| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Neuer Trojaner/HelperObjectWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.10.2008, 19:38
| #1 |
 |  Neuer Trojaner/HelperObject Hallo Leute, nun ist es auch mir passiert, trotz aller Vorsicht. Hab mir ein offenbar noch unbekanntes (?) Ungeziefer eingetreten, das als HelperObject (Browsererweiterung) sein Unwesen treibt. Ich poste hier einige Details für den Fall, dass das Virus schon bekannt ist in der Hoffung, es zu identifizieren und auszumerzen; ansonsten eben als Warnung. Das Virus wird von NAV dzt. nicht erkannt (ein Sample habe ich an Symantec geschickt), SpyBot schlägt jedoch wegen ungewöhnlicher Registry-Änderungen nach der Installation an. Diese habe ich selbstverständlich verboten, wodurch der Schädling sich offenbar nur teilweise im System festkrallen konnte. Der Security Task Manager (STM) zeigt folgende signifikante Einträge:  ... wobei die native Bewertung von byXRijHW.dll durch den STM 92% beträgt - ich hab sie auf 100% erhöht. byXRijHW.dll ist der einzige konstante task, die anderen haben random Namen und GUIDs. Der Programmstartüberwachungstask von byXRijHW.dll läßt sich im STM nicht killen. Die tasks korrelieren teilweise mit Dateien in Windows/System32, jedoch hat deren Entfernung keinen Einfluß auf die Funktionalität, d.h. trotz erfolgreichem Löschen von byXRijHW.dll läuft der Task nach dem Neustart wieder, wobei die Datei gelöscht bleibt. Hier das rezente HijackThis log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:12:14, on 12.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Virtual CD v9\System\VC9SecS.exe C:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\gtwatch.exe C:\Programme\OmniPage15.0\Opware15.exe C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\WINDOWS\Gtwatch.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Virtual CD v9\System\VC9Play.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WindowBlinds\WBInstall32.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\twain_32\L3U16\WATCH.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Virtual CD v9\System\VC9Tray.exe C:\Programme\Security Task Manager\TaskMan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {0720FAA0-4B29-4363-9A8A-DF866721E456} - C:\WINDOWS\system32\tuvSiheC.dll (file missing) O2 - BHO: (no name) - {3C3D6A39-B167-4506-A377-E262402A29F5} - C:\WINDOWS\system32\byXRijHW.dll (file missing) O2 - BHO: (no name) - {44FA716B-4F34-4D1A-9B98-0BC08272EFCD} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [Opware15] "C:\Programme\OmniPage15.0\Opware15.exe" O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\OmniPage15.0\PDFConverter3\\RegistryController.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [] C:\WINDOWS\Gtwatch.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=h**p://cdn.pinnaclesys.com/SupportFiles O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [CtxfiReg] CTXFIREG.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [WindowBlinds] C:\Programme\WindowBlinds\WBInstall32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM') O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\L3U16\WATCH.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\OmniPage15.0\PDFConverter3\IEShellExt.dll /100 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156203291968 O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe O23 - Service: Z-SAN Service (Z-SANService) - Zetera Corporation - C:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe -- End of file - 16806 bytes O20 - AppInit_DLLs: wbsys.dll hjoqpz.dll zspiit.dll wmrtex.dll zprkpp.dll cjejad.dll ... zuvor gelöscht habe. wbsys.dll ist WindowsBlind und harmlos; die anderen DLLs sind mir unbekannt, und auch nirgendwo auffindbar. Das Löschen hatte keinen merklichen Effekt auf den Virus/Trojaner/wasauchimmer Der Trojaner versucht, ein Javascript auf 89.188.16.43 auszuführen, zusätzlich kommen in unregelmäßigen Abständen popups von www.blockbuster.com. Ich wäre euch sehr dankbar, wenn jemand von euch vielleicht die Malware identifizieren könnte und/oder Tips für die Entfernung hätte. Ein Sample stelle ich via UploadChannel bereit. liebe Grüße und vielen herzlichen Dank Cyana |
