Hi,

Rufe bitte nochmal HijackThis auf, klicke da auf Open Misc Tool Section und dort auf Open ADS Spy.
Klicke auf Scan und anschließend auf Save Log. Poste den erstellten Bericht dann hier.

Wie man O23 Einträge richtig fixt kann man zb in der HijackThis Anleitung nachlesen.

Zitat:

O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Nachrichtendienst -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

lg myrtille

Hi myrtille,

adsspy.txt:

C:\WINDOWS\KB873333.log : cwjys (87457 bytes)
C:\WINDOWS\ModemLog_Creatix V.92 Data Fax Modem.txt : dzrksg (13581 bytes)

Bemerkung:
Ich habe ein ELSA Office Fax-Modem.
Welche Rolle diese ModemLog_Creatix V.92 Data Fax Modem.txt spielt, weiss ich nicht....

Anbei der Text:

03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\tapisrv.dll, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\unimdm.tsp, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\unimdmat.dll, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\uniplat.dll, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\drivers\modem.sys, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\modemui.dll, Version 5.1.2600
03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\mdminst.dll, Version 5.1.2600
03-31-2005 13:57:38.812 - Modemtyp: Creatix V.92 Data Fax Modem
03-31-2005 13:57:38.812 - Pfad für Modeminformationsdatei: oem15.inf
03-31-2005 13:57:38.812 - Abschnitt in Modeminformationsdatei: MONTBLANC_SA_Modem
03-31-2005 13:57:38.812 - Übereinstimmende Hardwarekennung: pci\ven_11c1&dev_048c&subsys_044c11c1
03-31-2005 13:57:39.281 - 115200,8,N,1, ctsfl=1, rtsctl=2
03-31-2005 13:57:39.281 - Modem initialisieren
03-31-2005 13:57:39.281 - Senden: AT<cr>
03-31-2005 13:57:39.296 - Empfangen: AT<cr>
03-31-2005 13:57:39.296 - Befehlsanzeige
03-31-2005 13:57:39.296 - Empfangen: <cr><lf>OK<cr><lf>
03-31-2005 13:57:39.296 - Interpretierte Antwort: OK
03-31-2005 13:57:39.312 - Senden: AT &F E0 &C1 &D2 V1 S0=0\V1<cr>
03-31-2005 13:57:39.328 - Empfangen: AT &F E0 &C1 &D2 V1 S0=0\V1<cr>
03-31-2005 13:57:39.328 - Befehlsanzeige
03-31-2005 13:57:39.343 - Empfangen: <cr><lf>OK<cr><lf>
03-31-2005 13:57:39.343 - Interpretierte Antwort: OK
03-31-2005 13:57:39.359 - Senden: ATS7=60S30=0L2M1\N3%C1&K3B0B15B2X3<cr>
03-31-2005 13:57:39.359 - Empfangen: <cr><lf>OK<cr><lf>
03-31-2005 13:57:39.359 - Interpretierte Antwort: OK
03-31-2005 13:57:39.359 - Sitzungsstatistik:
03-31-2005 13:57:39.359 - Gelesen: 49 Bytes
03-31-2005 13:57:39.359 - Geschrieben: 0 Bytes

LG Cinitron

Hi,

lasse bitte mal Combofix durchlaufen:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Hier muss ich mich leider auch mal einmischen. Sind Euch diese Einträge aufgefallen:

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
C:\WINDOWS\system32\drivers\Winpl02.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\lanmanwrk.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dl_ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lphc5ulj0erep.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\qmopt.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\lanmandrv.sys (Rootkit.Agent) -> No action taken.
         

@cinitron, Werte mal die Dateien

C:\WINDOWS\system32\lanmandrv.sys
C:\WINDOWS\system32\drivers\Winpl02.sys

bei Virustotal.com aus. Stell vorher sicher, daß Dir auch alle Dateien angezeigt werden, poste die Ergebnisse so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen

@root24,

danke für deine Beobachtung.
Die Dateien gibt es nicht mehr.
Es gibt nur eine C:\WINDOWS\system32\lanman.drv


Hi @myrtille,

besten Dank für den Tip mit ComboFix und sorry, dass ich so spät reagiert habe (war kurz weg)...

Ich habe ComboFix nach Anweisung gestartet und anbei die Logdatei ComboFix.txt.

Es zeigt drei Dateien:
C:\WINDOWS\system32\Bank.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\rtl60.bpl

Muss ich sie manuell löschen?

Ich hoffe, dass sonst mein PC "clean" ist und bitte um Feedback nach der Controlle der Logfile.

Habe ich richtig verstanden, dass Combofix das automatsche Starten von CD, USB - Geräte zurückgestellt hat?
Muss ich da was unternehmen?


