input/Output error
!"/media/C/Programme/Gemeinsame Dateien/Java/Update/Base Images/jdk1.6.0.b105/patch-jdk1.6.0_07.b06/javadb.msi" Oversized.Zip
!"/media/C/Programme/Gemeinsame Dateien/Java/Update/Base Images/jdk1.6.0.b105/tools.zip" Oversized.Zip
!"/media/C/Programme/Wascana/eclipse/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
!"/media/C/Programme/Java/jdk1.6.0_07/db/demo/databases/toursdb.jar" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc9.exe" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc15/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc16/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
LibClamAV Warning: RAR code not compiled-in
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP208/A0048319.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP208/A0048320.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP209/A0048714.rbf" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP212/A0048876.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP212/A0048877.msi" Oversized.Zip

An sich scheinen einige Funde, sofern es keine Fehlalarme sind, doch bedenklich zu sein - vielleicht könnt ihr dazu auch etwas sagen? Nebenbei, in der 'System Volume Information' auf D: fand sich auch so etwas ähnliches wie ein 'Trojan.gen', ich habe das komplette File gelöscht.

HijackThis ergab folgendes:

Zitat:

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\DeltaIITray.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
D:\Downloads\WinFiles\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: RMClock.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 5268 bytes

cacatoa · 15.08.2008, 11:09

Willkommen, Milchkeks!
Bitte das HJT-Logfile komplett mit Kopf posten.
"System Volume Information/_restore" sind Systemwiederherstellungsdateien.
Du kannst die Systemwiederherstellung ausschalten, dann System runterfahren und wieder einschalten, dann Systemwiederherstellung wieder an. Damit sind die alten Restore-Dateien aber auch die Wiederherstellungspunkte weg.
ClamAv ist nicht auf dem neuesten Stand. Updaten und nochmal machen.
Dann date mal Avira up und mach einen Scan im abgesicherten Modus (Kompletter Systemscan).
Poste dann bitte das neue HJT-Log und den Avira-Bericht, sowie den von ClamAv.
cacatoa

milchkeks · 21.08.2008, 10:47

So, sorry, hat ein Weilchen gedauert - ich musste einiges erledigen und habe inzwischen unter Linux weitergearbeitet...

hier nochmal die aktuellen logs von HJT, einmal im abgesicherten Modus, als Admin:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:39:38, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
D:\Downloads\WinFiles\AntiVirus\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: RWDIWSFW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\xxxxxxxx\LOKALE~1\Temp\RWDIWSFW.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 4851 bytes

und im Standar-Benutzerkonto (eingeschränkt):

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:46:46, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\DeltaIITray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\WinFiles\AntiVirus\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: RMClock.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{05ADD5B5-9FA3-4ACE-A4F2-C964E5D1152B}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{05ADD5B5-9FA3-4ACE-A4F2-C964E5D1152B}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: RWDIWSFW - Unknown owner - C:\DOKUME~1\xxxxxxxxx\LOKALE~1\Temp\RWDIWSFW.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 5479 bytes

Außerdem habe ich meine Virenscanner upgedated und eine neue Suche gestartet; Um die länge des Threads zu begrenzen, habe ich alles so weit wie möglich zusammengefasst.

An Funden mit ClamAV hat folgendes geändert:

Zitat:

/Dokumente und Einstellungen/#####3/Desktop/slipstreamer/slipstreamer.exe" -- Trojan.DNSChanger-3887

/Dokumente und Einstellungen/#####2/Dokumente/RemoveWGA_1-2.exe -- Trojan.RemovWGA
-> wurden schon vorher von Avira in Quarantäne verschoben und dann gelöscht

Neuer Fund (im Temp-Ordner oder SystemVolumeInformation):
A0072497.exe -- Trojan.DNSChanger-3887

Bei den Funden von Avira hat sich dieses geändert:

Zitat:

C:\Dokumente und Einstellungen\######1\Quarantine\CABTOOL-SETUP.exe -- TR/Agent 49664.15
-> mittlerweile gelöscht

PsTools.zip
\xpy-0.9.8-bin\xpy.exe -- TR/Spy.Gampass.GP
-> mittlerweile gelöscht

D:\System Volume Information\_restore{FB#####E-13E9-436B-A922-C9D2FB67E1F0}\RP224\A0066543.exe -- TR/Generic.98821
-> ist mittlerweile gelöscht

Außerdem habe ich noch zwischenzeitlich installiert und laufen lassen:

AVG Antivirus (keine Funde), Spybot S&D (keine Funde) und Bitdefender:

Zitat:

G:\XPadds\...\CABTOOL_Setup_1-8_Final\CABTOOL_SETUP.EXE -- Trojan.Generic: 188571

C:\Dokumente und Einstellungen\xxxxxxxx\...\SecuTaskManager\Security-Taskmanager 16b.exe -- Backdoor.Generic.26857

Einige Antirootkit-Tools:

Zitat:

Darkspy (erzeugte BSoD)
IceSword, Rootkitrevealer, AVG Antirootkit, Panda Antirootkit...