|
15.10.2008, 20:39
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Neuer Trojaner/HelperObject Hallo und
__________________ Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\Gtwatch.exe
3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
|
16.10.2008, 10:23
| #3 |
| | Neuer Trojaner/HelperObject Hallo root24,
__________________vielen Dank für deine Antwort. NAV erkennt inzwischen das Virus als Trojan.Zlob (version October 15, 2008 revision 017) Hier die Ergebnisse der Scans: Virus Total Code:
ATTFilter Datei Gtwatch.exe empfangen 2008.10.16 09:38:09 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Datei PsiService_2.exe empfangen 2008.10.16 09:47:11 (CET)
Status: Überprüfung Beendet
Ergebnis: 0/36 (0%)
Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1261
Windows 5.1.2600 Service Pack 3
16.10.2008 10:33:10
mbam-log-2008-10-16 (10-33-10).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 68051
Laufzeit: 7 minute(s), 33 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hidden items found:0 Items queued for renaming: 0 ... ich mach mich mal an Combofix, da ich dafür den browser schließen muss, poste ich hier den ersten Teil der Antwort. liebe Grüße und vielen Dank Cyana |
|
16.10.2008, 12:10
| #4 |
| | Neuer Trojaner/HelperObject Im Anschluß das Combofix script - einige Einträge schreien geradezu nach einer Erklärung (?) habe das combofix.txt hier hochgeladen liebe Grüße und vielen Dank Cyana |
|
16.10.2008, 13:21
| #5 |
| | Neuer Trojaner/HelperObject Es hat sich definitiv was getan Dank ComboFix - die verdächtige Datei taskmger.exe habe ich scannen lassen und siehe da: Code:
ATTFilter Datei taskmger.exe empfangen 2008.10.16 13:12:52 (CET)
Status: Überprüfung Beendet
Ergebnis: 18/36 (50%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.16.0 2008.10.16 Win-Trojan/Xema.variant
AntiVir 7.9.0.4 2008.10.16 BDS/Poison.lgz
Authentium 5.1.0.4 2008.10.16 -
Avast 4.8.1248.0 2008.10.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.16 Dropper.Generic.ACHA
BitDefender 7.2 2008.10.16 Trojan.Crypt.BC
CAT-QuickHeal 9.50 2008.10.16 -
ClamAV 0.93.1 2008.10.16 -
DrWeb 4.44.0.09170 2008.10.16 BackDoor.Poison.61
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6150 2008.10.16 -
Ewido 4.0 2008.10.16 -
F-Prot 4.4.4.56 2008.10.16 -
F-Secure 8.0.14332.0 2008.10.16 Backdoor.Win32.Poison.lhq
Fortinet 3.113.0.0 2008.10.16 PossibleThreat
GData 19 2008.10.16 Trojan.Crypt.BC
Ikarus T3.1.1.34.0 2008.10.16 Trojan.Crypt.BC
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.16 Backdoor.Win32.Poison.lhq
McAfee 5406 2008.10.16 Generic BackDoor
Microsoft 1.4005 2008.10.16 Backdoor:Win32/Poisonivy.E
NOD32 3527 2008.10.16 probably a variant of Win32/Injector.DN
Norman 5.80.02 2008.10.16 W32/Malware.EDZL
Panda 9.0.0.4 2008.10.15 -
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.16 -
Rising 20.66.32.00 2008.10.16 -
SecureWeb-Gateway 6.7.6 2008.10.16 Trojan.Backdoor.Poison.lgz
Sophos 4.34.0 2008.10.16 -
Sunbelt 3.1.1727.1 2008.10.16 Trojan.Crypt.BC
Symantec 10 2008.10.16 -
TheHacker 6.3.1.0.114 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.16 -
VBA32 3.12.8.7 2008.10.16 Backdoor.Win32.Poison.lgg
ViRobot 2008.10.16.1423 2008.10.16 -
VirusBuster 4.5.11.0 2008.10.15 -
liebe Grüße und vielen Dank Cyana |
|
16.10.2008, 13:38
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Neuer Trojaner/HelperObject Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung
__________________ --> Neuer Trojaner/HelperObject |
|
16.10.2008, 14:05
| #7 |
| | Neuer Trojaner/HelperObject Hallo root24, *ächz* das wird ein Problem bei 1.8 TB .... liebe Grüße Cyana |
|
16.10.2008, 15:51
