Trojaner/ Maleware/ falscher DNS Server Eintrag

Chris4You · 02.12.2009, 07:58

Hi,

bitte den Rest vom Posting (s. oben) ebenfalls noch abarbeiten...

Start->Ausführen cmd eingeben.
Dann in das Verzeichnis wo Du die mbr.exe abgelegt hast hinnavigieren (oder vorher die EXE in ein geeignetes Verzeichnis kopieren), dann wie angegeben mbr -f eingeben...

Ein ACPI-Treiber, das wird lustig, unbedingt Combofix (wäre das Beste) oder GMER laufen lassen ev. verdacht auf TDSS V3...

chris

Chris4You · 02.12.2009, 08:16

Hi,

wa mir zusätzlich Sorgen macht, bei den Meldungen von Bullgard sind jede Menge Windowsfiles enthalten, das sieht nach einem Fileinfector (Sality) aus,
dann muss der Rechner platt gemacht werden...

Meldet MAM (AntiMaleWareBytes) schon was...

Für den Fileinfector Dr. Web/Cureit:
Cureit
http://www.trojaner-board.de/59299-a...eb-cureit.html

chris
Ps.: Es ist zwar noch nicht Ostern, aber ich finde Sohnemann sollte lange Ohren bekommen ;o)

kleinemausi · 02.12.2009, 08:29

Virustotal klappt nicht. Egal wie, ich kann die Seite nicht aufrufen

Bei Neustart hatte ich unzählige Prozesse (svchost, av_md, reader_s, 7.. tmp.exe)

Avenger und Hijack Logs hier:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\msnjgrac.dll" deleted successfully.

Error: could not open file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp"
Deletion of file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

Error: could not open folder "C:\DOKUME~1\***~1\LOKALE~1\Temp"
Deletion of folder "C:\DOKUME~1\***~1\LOKALE~1\Temp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|myizzo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

warte ich habe die sternchen nicht weg gemacht, also nochmal avenger + die anderen

Hier erstmal die HJTlog:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:49, on 02.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [19163] C:\WINDOWS\system32\7.tmp.exe
O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1259643722046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\support\bgrasvc.exe
O23 - Service: BullGuard Gaming Service (BsGaming) - BullGuard Software - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BsGaming.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)

--
End of file - 5996 bytes

Files fixen ist nicht möglich, bekomme dann sofort ganz viele neue svchoste.exe die eine Auslatung von 100% verursachen. Mit Mühe und Not habe ich die im Taskmanager beendet

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x88c25020
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet  -> SendCompleteHandler -> 0x88c618d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
copy of MBR has been found in sector 0x025429800 
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
Use "Recovery Console" command "fixmbr" to clear infection !

Und jetzt versuche ich auch nochmal GMER und oder combofix drauf zu bekommen.
Ist es eigentlich richtig, das Rootkits nich agieren können, wenn man etwas von CD aus starten?

Wäre dies eine Möglichkeit Combofix drauf zu bekommen?

Chris4You · 02.12.2009, 08:48

Hi,

habe mir gerade einen Kaffee eingeworfen...

Ja, von CD booten hindert die netten Tierchen vom Starten...
Wenn CF bzw. Gmer nicht klappt (was hat Antimalewarebytes gemeldet), dann basteln wir uns an einem sauberen Rechner eine Boot-CD (hast du eine XP-Boot-CD?)

Wenn Du aber erst kürzlich den Rechner neu aufgesetzt (s. http://www.trojaner-board.de/51262-a...sicherung.html) hast, was hindert Dich daran es noch mal zu tun (bevor wir uns hier den Wolf scannen)?

Wichtig dabei ist, das die komplette Festplatte wirklich formatiert wird und der Bootsector neu geschrieben wird. Bevor du dann online gehst, die DNS-Einstellungen kontrollieren (nicht das Du gleich wieder auf einer verseuchten Seite landest...

