Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit
 

Guten Tag,
normalerweise würde ich in einem Fall wie diesem den PC Formatieren und neu Aufspielen, jedoch ist die Lage diesmal etwas anders.

Informationen vorab:
Der Virenscanner (Antivir Free) meldet natürlich nichts.
Als Browser wurde ein aktueller Firefox mit Adblock und NoScript verwendet, momentan schreibe ich von meinem Linux System ;)

Wie kam es zu dem Verdacht:
Da ich eine Ausbildung im IT bereich gemacht habe und bereits Kenntnisse mit Viren und anderen Bedrohungen habe, verwende ich auch auf meinen PC Systemen Programme welche mehr Funktionalität bieten als der normale Taskmanager.

Im Process Hacker (einem security task manager) werden außer den Prozessen auch weitere informationen angezeigt, unter anderem auch die offenen Netzwerkverbindungen...
Normalerweise wird angegeben zu welchem Programm eine Verbindung gehört, bei 2 Einträgen sah ich allerdings nur
"Unknown process - *IP Adresse* - Port 80 - Last ACK".

Nachdem ich in Firefox ein Whois zu der ersten Adresse gestartet hatte und zurück im Process Hacker war verschwand der Eintrag unerwartet (geschlossene Verbindungen werden normalerweise rot gekennzeichnet und verschwinden dann erst, diese verschwanden einfach).

Nachdem ich den whois zur zweiten Verbindung gestartet hatte war auch dieser während ich den Process Hacker offen hatter nach kurzer zeit einfach weg...

Die whois Einträge haben mich zu 2 verschiedenen deutschen Werbeagenturen geführt (normale Unternehmenswebseiten), wodurch ich realisiert habe, dass ich Teil einer DDoS Attacke sein könnte.
-------------------------------------------

Kurz darauf habe ich die Internetverbindung getrennt und mit meinem Linux System die Mail Passwörter zurückgesetzt, welche ich vorher im PC eingegeben hatte (noch bevor mir die Verbindungen aufgefallen waren).

Jetzt gerade schreibe ich hier.. und scanne weiter den PC

Hijackthis Logs habe ich 2 (einmal vor der Reinigung von seltsamen Einträgen und einmal danach) diese werde ich später posten.

Wenn jemand eine Idee zu diesem Fall hat: Hilfe ist sehr willkommen.

MfG Close1

Hijackthis, OTL, Defogger zum bestehenden Thread
 

Hier die Logs zum Thread (http://www.trojaner-board.de/101352-...tml#post683072)

Bitte nicht in diesem Thread posten, ich hänge die Logs hier an da ich den Thread nicht mehr editieren kann und nicht pushen möchte.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Wozu ein neuer Thread dafür? :confused: :balla:

Ich werd die gleich mal zusammenlegen...

So, hab die Threads nun zusammengelegt.
Mach bitte den Vollscan mit Malwarebytes und den CustomScan mit OTL.

Vielen Dank, konnte leider gestern den Thread nicht mehr editieren, sonst hätte ich die logs dort gepostet.

Hier nun die Logs von Malwarebytes (Vollscan) und custom OTL.

Dazu kommt noch ein Screenshot von einer auffälligen Anwendung im Process Hacker:
http://www.trojaner-board.de/attachm...1&d=1310791579

Das linke Fenster im Vordergrund zeigt die Informationen vom Process Hacker an und das rechte Fenster die Dateiinformationen von Windows, erscheint mir zumindest sehr merkwürdig.

Hoffentlich helfen die Informationen.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hier der Log:
Noch zur Info: F:\ ist ein CD Laufwerk (sonst wird es vielleicht ein wenig verwirrend).

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Habe zuerst skip gemacht, da ich den Log nicht anzeigen lassen konnte, danach aber gelöscht.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier der Combofix Log:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier der MBRCheck Log:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Herzlichen Glückwunsch Sie haben Level 1 geschafft!
Nein im Ernst, jetzt kann ich definitiv sagen (und notfalls auch beweisen), dass mein System Infiziert wurde.

Log von SASW:
Für mich sehen diese Agent/Gen-UsrMgr nach False-Positives aus, die Dateien werde ich in den nächsten Tagen aber genauer prüfen (Surfe momentan mit einem Surfstick und die Volumenbegrenzung wurde erreicht)

Die SPUIORI.DLL scheint jedoch ein Volltreffer zu sein.
Mir ist auch aufgefallen, dass die Datei eine nette Botschaft in der Dateibeschreibung enthält "のろってやる!!" (Auf dt. etwa "Ich werde verflucht!!").
Das seltsame daran ist, der Explorer zeigt einen Zeitstempel von 2001 an, vielleicht wurde dieser manipuliert falls so etwas möglich ist.