Ich kann allerdings mit den Outputs der Programme nichts anfangen, sofern es welchen gibt -

Panda Antirootkit fand \windows\system32\giveio.sys und speedfan.sys, was aber kaum ein Problem sein sollte.

Dann wollte ich noch ein wenig nachforschen und habe sämtliche bislang gefundenen 'infizierten' Files und einige andere aus Backups gezogen und bei www.virustotal.com zur Analyse hochgeladen:

Code:

ATTFilter

1C++.doc (9kB):
ClamAV - WM.Psycho

C++.doc: 
keine Funde

Hotfix ExtrAct0r:
Antivir - SPR/AutoIt.Gen
eSave - suspicious Trojan/Worm
Webwasher - Riskware.AutoIt.Gen

KAP_13.HTM:
Antivir - HEUR/Worm.Outlook.VBS
Avast - VBS:MailWorm.gen
GData - VBS:MailWorm.gen
NOD 32v2 - prob.unknown SCRIPT virus
Webwasher - Heuristic-Worm.Outlook.VBS

Produkey:
Antivir - SPR/PSW.Product Key.I
F-Secure - PSWTool.Win32.Product Key.i
CAT-Quick Heal - PSWTool.Win32.Product Key.i
Dr.Web - Tool.Pass View.32
eSave suspicious File
Fortinet - Hacker Tool / Product Key
Kasperski / Ikarus - not-a-virus: PSWTool.Win32...
Panda / Sophos / Symantech - Application/Produkey...

Remove_It_Pro - AdvancedMalwareRemover:
Dr.Web - DLoader.Trojan
Sophos - Sus/ComPack-E

Remove Restrictions by Malware:
Panda - Suspicious File

RemoveWGA11.exe (eingestuft als 'Malware' auf Prevx-Seite):
Authentium/F-Prot - W32/Heuristic - KPP/Eldorado
ClamAV - PUA.Tool.RemoveWGA-1
DrWeb - Backdoor.Trojan
eSafe - suspicious File
Prevx1 - Malicious Software
Sophos - SuS/Dropper-A
Symantec - Infostealer.Gampass
Sunbelt - RiskTool.Win32.ProcessPatcher.Sml!cobra(v)

RemoveWGA 1-2.exe ('nicht verdächtig verhaltende Software' laut Prevx-Seite):
AluLab-V3 - Win-Trojan/Muldrop.49664
AVG - Downloader.Generic7.ADMP
ClamAV - PUA.Tool.RemoveWGA
DrWeb - Tool.RemoveWGA
eSave - Win32.small
eTrust-Vet - Win32/Prigamb.A
Prevx1 - suspicious
Sophos - RemoveWGA
ViRobot - Spyware.Small.Dr.13824.A
Sunbelt - RiskTool.Win32.ProcessPatcher.Sml!cobra(v)

xpy:
Fprot - W32/Heuristic - KPP/Eldorado
ClamAV - PUA.Packed.UPack-2
CAT-QuickHeal - (suspicious) DNA-Scan
eSave - Suspicious File
F-Secure - Suspicious:W32/Malware!Gemini
Fortinet - PossibleThreat!025233
Ikarus - Backdoor.Win32.Rbot.aeu
McAffee - pot.unwanted Program: Tool-xpy
Norman - W32/Suspicious_U.gen
Panda - Generic Malware
Sunbelt - ViPRE.Suspicious
TheHacker - W32/Behav-Heuristic-060
Virus Buster - Packed/Upack
Webwasher W32.Malware.gen (susp.)

slipstreamer.exe:
ClamAV - Trojan.DNSChanger-3887
eSafe  - Suspicious File
TheHacker - Adware/Maxifiles.f
TrendMicro - PAK_Generic.001

