Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   update.exe durch GAOBOT.AO Worm (https://www.trojaner-board.de/10524-update-exe-gaobot-ao-worm.html)

hiwiba 07.12.2004 16:42
update.exe durch GAOBOT.AO Worm
 
Hallo Leute!

Nachdem ich mir in den letzten Tagen auf 3 Rechnern das Tool AdAware.SE und hijackthis runtergeladen habe, und mit einem Rechner auf keinen anderen Internetseite war! habe ich auf allen 3 Rechnern diese o.g. update.exe, die aber nur beim Systemstart läuft und danach nicht mehr aktiv und zu erkennen ist!

Logfile of HijackThis v1.98.2
Scan saved at 15:11:08, on 07.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Eigene Dateien\Barny\temporär\Trojanerboard\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASÖRT~1\DASOER~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASÖRT~1\DASOER~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/act...ActiveData.cab

*********************************************************
Die automatische Auswertung ergab:

HIER NUR EIN TEIL, DA POST SONST ZU LANG!



C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522 ef\update\update.exe
Böse Laufender Prozess. (update.exe)
Added as a result of the GAOBOT.AO WORM! Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!




Dieses Logfile wurde automatisch ausgewertet!
Werten auch Sie Ihr Logfile automatisch auf www.hijackthis.de aus!

********************************************************


Wie bekomme ich das wieder weg?
Norton Antivir 2004 erkennt´s nicht (es kam zwar eine Meldung von Norton, aber dieses Fenster ging schnell wieder zu und in den Berichten steht nix drin)

Auch ist das entsprechende Directory jetzt nicht mehr zu finden.

Die Rechnerauslastung lag bei Ausführung der update.exe bei ca. 30 - 40 %.

Was ist da überhaupt passiert?

Gruß hiwiba

chaosman 07.12.2004 16:54
@hiwiba
da du nur ein teil gepostet hast, kann man nicht viel sagen.
dieser worm, hier ein paar infos
http://www.sophos.de/virusinfo/analy...2agobotao.html
hat wohl backdoorqualitäten.

dein system ist nicht auf den neuesten stand, deswegen hast du wahrscheinlich das problem. seit fast 1 jahr ist dieser worm bekannt(laut sophos)
wechsle in den abgesicherten modus und lasse mal dein virenscanner laufen.
der norton müßte es eigentlich finden.

danach solltest du schleunigst updaten, anders bist du hier bald stammkunde.
HJT braucht übrigens einen eigenen ordner.

chaosman

hiwiba 07.12.2004 17:19
Hi,

vielen Dank für die schnelle Antwort!

Aber:

- Bis auf SP2 sind alle verfügbaren updates für XP installiert!
- Norton ist aktuell, eben noch mal laufen lassen, hat nix erkannt!
- AdAware stellt auch nix fest.

Das Logfile von HJT habe ich doch ganz gepostet!? Nur die Auswertung ging nicht ganz drauf (Post war dann zu lang)

Wie gesagt, Norton öffnete ein Fenster mit ungefähr folgendem Text:

Norton wartet auf die Prüfung von ???????

Ging dann aber sofort wieder zu und ich konnte den Dateinamen nicht aufschreiben.

Fixen mit HJT ging auch nicht, bis ich die betreffende Zeile gefunden hatte, war der Prozess schon zu Ende!

UNd das entsprechende Directory C:\windows\****\update.exe gibt´s ja auch nicht mehr!

Vielleicht ist ja auch die automatische Überprüfung auf dem Holzweg und es ist eine ´neue´ Sache!?

Was meinst Du mit: HJT braucht einen eigenen Ordner?

Gruß hiwiba

Cidre 07.12.2004 17:24
Zitat:
Was meinst Du mit: HJT braucht einen eigenen Ordner?
Wenn du HijackThis in einem eigenen Ordner entpackst, dann kannst du auf die Funktion "Backup" zurückgreifen, falls du mal etwas falsches fixed. Dies ist beim temporären entpacken nicht möglich.

Lade und scanne mit eScan AntiVirus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

hiwiba 07.12.2004 22:25
Hi,

habe escan antivirus jetzt hier auf meinem Heimcompi geladen. Wenn ich mwav.exe aber doppelklicke (rechte Maustaste geht nicht, da ich kein winzip bei XP drauf habe) entzipt mir der WinZip Self extractor die ganzen Dateien immer in C:\Doku***etc****\temp

Kann ich die ganzen Dateien dann einfach nach c:\bases rüberkopieren? Der temp Ordner wurde natürlich vorher geleert!

Ich scanne auf meinem Firmenrechner dann morgen und poste das Ergebnis hier!

Gruß hiwiba

PS.: Mir ist da eben noch was aufgefallen!

Ich habe meine versteckten Dateien ´ sichtbar´ gemacht.
Bin dann auf den Ordner RECYCLER gestossen

Die darin enthaltenen Dateien heißen so wie der ´böse´ Prozess!

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe


Ich hatte in der Firma einen Virus (muß morgen in der Nortonquarantaine nachschauen, wie der hieß, ich glaube update:class, er verstellte die Internetstartseite.

Hatte eine Systemwiederherstellung gemacht, dann war das Prob weg.

Vielleicht wurde da ja was gestartet !?

hiwiba 08.12.2004 10:27
Hi, so hier jetzt die Ergebnisse von escan:

Wed Dec 08 09:48:18 2004 => File C:\System Volume Information\_restore{13020D08-F645-4FB4-9C61-0B4456A5F533}\RP196\A0014825.dll infected by "not-a-virus:AdWare.ToolBar.STIEBar.a" Virus. Action Taken: No Action Taken.
Wed Dec 08 09:48:18 2004 => File C:\System Volume Information\_restore{13020D08-F645-4FB4-9C61-0B4456A5F533}\RP196\A0014821.exe infected by "TrojanDownloader.Win32.Small.vq" Virus. Action Taken: No Action Taken.

Wed Dec 08 09:48:18 2004 => File C:\System Volume Information\_restore{13020D08-F645-4FB4-9C61-0B4456A5F533}\RP196\A0014820.exe infected by "not-a-virus:AdWare.ToolBar.STIEBar.a" Virus. Action Taken: No Action Taken.
Wed Dec 08 09:48:14 2004 => File C:\System Volume Information\_restore{13020D08-F645-4FB4-9C61-0B4456A5F533}\RP193\A0014742.DLL infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken.

Wed Dec 08 09:46:29 2004 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\45527CC3
Wed Dec 08 09:46:29 2004 => File C:\Programme\Norton AntiVirus\Quarantine\45527CC3 infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Wed Dec 08 09:46:29 2004 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\6E93613B
Wed Dec 08 09:46:29 2004 => File C:\Programme\Norton AntiVirus\Quarantine\6E93613B infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: No Action Taken

Wed Dec 08 09:46:29 2004 => File C:\Programme\Norton AntiVirus\Quarantine\3933108F infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: No Action Taken.

Die Viren in der Quarantäne von Norton sind ja erkannt und auch gelöscht!

Nur hängen die scheinbar auch noch in den restore-files, also in den Wiederherstellungspunkten drin!?

Wenn ich dann die Wiederherstellungspunkte lösche, müßten die dann doch weg sein, oder?

Gruß hiwiba


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131