EDIT: Mist zu früh gefreut... nur 2 der Scanner auf Virustotal haben etwas gefunden und auch nur heuristische Funde:
--Nun zum eigentlichen Problem--
Auffällig ist die, wahrscheinlich nach dem Einsatz von TDSSKiller, entfallene Rootkit Funktion des eigentlichen Schädlings.
Momentan werden beim Aufrufen des Firefox zahlreiche Verbindungen zum Host dd3728.kasseserver.com hergestellt (nachladen von neuem Schadcode?).
Die Verbindungen werden Firefox zugeordnet, ob auch Verbindungen geöffnet werden wenn ich einen anderen Browser verwende habe ich noch nicht überprüft.
Momentan gehe ich davon aus, dass der PC mit einer relativ neuen Version eines online Banking Trojaners infiziert ist.

Und ich dachte schon ich werde bald paranoid :balla:

Edit: Malwarebytes hat nichts gefunden und ESET braucht ja eine Internetverbindung (IMHO momentan kontraproduktiv)

Hm und aus welcher Quelle stammt dieses Spiel?

Es handelt sich nicht direkt um ein Spiel, sondern um einen Emulator [1] für eine Homebrew Plattform.
Auf diesem Emulator können Spiele, welche mit einem SDK [2] für die PSX programmiert wurden, ohne BIOS für den Emulator entwickelt und gespielt werden.
Nach meinen Recherchen ist diese Art der Verwendung nicht illegal.

[1] XEBRA/ARBEX dieser Emulator kann ohne ein illegales BIOS Homebrew Spiele emulieren.
[2] z.B. Mit diesem Open Source Tool hxxp://code.google.com/p/psxsdk/

--On Topic--
Diese DLL ist jedoch sehr unwahrscheinlich für die Infektion verantwortlich, oder siehst du das anders?

Auch wenn es angeblich nicht illegal ist würde ich die dubiosen Sachen max. mit der Kneifzange anfassen. Ist wie mit allen anderen ausführbaren Dateien aus dubiosen Quellen, allen vorans Keygens und Cracks

Wenn man sich mit dem Thema beschäftigt erscheint es einem nicht mehr dubios, irgendwann empfindet man es auch nicht mehr als Risiko.

Was mich noch stört, der eigentliche Schädling ist bis jetzt in noch keinem Logfile aufgetaucht und kann, dadurch impliziert, auch nicht entfernt werden.
Außerdem kann ich auch nicht sagen wodurch das System infiziert wurde, vielleicht Flash oder Adobe Reader oder eben die spuiori.dll aber es gibt keine handfesten Hinweise darauf, das stört mich ein wenig.

Wie könnte ich denn jetzt am besten weitermachen? Oder machen weitere Scans keinen Sinn mehr?

Die spuiori.dll könnte ich zur Analyse an entsprechende Stellen schicken, halte aber die Wahrscheinlichkeit für sehr gering, dass die Datei wirklich Malware enthält, hätte da gerne noch eine zweite Meinung.

Aber bis hier hin vielen Dank schon mal, werde mich jedoch frühstens nach dem Wochenende melden.

Ist die Frage ob du den Rechner so belassen willst oder alles komplett neu installierst.
Wie ist es denn um den Rechner jetzt bestellt?

Es sind keine wichtigen Dokumente auf dem PC gespeichert und die Hardware ist auch noch "aktuell", jedoch ist es sehr aufwändig die Applikationen wieder zu installieren.
Bei den Programmen welche keinen Export der Einstellungen unterstützen, werde ich die Konfiguration wohl nicht mehr so hinbekommen.
Außerdem müsste ich die Programme welche man nur im Netz bekommt über meinen Surfstick runterladen (Steam games..)

Insgesamt müsste ich, außer Windows, etwa 60GB an Programmen neu installieren, Steam macht davon 32GB und das Qt SDK mit Erweiterungen etwa 9GB aus (es handelt sich um die Größe auf dem Datenträger).


Aber so lassen will ich den Rechner wirklich nicht, die Spiele sind nicht so wichtig und um die Konfigurationen ist es schade, aber ein sauberer Rechner ist wichtiger.