Mit großem Dank im Voraus und
mit lieben Grüßen
Cinitron

Hi,

dein Rechner ist definitiv nicht sauber.

Lass bitte folgende Datei mal bei virustotal auswerten:

Zitat:

C:\WINDOWS\system32\drivers\687lozjc.exe
C:\WINDOWS\system32\1755331983.dat

lg myrtille

Hi @myrtille,


C:\WINDOWS\system32\drivers\687lozjc.exe

Datei lanmanwrk.exe empfangen 2008.08.18 08:16:16 (CET)
Status: Beendet

Ergebnis: 27/36 (75.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XDR.Gen
Authentium - - W32/BackdoorX.AEGM
Avast - - Win32:Rootkit-gen
AVG - - PSW.Agent.TYI
BitDefender - - Trojan.Inject.HZ
CAT-QuickHeal - - Backdoor.Qmop.a
ClamAV - - Trojan.Agent.Qmop
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - Backdoor.Qmop.a
F-Prot - - W32/BackdoorX.AEGM
F-Secure - - Backdoor.Win32.Qmop.a
Fortinet - - W32/Qmop.A!tr.bdr
GData - - Backdoor.Win32.Qmop.a
Ikarus - - Backdoor.Win32.Qmop.a
K7AntiVirus - - Backdoor.Win32.Qmop.a
Kaspersky - - Backdoor.Win32.Qmop.a
McAfee - - Generic BackDoor
Microsoft - - Trojan:Win32/Meredrop
NOD32v2 - - -
Norman - - W32/Smalltroj.FKUB
Panda - - Generic Backdoor
PCTools - - -
Prevx1 - - Rootkit
Rising - - -
Sophos - - Mal/Generic-A
Sunbelt - - Backdoor.Win32.Qmop.a
Symantec - - -
TheHacker - - Backdoor/Qmop.a
TrendMicro - - BKDR_QMOP.C
VBA32 - - Backdoor.Win32.Qmop.a
ViRobot - - Backdoor.Win32.Qmop.36352
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XDR.Gen
weitere Informationen
MD5: 3dda6008dd9c53840b6fb712c779c867
SHA1: 011db9f8c9e05216925c9009ca7d952cb903e400
SHA256: 913e4555670b465068cda61ef04ed0e8963b0b78de3b0dcb6935358224e7e1e9
SHA512: 79c19b5acbf6770e6eb2fe79da55f3748489db2d537bf9d4ad3319cb8b18aeae989ada3d864d1f4b8ce95583d12f943618a0964ff6541921c6079f30a30e9c48
#################################################

C:\WINDOWS\system32\1755331983.dat

Datei 283892030.dat empfangen 2008.08.13 22:40:20 (CET)
Status: Beendet

Ergebnis: 0/35 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.13.0 2008.08.13 -
AntiVir 7.8.1.19 2008.08.13 -
Authentium 5.1.0.4 2008.08.13 -
Avast 4.8.1195.0 2008.08.13 -
AVG 8.0.0.161 2008.08.13 -
BitDefender 7.2 2008.08.13 -
CAT-QuickHeal 9.50 2008.08.13 -
ClamAV 0.93.1 2008.08.13 -
DrWeb 4.44.0.09170 2008.08.13 -
eSafe 7.0.17.0 2008.08.13 -
eTrust-Vet 31.6.6030 2008.08.13 -
Ewido 4.0 2008.08.13 -
F-Prot 4.4.4.56 2008.08.13 -
Fortinet 3.14.0.0 2008.08.13 -
GData 2.0.7306.1023 2008.08.13 -
Ikarus T3.1.1.34.0 2008.08.13 -
K7AntiVirus 7.10.413 2008.08.13 -
Kaspersky 7.0.0.125 2008.08.13 -
McAfee 5360 2008.08.13 -
Microsoft 1.3807 2008.08.13 -
NOD32v2 3352 2008.08.13 -
Norman 5.80.02 2008.08.13 -
Panda 9.0.0.4 2008.08.13 -
PCTools 4.4.2.0 2008.08.13 -
Prevx1 V2 2008.08.13 -
Rising 20.57.22.00 2008.08.13 -
Sophos 4.32.0 2008.08.13 -
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.13 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.13 -
VBA32 3.12.8.3 2008.08.13 -
ViRobot 2008.8.13.1335 2008.08.13 -
VirusBuster 4.5.11.0 2008.08.13 -
Webwasher-Gateway 6.6.2 2008.08.13 -
weitere Informationen
File size: 32 bytes
MD5...: 5e7e954d7eb504af49747a85336da63a
SHA1..: c1a385f81c2f3789d7b113599901c4b562491023
SHA256: e8c8ac428fe98b423e983b4251fc6fa45776407223475cc55f03e0d874a9f863
SHA512: b01e7775ffa022f217ebb2bbf7682a7efda47392f649be76ea55edd2c0d16502
9b587dae2f2f27e2c2631e1a602c4f1dfb9aac86eaf12055cb3efa4086866bba
PEiD..: -
PEInfo: -
############################################


Heute kann ich leider nicht mehr antworten....