BootCd erstellen:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

Boote aber zuerst von der XP-CD in die Rettungskonsole und führe dort dann fixmbr aus (wie von GMER empfohlen).

Dann XP-CD raus, Avira-CD rein, von CD booten und avira scannen lassen...

chris

kleinemausi · 03.12.2009, 03:14

Hallo,
danke für Deine Hilfe

ich habe jetzt das System wieder neu aufgesetzt, gab keine andere Möglichkeit. Da egal welches Programm ich geöffnet habe (Malwarebyte, Bullguard etc) bekam ich dann sofort 3 XXXordner auf dem Desktop.

Also alles platt gemacht und den mit infizierten USB Stick gleich mitentsorgt.
Nun habe ich alle meine wichtigen Dateien (Bilder usw) auf einer externen Festplatte und bin mir nicht sicher ob diese vielleicht auch infinziert ist.
Habe das System ja jetzt innerhalb von 3Tagen 2mal neu aufgesetzt.
Wie komme ich jetzt sicher an meine Dateien von der externen Platte ran?

achja.. dem Sohnemann wurden erstmal die Löffel lang gezogen, natürlich nur wörtlich

und er hat zugegeben irgend etwas gedownloadet zu haben da er zu faul war auf sein zimmer hoch zu gehen

das soll mal einer verstehen. Sicherheitshalber habe ich alle PCs im Netzwerk neu aufgesetzt.

DANKE nochmal und eine schöne Woche inklusive Wochenende wünsche ich

grüße

kleinemausi · 03.12.2009, 05:38

War wohl nichts

ES ist wieder da

Wie schon geschrieben, System neu aufgesetzt. Neu
formatiert, alle Partitionen! Inklusive Speicher der Festplatte neu zugeteilt.

Also ich habe folgendes der Reihe nach gemacht:
- Windows XP neu drauf gemacht von Original CD
- Servicepack 2 von CD installiert
- Motherboardtreiber von CD + AcrobatReader
- Windowshomepage restlichen Updates gezogen
- Treiber Nvidia von d. Nvidia Homepage
- Directx von Chip.de
- Mediaplayer 11 microsoft.com
- Windows live von original Homepage
- alle Google Dinge von Google.com
- Malwarebytes + HJT von Links aus diesem Forum
- 2 Programme von Original CDs installiert

Dann wollte ich Bullguard wieder downloaden und erneut
registrieren und konnte den Download nicht ausführen.
Weitere downloads wie combofix und all die anderen sind auch nicht mehr möglich.
Hatte plötzlich wieder diese 3 xxxOrdner auf dem Desktop

Meine externe Festplatte wurde nicht angeschlossen und auch kein USB-Stick oder sonstiges!
Bis Dato ist zum Glück nur dieser PC wieder am Netzwerk, die anderen noch nicht.

Ich bin jetzt echt ratlos...

So jetzt auch erstmal ein Kaffee für mich, nach dem Schock am frühen Morgen

Und hier die Logs:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:17:09, on 03.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\fonts\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Google Talk Plugin\googletalkplugin.exe
C:\WINDOWS\system32\opeia.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsm32.sys
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [10228] C:\WINDOWS\system32\EB.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [wgdmpc] RUNDLL32.EXE C:\WINDOWS\system32\mscowgxj.dll,w
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5615 bytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3282
Windows 5.1.2600 Service Pack 2

03.12.2009 04:55:01
mbam-log-2009-12-03 (04-55-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 162034
Laufzeit: 16 minute(s), 8 second(s)

Infizierte Speicherprozesse: 8
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 22
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 29

