Stration Warezov

gunbritt · 28.01.2009, 01:46

Hallo,

nach einem Hinweis vom Rechenzentrum und der Installation von Avira hatte dieses bei mir gestern folgendes gefunden:

Code:

ATTFilter

C:\hiberfil.sys
    [WARNING]   The file could not be opened!
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\gdi32.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '49e72d7e.qua'!
C:\WINDOWS\skkkkkkk.exe
    [DETECTION] Is the TR/Dldr.Agent.BJY.2 Trojan
    [NOTE]      The file was moved to '49e92d87.qua'!
C:\WINDOWS\system32\dowmakn.dll
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHQ381I7\xndvqh[1].jpg
    [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [NOTE]      The file was moved to '49e22db8.qua'!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
    [DETECTION] Contains recognition pattern of the W95/Blumblebee.1738 Windows virus
    [NOTE]      The file was moved to '49e92de4.qua'!
C:\WINDOWS\SoftwareDistribution\WebSetup\wuaueng.cab
    [0] Archive type: CAB (Microsoft)
    --> wuaueng.inf
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Eigene Dateien\ICQ Lite\313268399\Maike_255629819\EvilClient1.2Setup.exe
    [0] Archive type: NSIS
    --> Settings/Evil Client Online Update.exe
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTQ309IR\wuaueng[1].cab
    [0] Archive type: CAB (Microsoft)
    --> wuaueng.inf
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-3f78ff12-41e51355.zip
    [0] Archive type: ZIP
    --> BaaaaBaa.class
      [DETECTION] Is the TR/Java.Downloader.Gen Trojan
    --> VaaaaaaaBaa.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.FA Java virus
    --> Dvnny.class
      [DETECTION] Contains recognition pattern of the JAVA/Exploit.By.A.2 Java virus
    --> Baaaaa.class
      [DETECTION] Contains recognition pattern of the JAVA/Exploit.By.A.1 Java virus
    --> Dex.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GC Java virus
    --> Dix.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GD Java virus
    --> Dux.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GE Java virus
    [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.FA Java virus
    [NOTE]      The file was moved to '49f2317b.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009341.exe
      [DETECTION] Is the TR/Stration.IM Trojan
    [NOTE]      The file was moved to '49ae326d.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009342.dll
    [DETECTION] Contains recognition pattern of the WORM/Stration.Gen worm
    [NOTE]      The file was moved to '48c48206.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009343.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.Gen worm
    [NOTE]      The file was moved to '49ae326f.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009344.exe
    [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
    [NOTE]      The file was moved to '49ae326e.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009345.sys
    [DETECTION] Is the TR/Rootkit.Gen Trojan
    [NOTE]      The file was moved to '48c48207.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009346.dll
    [DETECTION] Contains recognition pattern of the WORM/Warezov.MO.1 worm
    [NOTE]      The file was moved to '49ae3260.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009347.exe
    [DETECTION] Contains recognition pattern of the WORM/Warezov.MG.4 worm
    [NOTE]      The file was moved to '48c48218.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009348.dll
    [DETECTION] Contains recognition pattern of the WORM/Stration.BL.3 worm
    [NOTE]      The file was moved to '49ae3271.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009349.EXE
    [DETECTION] Contains recognition pattern of the DR/DelReg.B.1 dropper
    [NOTE]      The file was moved to '48c4821a.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009350.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '49ae3273.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009486.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '48c4821c.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009487.exe
    [DETECTION] Is the TR/Dldr.Agent.BJY.2 Trojan
    [NOTE]      The file was moved to '49ae3275.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009488.dll
    [DETECTION] Contains recognition pattern of the W95/Blumblebee.1738 Windows virus
    [NOTE]      The file was moved to '48c4821e.qua'!
C:\CSS\CS Source\Steam3.dll
    [DETECTION] Is the TR/PSW.Staem.HA Trojan
    [NOTE]      The file was moved to '49e332ff.qua'!


End of the scan: Montag, 26. Januar 2009  23:01

Ich bin jedoch mißtrauisch, hab aber nicht sehr viel Ahnung. Wegen Rootkit denke ich, dass der PC kompromittiert ist oder??

Hier mal der HijackThis Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:35:40, on 28.01.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\System32\E_S00RP1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuE0\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Programme\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX3600 Series auf GLOBEX] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P49 "Automatisch EPSON Stylus CX3600 Series auf GLOBEX" /O17 "\\GLOBEX\Printer4" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125342659089
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: Domain = b19.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: NameServer = 134.130.4.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: Domain = b19.rwth-aachen.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: NameServer = 134.130.4.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\System32\ccfgcscd.dll (file missing)
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP1.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 7420 bytes

Ich kann nämlich auch nicht virustotal.com und weitere virenbezogene Seiten öffnen!

Über Hilfe wäre ich sehr dankbar!

Liebe Grüße
Gunbritt

nochdigger · 28.01.2009, 06:05

Moin

Zitat:

Ich bin jedoch mißtrauisch, hab aber nicht sehr viel Ahnung.

aber in diesen Dingen?

Zitat:

[BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
[CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

Zitat:

Wegen Rootkit denke ich, dass der PC kompromittiert ist oder?

könnte sein, denke aber, dass es eher an dem hier liegt

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:35:40, on 28.01.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

ein komplett veraltetes System.
Setze den Rechner neu auf, installiere das System mit dem Servicepack 3 sowie IE7 und halte deine Software zukünftig aktuell (gilt für jede Software).
Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

gunbritt · 28.01.2009, 09:27

Danke für die Antwort!

Vielleicht hätte ich noch hinzufügen sollen, dass es der Laptop meiner Freundin ist. Und die hatte immer tolle Männer zur Hilfe, die ihr solche Sachen wie Bearshare etc. installiert haben. ;-)
Genutzt hatte sie es nicht (weil sie garnicht wusste wie es funktioniert) aber reicht wahrscheinlich, wenns im Hintergrund läuft.
Automatische Updates wollte ich aktivieren, wenn der PC sauber ist.

Also bleibt mir nichts anderes übrig als Neuaufsetzen?

Vielen Dank
gruß Severin

nochdigger · 28.01.2009, 18:37

Moin

Zitat:

Vielleicht hätte ich noch hinzufügen sollen, dass es der Laptop meiner Freundin ist. Und die hatte immer tolle Männer zur Hilfe, die ihr solche Sachen wie Bearshare etc. installiert haben. ;-)

Ja ja jetzt sind wieder wir Kerle schuld

Zitat:

Also bleibt mir nichts anderes übrig als Neuaufsetzen?

Natürlich wird es Leute geben, die versuchen euch auch diese Kiste noch zu bereinigen, aber auf dem System ist so viel los, dass es sehr fragwürdig ist ob das System jemals wieder rund laufen wird (Sicherheitsaspekte mal nicht berücksichtigt - Backdoors usw.).

Zitat:

Automatische Updates wollte ich aktivieren, wenn der PC sauber ist.

Ladet für eure Freundin auf einen sauberen Rechner das Servicepack 3 runter
Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
und brennt eine CD, dann Neuaufsetzen und noch Offline (Netzwerkkabel raus) das Servicepack 3 installieren.
Anschließend können alle Updates bei M$ gezogen und ein Antivirenprogramm installiert werden.

MFG

Stration Warezov

Log-Analyse und Auswertung: Stration Warezov