Hallo Profis,

der McAffee hat gestern auf meiner Festplatte und meiner exteren USB in den "System Volume Informations" unter _restore den Trojaner generic.dx gefunden und gelöscht (gleicher Dateiname auf beiden Drives: A0...exe).
Seit einer Weile habe ich auch das Problem das auf manchen Dateien das Kontextmenu sehr lange braucht (Ordner und z.B. PDFs nicht; Sachen mit wenigen Kontext-Einträgen halt; zip, exe.. schon). Stellte dann gestern fest, dass die Kontextmenus normal gehen wenn die LAN-Verb. deaktiviert ist. Bei aktiver Verbindung werden beim Rechtsklick auch 6-8 Pakete veschickt und ein paar empfangen.. da hab ich mich dann so langsam eingeschissen!
Der TCPView hatte auch kurz mal ein paar Verbindungen zum Hoster theplanet.com (irgendwelche Subdomains davon..).
Der RootkitRevealer hat nix gefunden genauso wie Spybot und AdAware.

Hab zum Thema schon was gefunden wie Anleitungen für div. andere Tools die man ausühren soll.. Werde das auch noch machen wollte hier nur mal die Symptome bekannt machen weil ich zu der Kombination nix fand.
Zu der Sache mit den lahmen Menus gabs natürlich haufenweise Sachen das man die entsprechenden Einträge in der Reg. aufräumen soll uns showMenuDelay.. alles kontrolliert, bissl aufgeräumt, nix gebracht.

Weitere Durchläufe von McAffe haben dann auch nix mehr angezeigt.
Infiziertes System (!?): x61 Thikpad, XP Pro SP3
Vermutete Infektionsquelle: Ungescannte App aus dem Netz ich Arsch oder Webseiten

Danke im Vorraus für Kommentare, Anregungen und Beschimpfungen

Grüße,
der nachlässig gewordene Bene

Halli hallo Bene.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Alles klar.. werds heute abend testen.
Danke schon mal

So..

Log ist hier:
http://rapidshare.de/files/41095281/avz_sysinfo.zip

Ausserdem beim PlattenScan zwei DLLs.. DivXConverter und ne DLL von der Arbeit -> Falschpositiv oder kann sich da was einschleichen?

Kontextmenues immer noch in Zeitlupe wenn LAN (Router) verbunden. Bei anderem Benutzer normales Verhalten.

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\programme\gemeinsame dateien\lenovo\logger\logmon.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Und führe mit AVZ dieses Skript aus (File -> Custom Skript):

Zitat:

begin
DelBHO('{0045D4BC-5189-4b67-969C-83BB1906C421}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Hi,

versteckte Dateien waren schon dabei (ausser der Haken Inhalt von Systemordnern anzeigen, also nochmal?).

Virustotal c:\programme\gemeinsame dateien\lenovo\logger\logmon.exe (Änderungsdatum=Installationsdatum):