LG Cinitron

Meine Befürchtung hat sich bestätigt, Dein System ist kompromittiert und muss neu aufgesetzt werden:

Code: Alles auswählenAufklappen

ATTFilter

GData - - Backdoor.Win32.Qmop.a
Ikarus - - Backdoor.Win32.Qmop.a
K7AntiVirus - - Backdoor.Win32.Qmop.a
Kaspersky - - Backdoor.Win32.Qmop.a
McAfee - - Generic BackDoor
         

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

Hi @root24,

--------------------------------------------------------------
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
-------------------------------------------------------------

>>>> Dein System ist kompromittiert und muss neu aufgesetzt werden....

Ist zwar gut vorsorglich gemeint, aber auf keinen Fall kann ich das System "neu aufsetzen"....

Ist es bewiesen, dass diese Backdoor.Win32.Qmop.a immer noch aktiv ist? Und wenn schon, warum kann es nicht "bereinigt" werden?!?

Zumindest wird von sehr vielen Antivirus, AntiMalware (auch vom Defender) " nicht als irgendwie gefährlich gefunden/eingestuft.

Wie kann man(n/frau) es bereinigen?

Mit Dank und Gruß

Zitat:

Zitat von cinitron

Ist zwar gut vorsorglich gemeint, aber auf keinen Fall kann ich das System "neu aufsetzen"....

Wieso ist das nicht möglich? Sag jetzt nicht Du hättest zuviele Daten auf Deiner Festplatte, das ist leider nicht mehr als eine schlechte Ausrede. Denn viele wichtige Daten müssen regelmäßig gesichert werden...stell Dir vor Deine Platte geht von nun auf jetzt kaputt.

Zitat:

Ist es bewiesen, dass diese Backdoor.Win32.Qmop.a immer noch aktiv ist? Und wenn schon, warum kann es nicht "bereinigt" werden?!?

Das Teil war definitiv aktiv, von Geisterhand kopiert sich nix nach System32\drivers, das geht nur wenn so eine malware gestartet wurde (alles andere wäre ziemlich unwahrschein, ich glaube kaum dass Du absichtlich da so was heineinkopiert hast).

Das Problem bei Backdoors ist, dass durch solche Komponenten Dritte unbefugt Vollzugriff auf Deinen PC erlangen können, sie umgehen die existierenden Sicherheitsmaßnahmen einfach auf Deiner Kiste (logisch, deswegen wird das Teil ja auch Backdoor genannt ). Das was jetzt gefunden wurde, konnte nur ein Teil bzw. der erste Anlauf gewesen sein. Einmal Vollzugriff erlangt und der Angreifer kann beliebige Systemdateien ersetzen, wesentlich besser versteckte Hintertüre einbauen. Wenn überhaupt kann man sowas nur mit einem sauberen Live-System wie BartPE, Knoppix oder Knoppicillin erkennen. Ist aber zu aufwendig - sicherer, gründlicher, schneller ist das Neuaufsetzen bei Backdoorbefall.

Zitat:

Zumindest wird von sehr vielen Antivirus, AntiMalware (auch vom Defender) " nicht als irgendwie gefährlich gefunden/eingestuft.

Naja, dass nix gefunden wird beweist leider nicht die Abwesenheit von Malware. Du spielst ne Art russisch Roulette, weil Du darauf hoffst, das nix mehr weiter da ist, dass kein Angreifer durch die aktive Hintertür eingebrochen ist - die Möglichkeit bestand aber und nun lässt sich das nicht mehr ausschließen.

Zitat:

Wie kann man(n/frau) es bereinigen?

Wie schon gesagt, einzig sicheres Mittel bei Backdoorbefall ist und bleibt das Neuaufsetzen.

Hallo Zusammen

Ich glaube das gleiche Problem wie der Threadersteller zu haben. Ich habe Windows XP Professional installiert mit SP3. Antivir und Adware finden nichts! Sogar Firefox ist irgendwie davon befallen, ich werde beispielsweise auf komische Seiten verlinkt wenn ich in der google Suche Stichwörter wie Anti Spyware etc. verwende. Sogar diese Seite liess sich nur über den cache von google öffnen!

Was soll ich tun?

Gruss,
finalcu

Zitat:

Was soll ich tun?

Bitte einen eigenen Thread eröffnen.