Windows Explorer macht sich selbständig

lloid · 15.02.2010, 02:56

Hallo liebes Trojaner-Board-Forum,

ich brauche Hilfe. Nachdem ich meinem Laptop letzte Woche ein neu installiertes XP spendiert habe, musste ich heute feststellen, dass irgendwas nicht stimmt.

1. Bei jedem Neustart meldet meine Firewall:
Windows Explorer (explorer.exe) is trying to connect to w*w.plimus.com [209.128.93.234] using remote port 443 (HTTPS - HTTP protocol over TLS/SSL)

2. Avira Antivir fand mehrere Infektionen:

C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009236.exe
[FUND] Ist das Trojanische Pferd TR/BHO.Gen
C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009238.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009241.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009236.exe
[FUND] Ist das Trojanische Pferd TR/BHO.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba022a0.qua' verschoben!
C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009238.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '426ce679.qua' verschoben!
C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP223\A0009241.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cce4601.qua' verschoben!

3. Malwarebytes' Anti-Malware fand keine Infektion
4. Spybot SD fand keine Infektionen (ausser 'nem tradedoubler-cookie)
5. FindyKill fand keine Infektionen
6. automatische HijackThis-File-Auswertung ergab keine klaren Probleme
7. erneute Scans mit AntiVir brachten eine weitere Infektion zu Tage:

C:\System Volume Information\_restore{5DAEE834-33CD-4C83-A791-CAC4C021CC0B}\RP247\A0024500.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba85ffd.qua' verschoben!

8. Snapshot mit random's system information tool 1.06 brachte im info.txt logfile diesen nicht uninteressanten Passus:

...
======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

Nun, jetzt weiss ich auch nicht weiter

Bitte helft mir

Mit freundlichen Grüßen
lloid

Alle bisherigen logFiles siehe Anhang
Hier das letzte logfile von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:42:02, on 15.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Prio\prio_svc.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\TeamViewer\Version5\TeamViewer.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TopDesk\topdesk.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Strokeit\StrokeIt.exe
C:\Programme\NetMeter\NetMeter.exe
C:\Programme\AlfaClock\AlfaClock.exe
C:\Programme\UltraVNC\vncviewer.exe
C:\Programme\Sysinternals Process Explorer Nt 11.33\procexp.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [StrokeIt] C:\Programme\Strokeit\StrokeIt.exe
O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Programme\AlfaClock\AlfaClock.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 977 Shoutcast.m3u
O4 - Startup: Run UltraVNC Viewer (Listen Mode).lnk = C:\Programme\UltraVNC\vncviewer.exe
O4 - Startup: Sysinternals Process Explorer Nt 11.33.lnk = C:\Programme\Sysinternals Process Explorer Nt 11.33\procexp.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA5EA75F-7C5E-404B-B512-4BCAD6F114CA}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: prio.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Prio Service (prio_svc) - Unknown owner - C:\Programme\Prio\prio_svc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 7997 bytes

Leonixx · 15.02.2010, 10:18

Ich frage mich erstmal, wieso du nicht Service Pack 3 installiert hast und mit SP2 im Internet surfst?

Würde dir hier eher raten, nicht lange mit Desinfektion aufhalten und neuinstallieren. Diesesmal aber mit SP3 bevor du dich mit dem Internet verbindest. Bei einem frisch installierten XP kommt mir der Verdacht auf das entweder eine Infizierung durch Drive by Download oder auch durch Software mit mitgeliefertem Schadprogramm dafür verantwortlich ist.

lloid · 16.02.2010, 13:24

Hallo Leonixx,
Danke für Deine Antwort, auch wenn ich gerne um die Neuinstallation herumgekommen wäre.

Gibt es eine Möglichkeit, herauszufinden, wie ich mir den Wurm gefangen habe, um nicht wieder in die Falle zu tappen?

Gruß lloid

Windows Explorer macht sich selbständig

Plagegeister aller Art und deren Bekämpfung: Windows Explorer macht sich selbständig