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lsm32.sys (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\Temp\VRTE4.tmp (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\Temp\BNF1.tmp (Rootkit.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\EF.tmp (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Unloaded process successfully.
C:\WINDOWS\system32\FastNetSrv.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\system32\av_md.exe (Trojan.Dropper) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> Delete on reboot.
C:\WINDOWS\system32\curslib.dll (Spyware.Passwords) -> Delete on reboot.
C:\WINDOWS\system32\mscowgxj.dll (Spyware.OnlineGames) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fastnetsrv (Backdoor.Refpron) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BtwSrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BTWSRV (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\protect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_FASTNETSRV (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wgdmpc (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\exec (Worm.Archive) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mBt (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udfa (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av_md (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av_md (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\lsm32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRTE4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PJG2M6T4\abb[1].txt (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PJG2M6T4\lo[1].txt (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QZKZSX2X\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BNF1.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRTDF.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6633,199.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> Delete on reboot.
C:\WINDOWS\system32\curslib.dll (Spyware.Passwords) -> Delete on reboot.
C:\WINDOWS\system32\EA.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\EF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mscowgxj.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\WINDOWS\system32\wincert.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\protect.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\irc.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wmdtc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cooper.mine (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Delete on reboot.
C:\WINDOWS\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opeia.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FastNetSrv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av_md.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\av_md.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Chris4You · 03.12.2009, 07:59

Hi,

seltsam...
Ist die Festplatte partitioniert? Wenn ja, alles komplett platt machen, Partitionsgrößen ändern, deepformat (nicht quickformat).

Es ist ein Rootkit/Backdoor auf dem Rechner gelandet (lsm32.sys)...

Die CD etc. sind sauber?
Packe MAM von einem sauberen Rechner aus auf CD.
Gibt es Freigaben auf dem Rechner, auf anderen Rechnern?
Es gibt einige nette Sachen, die sich im Netzwerk automatisch verteilen, daher den Rechner erstmal komplett ohne Netzwerkanbindung hochziehen, MAM einspielen und prüfen lassen.
Dann Netzwerk anschließen, nichts runterladen und nach einer weile wieder prüfen...
Schrittweise vom Internet installieren und die runtergeladenen EXEen vor dem installieren prüfen...

Noch was: Beim Formatieren Partitionen anlegen bzw. bereits angelegte Partitionen in der Größe variieren (es gibt (z.B. der Yoyo-Virus) Teile, die sich in geschützte Bereiche am Partitionsende ablegen und die mit Formatieren nicht wegzubringen sind, erst wenn sich die Partionsgröße ändert werden sie "geplättet").

Prüfe die Einstellungen des Routers (falls einer verwendet wird). Einige Arten des DNS-changers knacken das Routerpassword (einfach wenn es das defaultpasswort ist) und ändern die Einstellungen für DNS direkt im Router!

Wenn das alles passt, ist wohl eine der CDs nicht sauber...

chris

kleinemausi · 03.12.2009, 08:13

Guten Morgen Chris,

danke mal wieder für Deine schnelle Antwort :-)

Die Festplatte wurde wieder in 3 Parttionen aufgeteilt
C/D/E und auch anders verteilt.

Router habe ich nicht, nur ein ganz normales Kabeldeutschland Modem.
Und dieser verseuchte PC ist der Einzige PC der seit dem Befall wieder am Netzwerk ist. Zum Glück

Könnte es denn wirklich sein, dass auf z.B. der Original Windows XP CD
etwas drauf ist? Habe diese CD aber schon Jahrelang, die anderen CDs sind jünger

aber es lief ja vorher alles ohne Befall (Treiber, 2 Programme f.d. Arbeit).

Das mit dem Programm auf Cd werde ich heute versuchen, hoffentlich klappt das.

Achso.. eine komische exe, vermute die ist böse und aktiv, nennt sich
sdra64.exe sitzt im System32.. lässt sich nicht löschen/entfernen auch nicht mit Malwarebytes.
Wie bekomme ich dieses Ding weg oder ruhig gestellt?

grüße

Trojaner/ Maleware/ falscher DNS Server Eintrag

Plagegeister aller Art und deren Bekämpfung: Trojaner/ Maleware/ falscher DNS Server Eintrag