Dropper DR/180Solutions

Matti · 15.11.2004, 14:54

Hallo allerorten
Ich habe den Dropper DR/180Solutions eingefangen und mit hijack eine Überprüfung gemacht. Jetzt habe ich eine logfile Liste mit de5r ich nichts anzufangen weiß. Kann mir jemand weiterhelfen? Eurer Matti

Logfile of HijackThis v1.98.2
Scan saved at 14:13:40, on 15.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\programme\180solutions\msbb.exe
C:\Programme\AVPersonal\AVSched32.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Dokumente und Einstellungen\Langner1\Startmenü\Programme\Zubehör\Unterhaltungsmedien\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\Msnmgs.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINNT\System32\MDM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Langner1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINNT\System32\apuc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [Messenger Upgrade] Msnmgs.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [aunicqb] C:\WINNT\System32\ajxfwk.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.exe /min
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Dokumente und Einstellungen\Langner1\Startmenü\Programme\Zubehör\Unterhaltungsmedien\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Messenger Upgrade] Msnmgs.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Messenger Upgrade] Msnmgs.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E386992-6322-4DB0-A898-3679828FB860}: NameServer = 192.168.120.252,192.168.120.253

Shadowdance · 15.11.2004, 17:39

Hallo Matti,

Du hast einige Probleme auf dem System. Scanne Deinen Rechner mit dem eScan laut Anweisung (bitte gut durchlesen!). Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Cidre · 15.11.2004, 17:55

@ Matti

Die Spy- und Adware die sich auf dein System befindet ist wohl eher das kleinere Übel!
Viel schlimmer ist es, dass bereits Würmer mit Backdoor Funktionalität aktiv waren.

Zitat:

O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe

W32.Spybot.CYM

Zitat:

O4 - HKCU\..\Run: [Messenger Upgrade] Msnmgs.exe

Dürfte sich ebenso um einen Wurm aus der bot Familie handeln.

Daher lautet meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Das ist der Grund für die Kompromittierung, dein nicht gepatchtes System!

Matti · 16.11.2004, 00:50

Zitat:

Zitat von Shadowdance

Hallo Matti,

Du hast einige Probleme auf dem System. Scanne Deinen Rechner mit dem eScan laut Anweisung (bitte gut durchlesen!). Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Danke Shadowdance und auch danke an Cidre(prost)
Ich habe mit escan geprüft und eine Menge Müll zum Vorschein gefördert.
Für den besseren Überblick habe ich die files nummeriert.
Gelöscht, d.h. in den Papierkorb verschoben (reicht das?), habe ich folgende:
C:\WINNT\system32\Msnmgs.exe (Nummern 6,11,29)
C:\WINNT\System32\TFTP956 (Nummern 13,32)
C:\Programme\180Solutions (kompletten Ordner Nummern 20,21)
C:\Programme\Windows Update (kompletten Ordner Nummern 22,23,24)
Alle anderen gekennzeichnet als "tagged as not a virus" habe ich noch nicht gelöscht. Sollte man das trotzdem tun oder gibt es andere Verhaltensweisen? Zusatzfrage: Da ich AntiVir habe und das nicht auszureichen scheint, frage ich Dich, ob es vielleicht ein wirksameres Virenabwehrprogramm gibt.
Vielen Dank für die Hilfe. Ich bin das erste Mal in solch einem Forum und finde die solidarische Hilfe großartig.
Matti

1 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
2 File C:\WINNT\System32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
3 File C:\WINNT\System32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
4 File C:\WINNT\System32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
5 File c:\programme\180solutions\msbb.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
6 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
7 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
8 File C:\WINNT\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
9 File C:\WINNT\System32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
10 File C:\WINNT\System32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
11 File C:\WINNT\System32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
12 File C:\WINNT\System32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
13 File C:\WINNT\System32\TFTP956 infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
14 File C:\Dokumente und Einstellungen\Langner1\Eigene Dateien\Lengner\aaw.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
15 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\bb.exe tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
16 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\localNrd.cab tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
17 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
18 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\THI66E4.tmp\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
19 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\THI66E4.tmp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
20 File C:\Programme\180Solutions\msbb.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
21 File C:\Programme\180Solutions\msbbhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
22 File C:\Programme\Windows Update\download.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
23 File C:\Programme\Windows Update\prijsvragen.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
24 File C:\Programme\Windows Update\s.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
25 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
26 File C:\WINNT\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
27 File C:\WINNT\system32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
28 File C:\WINNT\system32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
29 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
30 File C:\WINNT\system32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
31 File C:\WINNT\system32\TFTP956 infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.

Lidius · 16.11.2004, 01:11

Das sieht leider nicht gut aus. Grade der Trojaner aus der Rbot Familie ist sehr gefährlich. Meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Shadowdance · 16.11.2004, 01:25

Hallo Matti,

tut mir leid, ich kann Dir auch keinen besseren Rat geben als Lidius.

Zitat:

Zitat von Matti

6 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
11 File C:\WINNT\System32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
29 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Backdoor.Win32.Rbot.gen ermöglicht Dritten Fernzugriff auf Deinen Rechner.

Du musst davon ausgehen, dass alles was auf Deinem Rechner geschieht, ausspioniert wird. Würmer mit Backdoor-Charakter hinterlassen Schlüssel in der Registry und Code auf dem System. Die einzig sichere Lösung lautet daher: Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

[..] Zudem musst du UNBEDINGT dein Surfverhalten überdenken (da du offenbar auch regelmäßig Viren bekommst) und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

---> bitte beachten: Cidre's Rat und Lutz: Datensicherung

Festplatte formatieren - Schritt für Schritt

SD

Dropper DR/180Solutions

Log-Analyse und Auswertung: Dropper DR/180Solutions