Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile... (https://www.trojaner-board.de/22215-logfile.html)

dIem 26.09.2005 21:35

Logfile...
 
Bin grad schier am Verzweifeln. Hab das System bei meinem Eltern neu aufgesetzt und da grad weder FF noch ne Firewall zur Hand waren, hab ich mir jetzt schon diverse Sachen eingefangen. Hab genau 0 Plan von dem Zeugs, deswegen hier einfach mal das Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:31:02, on 26.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\spoollv.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\csrss.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Dokumente und Einstellungen\Gastaccount\Desktop\HijackThis.exe

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{454D5925-08F4-4B3C-996F-C2462388007D}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{454D5925-08F4-4B3C-996F-C2462388007D}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

cronos 26.09.2005 22:39

Du kannst direkt wieder Neuaufsetzen, da du dir folgenden Backdoor eingefangen hast:

http://www.sophos.de/virusinfo/analy...2tilebotn.html

Grund dafür ist in der Tat, das du dein System vor der ersten Internetverbindung nicht richtig abgesichert hast.
Hier hätte dir weder Firefox noch eine Firewall geholfen, da es sich hier um einen sog. Netzwerkwurm handelt.
Hier helfen nur die aktuellsten Patches von Microsoft (in deinem Fall SP2 und alle folgenden) und das Abschalten nicht benötigter Dienste.
Eine Anleitung zum Neuaufsetzen und anschließender Absicherung, die vor der ersten Internetverbindung zu erfolgen hast, findest du hier .

Expert 26.09.2005 22:42

Hey

Ist das alles dein Log?

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
Code:

@ECHO OFF
cd\WINDOWS
sc config spool= disabled
sc stop spool
sc delete spool
sc config wservtime= disabled
sc stop swservtime
sc delete wservtime
attrib -s -r -h spoollv.exe
del spoollv.exe
attrib -s -r -h csrss.exe
del csrss.exe
exit

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat (2 bis 3 mal ausführen)

#Lade dir rdrivRem.zip
Die Datei auf dem Desktop entpacken,doppeltklickt auf rdrivRem.bat zum Laufen lassen des Programms & Die Anweisungen auf dem Bildschirm folgen,Danach wird rdriv.txt im rdrivRemheft erstellt,Inhalt diese Datei posten.

#PC neustarten
#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte evido,mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#In Start - Ausführen eingeben %temp% - alles in dem Ordner löschen, der sich öffnet.
Temporäre Internetdateien löschen
C:\WINDOWS\temp---> Inhalt löschen

#Nue HijackThis Log posten

PS:Alle Wichtichten Passwörter ändern
Gruss
Expert

cronos 26.09.2005 22:46

@ expert

Wie gesagt vergebliche Liebesmüh, Grund ist folgender erstellter Dienst:

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

Dazu Sophos:
Zitat:

W32/Tilebot-N ist ein Wurm und ein IRC-Backdoortrojaner für die Windows-Plattform.

W32/Tilebot-N verbreitet sich auf andere Netzwerkcomputer, indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter LSASS (MS04-011) und RPC-DCOM (MS04-012). Er verbreitet sich außerdem, indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind.

W32/Tilebot-N läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.


W32/Tilebot-N enthält Funktionen, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er erstmals gestartet wird, kopiert sich W32/Tilebot-N nach &ltWindows>\csrs.exe und erstellt die Datei &ltSystem>\rdriv.sys.

Die Datei rdriv.sys wird als Troj/Rootkit-W erkannt.

Die Datei rdriv.sys wird als ein neuer Systemtreiberdienst namens "rdriv" mit dem Anzeigenamen "rdriv" registriert. Registrierungseinträge werden an folgender Stelle erzeugt:

HKLM\SYSTEM\CurrentControlSet\Services\rdriv\

Die Datei csrs.exe wird als ein neuer Systemtreiberdienst namens "wservtime" mit dem Anzeigenamen "Windows Time Sync" und dem Starttyp "Automatisch" registriert, damit sie automatisch während des Systemstarts ausgeführt wird. Registrierungseinträge werden an folgender Stelle erzeugt:

HKLM\SYSTEM\CurrentControlSet\Services\wservtime\


W32/Tilebot-N erzeugt folgende Registrierungseintrage, um den automatischen Start anderer Software zu deaktivieren:

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4

Folgende Registrierungeinträge werden erstellt:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

Registrierungseinträge werden an folgender Stelle verändert oder erzeugt:

HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
Hier hilft nur Neuinstallation, zumal dieser PC gerade erst neu aufgesetzt wurde!

Expert 26.09.2005 23:08

Wenn der User sich mit der Reinigung entscheidet hat,wäre kein Problem sein clean zu kriegen ohne Neuaufzusetzen

Gruss
Expert

cronos 26.09.2005 23:12

@ expert

Du hast gelesen, um was es sich hier handelt, dass sogar Rootkits mit im Spiel sind?
Auch das Edit deines Postings ändert nicht an der Tatsache, dass hier ein Neuaufsetzen unumgänglich ist!
Und selbst wenn dem so wäre (ich schreibe im Konjunktiv) ist eine Bereinigung immer noch als sinnlos anzusehen, da dass System frisch aufgesetzt wurde.
Eine Bereinigung ist hier alleine wegen des Zeitaufwandes viel zu Aufwendig im vgl. zu einem Neuaufsetzen.

Edit:
Zitat:

Zitat von expert
Wenn der User sich mit der Reinigung entscheidet hat,wäre kein Problem sein clean zu kriegen ohne Neuaufzusetzen

Genau, da wir ja Prüfsummen des Systems vorliegen haben und ein sauberes Vergleichssystem.
Jetzt bitte ich dich aber.
Wie willst du rausfinden, was nachträglich noch alles verändert wurde?

Cidre 26.09.2005 23:23

Zitat:

Zitat von cronos
Eine Bereinigung ist hier alleine wegen des Zeitaufwandes viel zu Aufwendig im vgl. zu einem Neuaufsetzen.

Wobei der Zeitaufwand immer eine untergeordnete Rolle spielen sollte, denn Sicherheit geht imho vor. ;)

cronos 26.09.2005 23:28

@ cidre

Full Ack!
Ich habe dieses Argument auch nur gebracht, da es sich hier um ein Neuaufgesetztes System handelt!
Bevor ich bei einem frischen System einen Virenscan empfehle, was ja schon befall voraussetzen würde, sage ich lieber gleich: "Setz nochmal neu auf, diesmal aber richtig!"
Ich hätte es aber hier auch empfohlen, wenn dieses OS schon 5 Jahre gelaufen wäre.
Aber ich denke du auch! ;)

Cidre 26.09.2005 23:30

Dem kann ich nur zustimmen. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131