Hallo Trojanerboard!

Viele Jahre schon greif ich auf dieses Board zurück um hin und wieder Problemchen von anderen Leuten zu beseitigen. Nun hat es mich doch tatsächlich selbst erwischt. Ich habs gerade mal geschafft einen HijackThis-Log zu machen, einen Post zu verfassen und einen Freund gezwungen diesen für mich zu posten.

Ich hoffe ihr könnt mir helfen



Short-Analyzing:

Zitat:

[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
[?] - O2 - BHO: (no name) - {9d0d1fd2-d1a2-40e7-94f3-a9db5e7672ea} - C:\WINDOWS\system32\geBqRjkl.dll
[X] - O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
[X] - O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
[?] - O4 - Startup: userinit.exe
[?] - O20 - Winlogon Notify: geBqRjkl - C:\WINDOWS\SYSTEM32\geBqRjkl.dll
[X] - O23 - Service: Taskplaner (Schedule) - Apache Software Foundation - C:\WINDOWS\system32\drivers\services.exe

Komplettes Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:29, on 02.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
C:\Dokumente und Einstellungen\[*NAME*]\Startmenü\Programme\Autostart\userinit.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\Zone Labs 2\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {9d0d1fd2-d1a2-40e7-94f3-a9db5e7672ea} - C:\WINDOWS\system32\geBqRjkl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
O4 - HKCU\..\Run: [Facegame] "C:\Dokumente und Einstellungen\[*NAME*]\Anwendungsdaten\Facegame\Facegame.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBqRjkl - C:\WINDOWS\SYSTEM32\geBqRjkl.dll
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Taskplaner (Schedule) - Apache Software Foundation - C:\WINDOWS\system32\drivers\services.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

System: Windows XP, SP2
Antiviren Software / Firewalls: Zonealarm; Windows-Firewall ist deaktiviert

Beschreibung:
- Rechner ist abgestürzt und nach dem Neustart wollten 3 Dienste/Datein/XY (ich weis leider nicht wie genau die heißen :X) auf das Internet zugreifen das ich per Zonealarm verweigert habe. Anschließend kam ein Bluescreen mit der Fehlermeldung: "Driver_IRQL_NOT_LESS_OR_EQUAL" von "psched.sys". Dieser Vorgang wiederholt sich nach jedem Neustart, sofern ich am Netz hänge. Offline melden sich die 3 Dienste/Datein/XY zwar auch, allerdings stürzt der Rechner nicht ab.

Weiters versuchen folgende Dienste/Datein/XY unregelmäßig auf das Internet zuzugreifen:
- lsb(oder Isb).exe versucht auf das Internet zuzugreifen. (immer wieder)
- htpasswd.? versucht auf das Internet zuzugreifen (zumin. einmal)




Irgendwie dürfte ich mir die Hundlinge beim Surfen eingetreten haben :\
Interessanterweise ist das Theater auch nicht sofort losgegangen, sondern erst nachdem ich eine ganze Weile Fable gezokkt habe. :/

Mir fiel leider kein besserer Titel ein. Bedauerlicherweise kommt die Bluescreenmeldung zu so gut wie jedem Problem und ich hoffe ihr erkennt da vielleicht eher einen Zusammenhang anhand des Logs und meiner leider recht lausigen Beschreibung :X


lg und Vielen Dank schon im vorraus!
Grinningface

Bin zwar den Virus noch immer nicht los, aber schon mal einen Schritt weiter.
Offenbar ist lsb.exe ein recht neuer Virus, vll ist auch das der Grund warum ich so unfassbar wenige Infos über ihn finde.

Jedenfalls scheint "prevx" ihn zu kennen:
http://www.prevx.com/filenames/2172665487660890957-0/LSB2EEXE.html

Zitat:

LSB.EXE has been seen to perform the following behavior:

* The Process is packed and/or encrypted using a software packing process
* Can communicate with other computer systems using HTTP protocols
* Writes to another Process's Virtual Memory (Process Hijacking)
* Executes a Process
* This Process Creates Other Processes On Disk

LSB.EXE has been the subject of the following behavior:

* Created as a process on disk
* Executed as a Process
* Has code inserted into its Virtual Memory space by other programs
* Terminated as a Process

Wär nat. toll wenn ich den Virus auch ohne geldausgeben los werden würde :/

Hallo,

Das sieht nach einer üblen Infektion aus..
lasse bitte folgende Dateien auswerten:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\System32\rs32net.exe
C:\Dokumente und Einstellungen\[*NAME*]\Startmenü\Programme\Autostart\userinit.exe
C:\WINDOWS\SYSTEM32\winuqw32.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Vielen vielen Dank Silent sharK das du dir die Zeit genommen hast mir weiter zu helfen. Ich hab mal gemacht was du gesagt hast und habe auf VirusTotal die Datein gescannt. Allerdings ist in deiner Liste "C:\WINDOWS\system32\drivers\services.exe" doppelt vorgekommen.


Ergebnisse:
- http://pastebin.parentnode.org/57634
- siehe Anhang


Wär super wenn sich jemand die Zeit nehmen könnte mir hierbei zu helfen.
Ich tappe leider vollkommen im dunklen. Nur die lsb.exe ist mein einziger richtiger Anhaltspunkt. Mir würden auch nur ein paar Hinweise genügen :P


lg und ein großes Danke jetzt schon an alle die versuchen mir zu helfen
Grinningface

Das sieht schlecht aus.
Ich würde dir raten, das System neu zu installieren.
Nicht nur, dass es sicherer ist als eine Bereinigung, sondern auch, da es um einiges mehr Zeit spart.

Du kannst dich entscheiden, wie wir weiter vorgehen sollen.

mfg

Ansich hab ich kein Problem mit neu aufsetzen, das einzige Problem das ich habe ist, dass sich der Virus bzw. die Viren auf diversen Datenträgern verewigen, sobald ich sie anschließe. Zumin. ist das bei einem USB-Stick passiert.

Nun weis ich nicht so recht wie ich meine Daten sichern soll.
Ich werd probieren die wichtigsten auf meinem Server zu laden und hoffe das das klappt. :\

btw: Das es übel aussieht hab ich spätestens jetzt gemerkt. Würde ich jetzt einen HijackThis Log posten würde der bestimmt um einiges schlechter ausfallen da es scheinbar immer mehr seltsame Prozesse werden. Ich hoffe mal das kein Keylogger oder ähnliches dabei ist :X

Danke jedenfalls für deine Bemühungen

Zitat:

Ansich hab ich kein Problem mit neu aufsetzen, das einzige Problem das ich habe ist, dass sich der Virus bzw. die Viren auf diversen Datenträgern verewigen, sobald ich sie anschließe. Zumin. ist das bei einem USB-Stick passiert.

Nun weis ich nicht so recht wie ich meine Daten sichern soll.
Ich werd probieren die wichtigsten auf meinem Server zu laden und hoffe das das klappt. :\

Boote am besten von einer Live CD wie Knoppix, Ubuntu, etc.
Dann kannst du sicher gehen, dass du keine Schädlinge mitsicherst.
Der USB-Stick sollte aber davor formatiert sein.

Zitat:

Ich hoffe mal das kein Keylogger oder ähnliches dabei ist :X

Mh, ich würde sagen, was schlimmeres..

Hallöchen, will mich mal hier reinhängen,



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]