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuer Trojaner/HelperObject 1800 GB?  Du musst ja nicht alle Daten löschen.  Systempartition formatieren reicht. BTW: Wie hast Du die Daten gespeichert? Es gibt doch keine Festplatte, auf der 2 TB oder mehr passt. RAID?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.10.2008, 16:05
| #9 |
| | Neuer Trojaner/HelperObject Hallo root24, yup, 2 RAIDs, 2x500GB und 2x400GB und dazu noch ein Netgear mit 600 GB. Da fragst du dich wie soviel zusammenkommen kann, ich arbeite viel mit Grafik und Konstruktion, da geht schon ein bissi was auf  , und natürlich 3x backup der relevanten Dateien. Naja, ich warte mal ab - bislang sieht es gut aus, der Rechner benimmt sich wieder völlig normal. Aber vielleicht nehm ich es zum Anlaß, mal gründlich auszumisten und alles neu aufzusetzen ... und dann wieder der Horror, die ganzen Grafiktools, email accounts und und und einrichten *stöhn* ... jedenfalls vielen Dank für deine Hilfe - war wirklich sehr wertvoll für mich. Und den NAV trete ich raus und besorg mir was anderes liebe Grüße Cyana |
|
16.10.2008, 20:24
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuer Trojaner/HelperObject Naja, dann bis Du neu aufsetzen wirst, wenigstens noch etwas gründlicher vorgehen. Es fehlt noch: - silentrunners - das filelisting logfile - ein aktuelles HijackThis log mit der umbenannten Datei erstellt Mach danach noch bitte zwei Schritte, 1. mit Avenger, 2. mit sdfix: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter registry keys to delete:
HKLM\software\microsoft\active setup\installed components\{C30DF483-C579-0AAD-66FB-A023560A678E}
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | taskmgr.exe
files to delete:
C:\WINDOWS\taskmger
C:\WINDOWS\taskmger.exe
SDFix anwenden
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.10.2008, 02:49
| #11 |
| | Neuer Trojaner/HelperObject Hallo root24, Silentrunner und HijackThis hatte ich schon danach gemacht, die Ergebnisse sind unauffällig. Der avenger hat nix gefunden, weil ich dem taskger persoönlich den garaus gemacht habe. Momentan läuft das sdfix, allerdings schon seit stunden - hoffe es tut überhaupt noch was Tippe gerade über das iphone als letzte verbindung zur welt *ggg* Liebe grüsse Cyana |
|
17.10.2008, 08:53
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuer Trojaner/HelperObject Ich hab dem Silentrunners aber noch ein Script mitgegeben, deswegen wäre es mal gut wenn Du ihn so nach Anleitung mal ausführen würdest...
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.10.2008, 11:31
| #13 |
| | Neuer Trojaner/HelperObject Hallo root24, SDFix läuft schon seit bald 24 Stunden - offenbar versucht es, jedes file auf dem Rechner als .exe zu testen ? .... weil wenn das noch länger geht wäre es wahrscheinlich zeitsparender gewesen, den Rechner neu aufzusetzen listing8.cmd hatte ich ebenfalls laufen lassen - es hat kein rootkit gefunden. Und den avenger hab ich natürlich mit deinem script ausgeführt. liebe Grüße Cyana |
|
17.10.2008, 12:08
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuer Trojaner/HelperObjectZitat:
Wenn Du den avenger so ausgeführt hast, solltest Du auch von dem das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.10.2008, 12:21
| #15 |
| | Neuer Trojaner/HelperObject Hallo root24, *schmunzel* werde ich nachholen, sobald SDFix fertig ist. Aus dem Gedächnis heraus war das Ergebnis von Avenger, dass er weder 'tasmger.exe' noch 'taskger' finden konnte. Beide files hatte ich schon zuvor entfernt bzw. in Quarantäne gestellt, nachdem sie bei VirusTotal angeschlagen hatten, und zu Symantec geschickt. liebe Grüße und vielen Dank für deine Geduld Cyana |
|
| Themen zu Neuer Trojaner/HelperObject |
| 100%, 32-bit, adobe, antivirus, bho, bonjour, central, datei gelöscht, excel, explorer, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, installation, internet, internet explorer, konvertieren, löschen, malware, mssql, netgear, neustart, pdf-datei, pdfconverter, popups, programme, schädling, security, software, symantec, system, ungewöhnlicher, virus, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