CABTOOL_SETUP_1-8_Final.ZIP:
AntiVir - TR/Agent.49664.15
Authentium	 - W32/Downloader.AODJ
Avast	 - Win32:Agent-YGJ
BitDefender - Trojan.Generic.188571
eSafe	 - Suspicious File
F-Prot - W32/Downloader.AODJ
Fortinet - PossibleThreat
GData - Win32:Agent-YGJ
Ikarus - Trojan-Dropper.Win32.Agent.UQ
Panda - Generic Trojan
Symantec - Trojan Horse
VBA32 - Backdoor.Win32.Bifrose.aci
Webwasher-Gateway - Trojan.Agent.49664.15

Security-Taskmanager16b.exe:
Authentium	 - W32/Heuristic-210!Eldorado
BitDefender - Backdoor.Generic.26857
eSafe	 - Win32.Looked.P
F-Prot - W32/Heuristic-210!Eldorado
VBA32 - Trojan-PSW.Win32.LdPinch.bex
Webwasher-Gateway - Win32.Malware.gen (suspicious)

Meine Persönlichen Schlussfolgerungen:

Code:

ATTFilter

1C++.doc (9kB) ClamAV: Fehlalarm, evtl. Codeschnipsel

KAP_13.HTM: bin unsicher, evtl. ein Codeschnipsel im Dokument (muss nachsehen)

Hotfix ExtrAct0r: bin unsicher - eher Fehlalarm (v. Sereby-Homepage, extrahiert Hotfixes)

Produkey: eher Fehlalarm - 'unerwünschtes' Program (XP-Productkey-Finder)

Remove_It_Pro: bin unsicher - vielleicht eher Fehlalarm, da manipulatives Programm?
Remove Restrictions by Malware: Fehlalarm

RemoveWGA11.exe: eher bedenklich (lt. Prevx)??
RemoveWGA 1-2.exe: bin unsicher - bedenklich?? (Prevx: eher weniger, aber Vorgänger?)

slipstreamer.exe: Fehlalarm - eher 'unwanted' Program, zur Installations-CD-Erstellung
xpy (v.a. 0.9.8): bin unsicher, bedenklich??! - evtl. 'unwanted' behaviour? war seinerzeit als 'spywarefrei' angepriesen anders als XP-Antispy

CABTOOL_SETUP.EXE: bin unsicher - ist auf nlite-Seite empfohlen, um .cab Files zu entpacken..!? 
s. auch die wenig aussagekräftige Analyse hier: (h**p://info.prevx.com/aboutprogramtext.asp?PX5=EBB3A92B00D7B7DFC28F007A4D4A4C006831EF7E)

Security-Taskmanager16b.exe: finde ich unwahrscheinlich - eigentlich kommerzielles Sharewareprogramm !?

Könnten die 'Eldorado'-Einträge auf Add/Spyware hindeuten?

Was ich wohl bereits gestartet habe:

Slipstreamer.exe(bestimmt schon gestartet), Security-Taskmanager16b.exe (bestimmt schon gestartet), RemoveWGA11.exe (evtl. schon gestartet), CABTOOL (evtl. schon gestartet), RemoveWGA 1-2.exe (wahrscheinlich schon gestartet), Produkey (wahrscheinlich schon gestartet), xpy (wahrscheinlich schon gestartet)
Vielleicht könnt ihr dazu eure Meinung kundtun?

schöne Grüße,

milchkeks

milchkeks · 21.08.2008, 17:15

Update:

Habe jetzt auch den 'Malwarebytes'-Scanner laufen lassen - ohne Funde...

milchkeks · 21.08.2008, 19:59

Jetzt hab ich auch nochmal Commodo auf Viren checken lassen, das hat mir folgende Meldung angezeigt:

Troja.Win32.Patched.m (ID=xxxxxx)
C:\WINDOWS\system32\dllcache\winlogon.exe

Fein, das hatte ein Bekannter von mir auch vor 2 Wochen, und hat die Files gelöscht - und konnte dann natürlich nicht mehr booten. Bei Virustotal.com ergibt eine Überprüfung jedenfalls keinen einzigen Treffer!

Jetzt kann ich wirklich nicht mehr dazu sagen... warum hatte Firefox das Problem? Hat sich ein Trojaner oder Rootkit bei mir eingenistet? Bin ratlos...

milchkeks

milchkeks · 24.08.2008, 22:51

Ähm... irgendjemand? Cacatoa?

milchkeks

Firefox: 'Googeln' verweigert - Trojaner installiert??

Log-Analyse und Auswertung: Firefox: 'Googeln' verweigert - Trojaner installiert??