Trojaner-Board - W2K SP4 fährt nach ca 5 min rutner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - W2K SP4 fährt nach ca 5 min rutner (https://www.trojaner-board.de/10814-w2k-sp4-faehrt-ca-5-min-rutner.html)

W2K SP4 fährt nach ca 5 min rutner

Hallo Leute,

ich habe einen PC mit W2K SP4 gepatcht bis MS04-030. Der PC war mit Viren verseucht. In der Registry stört mich noch der Eintrag kalvsys ... (siehe Hijacker Log.

Scan saved at 20:12:37, on 15.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Install\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvkck32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NMS Service - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

Der PC fährt regelmäßig nach ca. 5 min runter. Dabei ist es nicht von Bedeutung, ob der PC per ISDN mit einem anderen PC (pcanywhere) verbunden ist.

Schaut euch mal das LOG an, und sagt mir, was mich noch erwischt hat.

Grüsse Falko70

@Falko70
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvkck32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

lösche manuell
C:\WINNT\web\related.htm
C:\winnt\system32\kalvkck32.exe
C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
C:\WINNT\ELITES~1\ELITES~1.DLL
neu starten und ein neues logfile posten
chaosman

Hallo chaosman,

Die Datei C:\winnt\system32\kalvkck32.exe existiert nicht. Nach dem Löschen des reg-Schlüssels, wird dieser immer wieder neu erstellt.

Gruß Falko70

Aktiviere über den Explorer in deinen Ordneroptionen die Einträge "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".

Dann such die Datei und lösche sie im abg. Modus.

Hallo Christian,

diese Optionen habe ich aktiviert, sonst würd ich Ordner \root\system32\ keine *.dll, *.exe sehen. Diese sehe ich aber alle.

Gruß Falko70

Guten Tag, zusammen,
ich habe hier das gleiche Problem.
Mein System ist ebenfalls gereinigt, ich bekomme nur diesen Eintrag nicht weg.
Alle Dateien der Kalvsys sind gelöscht, entfernt in irgendeiner Karantäne verschoben und trotzdem kommt der Eintrag in der Startdatei immer und immer wieder.

Zitat:

Zitat von Windhund

Bei mir das Gleiche und zwar unter WinXP.

Egal ob ich das System abgesichert starte, vorher die Systemwiederherstellung deaktiviere, den Eintrag aus dem Taskmanager entferne, die dazugehörigen Dateien lösche - kalvsys.exe taucht bei jedem Systemneustart wieder auf. Bin wirklich ratlos - und bin beileibe kein Noob.

@henrys und Windhund
jeweils eigenen Thread öffen und HJT logfile posten
http://www.hijackthis.de/
anleitung

versuche mal das hier
TotalCommander
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\winnt\system32\kalvkck32.exe und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.
ZitatCidre

chaosman

http://www.sophos.de/virusinfo/analy...startpank.html:

Zitat:

Troj/StartPa-NK ist ein Trojaner für die Windows-Plattform.

Wenn Troj/StartPa-NK das erste Mal gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei jeder Benutzeranmeldung automatisch aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
kalvsys
"<Windows-Systemordner>\kalvkmi32.exe"

Die folgenden Registrierungseinträge werden ebenfalls erzeugt:

HKCU\Software\LQ\
<mehrere Einträge>

HKLM\SOFTWARE\Elitum\
<mehrere Einträge>

HKLM\SOFTWARE\Microsoft\DownloadManager\
<mehrere Einträge>

HKLM\SOFTWARE\ohbbackup\
<mehrere Einträge>

Der Trojaner kann Informationen aufspüren und diese an einen remoten Benutzer über HTTP senden.

Troj/StartPa-NK kann auch versuchen, beliebige Dateien herunterzuladen und auszuführen.

Der Trojaner ändert die von Internet Explorer verwendeten Speicherorte für temporäre Dateien, im Cache gespeicherte Seiten und Cookies.