Datei logmon.exe empfangen 2008.12.10 21:45:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2999.99.99.3 2008.12.10 -
AntiVir 7.9.0.43 2008.12.10 -
Authentium 5.1.0.4 2008.12.10 -
Avast 4.8.1281.0 2008.12.10 -
AVG 8.0.0.199 2008.12.10 -
BitDefender 7.2 2008.12.10 -
CAT-QuickHeal 10.00 2008.12.10 -
ClamAV 0.94.1 2008.12.10 -
Comodo 718 2008.12.10 -
DrWeb 4.44.0.09170 2008.12.10 -
eSafe 7.0.17.0 2008.12.10 -
eTrust-Vet 31.6.6254 2008.12.10 -
Ewido 4.0 2008.12.10 -
F-Prot 4.4.4.56 2008.12.10 -
F-Secure 8.0.14332.0 2008.12.10 -
Fortinet 3.117.0.0 2008.12.10 -
GData 19 2008.12.10 -
Ikarus T3.1.1.45.0 2008.12.10 -
K7AntiVirus 7.10.550 2008.12.10 -
Kaspersky 7.0.0.125 2008.12.10 -
McAfee 5460 2008.12.10 -
McAfee+Artemis 5460 2008.12.10 -
Microsoft 1.4205 2008.12.10 -
NOD32 3682 2008.12.10 -
Norman 5.80.02 2008.12.10 -
Panda 9.0.0.4 2008.12.10 -
PCTools 4.4.2.0 2008.12.10 -
Prevx1 V2 2008.12.10 -
Rising 21.07.22.00 2008.12.10 -
SecureWeb-Gateway 6.7.6 2008.12.10 -
Sophos 4.36.0 2008.12.10 -
Sunbelt 3.2.1801.2 2008.12.10 -
Symantec 10 2008.12.10 -
TheHacker 6.3.1.2.182 2008.12.10 -
TrendMicro 8.700.0.1004 2008.12.10 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.10.1511 2008.12.10 -
VirusBuster 4.5.11.0 2008.12.10 -
weitere Informationen
File size: 22016 bytes
MD5...: 7fd85624f2c1b84aa7975e38fe862874
SHA1..: fbecb737315ab02a6dbb1af45d45628319043fb2
SHA256: ae1fd0d5002e4a95c7d11bef1047a020d6c22b11442c7ce3b26fc3cebd3a0e6e
SHA512: 0d5887027e01dee16233c0d28aca0efbd6f74c181a777ec433df48b5a3cb1f2c
101b56b9a3ef9962f9ba58a989da349610d83ca4173dd120121b279900574511
ssdeep: 384:YrxsuNKXE6x47pSxn/U5xqL6tU5jibfkcVd1QX:Yrx54Ee4kns5xqQU5jkfk
cV
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4031c5
timedatestamp.....: 0x45cb6524 (Thu Feb 08 18:00:04 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2965 0x2a00 5.80 8af680680fa0a899c83f4eee9a53d2a0
.rdata 0x4000 0x1396 0x1400 4.79 e3a9e5175ca7a919172b41c5ae12848f
.data 0x6000 0x144 0x200 0.34 71134783cee657ef3edf91c0a628f5eb
.rsrc 0x7000 0x1050 0x1200 3.24 d3c2816c5d2e09286ee07a27b2b6beaf

( 6 imports )
> KERNEL32.dll: DeleteFileW, Sleep, LoadLibraryExW, GetModuleHandleW, GetCommandLineW, FormatMessageW, FreeLibrary, CreateEventW, WaitForSingleObject, CloseHandle, SetThreadPriority, InitializeCriticalSection, DeleteCriticalSection, GetModuleHandleA, ExitProcess, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetVersionExA
> ADVAPI32.dll: LookupAccountSidW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, NotifyChangeEventLog, OpenEventLogW, GetOldestEventLogRecord, GetNumberOfEventLogRecords, CloseEventLog, ReadEventLogW
> SHLWAPI.dll: PathFileExistsW
> MFC71U.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCR71.dll: __dllonexit, _onexit, _c_exit, _exit, _XcptFilter, _cexit, exit, __p___winitenv, _amsg_exit, __wgetmainargs, free, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __security_error_handler, _controlfp, _endthread, _except_handler3, memset, _beginthread, _initterm, wcslen, _wtoi, getenv, _wmkdir, _wgetenv, _localtime64, wcsftime, wprintf, __CxxFrameHandler, wcscpy, _wtol
> MSVCP71.dll: __6_$basic_ostream@DU_$char_traits@D@std@@@std@@QAEAAV01@P6AAAV01@AAV01@@Z@Z, _endl@std@@YAAAV_$basic_ostream@DU_$char_traits@D@std@@@1@AAV21@@Z, _cerr@std@@3V_$basic_ostream@DU_$char_traits@D@std@@@1@A, __6_$basic_ostream@DU_$char_traits@D@std@@@std@@QAEAAV01@PBX@Z

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7fd85624f2c1b84aa7975e38fe862874' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7fd85624f2c1b84aa7975e38fe862874</a>

Skript führe ich gleich aus.

Danke

Skript ausgeführt.. nichts Neues.

Sollte ich alle Dateien im avz-report bei virustotal hochladen?

Kann es vielleicht auch ein "sauberes" Programm verursachen? Irgendeine ShellExt mit WebZugriff

Also aus meiner Warte aus ist der Rechner sauber.

Alles klar.
Dankeschön für die Mühe.

Nochn Update..

Der Virusfund hatte wahrschinlich nichts mit den langsamen Rechtsklicks zu tun.
Habe die Reg nach \\ Einträgen durchsucht und aus Hass wahllos drauflosgelöscht. . nicht ganz wahllos.. da waren ein paar Netzwerkorte und Drucker aus einem Netzwerk in dem ich mich mit dem Notebook selten befinde.. das wars dann auch schon.
Im Netz wurde dafür das Tool ShellExView empfohlen.. ist auch ganz schick.
Was mich immer noch wundert ist das der McAffe nicht gemeckert hat als sich der Virus eingeschlichen hat.. und was die Sau alles angerichtet hat..