Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   DR/Spy.Banc.ha.10.B / Cydoor.Topicks.A / Smitfraud / Ezula (https://www.trojaner-board.de/27550-dr-spy-banc-ha-10-b-cydoor-topicks-a-smitfraud-ezula.html)

d4m1 14.03.2006 12:41
DR/Spy.Banc.ha.10.B / Cydoor.Topicks.A / Smitfraud / Ezula
 
Hey Leute,
ich habe von einem Kollegen ein Programm bekommen, von dem ich erst nach dem Installieren und ausführen hörte, dass es den Trojan Dropper "DR/Spy.Banc.ha.10.B" enthalten soll. Ich habe im Forum dazu nicht viel gefunden, es lief immer auf das scannen mit E-Scan und einem Logfile von HiJackThis hinaus.
Bei mir hab ich seitdem allerdings auch nichts merkwürdiges festgestellt, auch meine Festplatte läuft noch einwandfrei.
Das einzige Problem, was allerdings auch davor schon bestand ist, dass mein PC teilweise einfach so und ohne Abhängigkeit zu irgendeinem einem Programm einfriert und ich nur mit dem resetten weiterkomm.
Ich habe zur Zeit Kaspersky Anti Virus Personal Pro und die Outpost Firewall, dazu noch den Spybot S&D drauf.
Kaspersky hat nichts gefunden und ich hab die Datei nachdem ich es erfahren hatte, auch direkt gelöscht.
Habe dann gestern mal den E-Scan drüber laufen lassen und der fand dann auch keine Spuren mehr, dafür aber umso mehr Spyware/Adware.
Jetzt hatte ich gestern dann probiert mal das böse Übel ein wenig zu bekämpfen, aber es halt leider nichts geklappt.
Ich versuchte zum Beispiel den "smitfraud variant Browser Hijacker" über den im Forum gefunden Thread mit dem franzöischen Programm zu bekämpfen, aber es halt wohl nicht geklappt.
Deshalb habe ich eben nochmal im abgesicherten Modus mit den notwendigen Einstellungen einen E-Scan gemacht und ein hijackthis logfile.
Über Msconfig.exe hab ich grundsätzlich schon ein paar Prozesse entfernt, darunter auch 2 wo einfach kein Text beisteht, neben so den üblich nervenden (z.B. Real Player oder Quick Time).
Vielleicht könnt ihr mir ja mal helfen, wie schlimm der "Schaden" ist und ob das simple entfernen reicht.
Drüberlaufen lassen hab ich also heut morgen Spybot S&D, E-Scan und dann eben Hijack.
Vielen Dank schonmal im Voraus.

Hier also mal die Logfiles:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 14 07:00:55 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Tue Mar 14 07:01:01 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Tue Mar 14 07:01:02 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:03 2006 => System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: No Action Taken.
Tue Mar 14 07:01:08 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:08 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:08 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:12 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Tue Mar 14 07:01:14 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:14 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:01:14 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Mar 14 07:00:59 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue Mar 14 07:01:11 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 14 07:01:01 2006 => Offending file found: C:\Dokumente und Einstellungen\*** *** ***\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk
Tue Mar 14 07:01:02 2006 => Offending file found: C:\Dokumente und Einstellungen\*** *** ***\Anwendungsdaten\utorrent\settings.dat
Tue Mar 14 07:01:03 2006 => Offending file found: C:\Dokumente und Einstellungen\*** *** ***\Desktop\spiele\backup.reg
Tue Mar 14 07:01:08 2006 => Offending file found: D:\Eigene Dateien\konami\pro evolution soccer 5\settings.dat
Tue Mar 14 07:01:08 2006 => Offending file found: D:\Eigene Dateien\manhunt user files\savegames\settings.dat
Tue Mar 14 07:01:08 2006 => Offending file found: D:\Eigene Dateien\nba live 06\settings\settings.dat
Tue Mar 14 07:01:12 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Tue Mar 14 07:01:14 2006 => Offending file found: D:\Eigene Dateien\konami\pro evolution soccer 5\settings.dat
Tue Mar 14 07:01:14 2006 => Offending file found: D:\Eigene Dateien\manhunt user files\savegames\settings.dat
Tue Mar 14 07:01:14 2006 => Offending file found: D:\Eigene Dateien\nba live 06\settings\settings.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue Mar 14 07:00:59 2006 => Offending Folder found: C:\Dokumente und Einstellungen\*** *** ***\Anwendungsdaten\acccore\caches\bart\1024
Tue Mar 14 07:01:11 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\d_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 14 10:29:28 2006 => Total Errors: 20
Tue Mar 14 10:29:28 2006 => Time Elapsed: 03:28:45
Tue Mar 14 10:29:28 2006 => Total Objects Scanned: 225100
Tue Mar 14 06:58:04 2006 => Virus Database Date: 3/13/2006
Tue Mar 14 06:58:16 2006 => Virus Database Date: 3/14/2006
Tue Mar 14 07:00:10 2006 => Virus Database Date: 3/14/2006
Tue Mar 14 10:29:28 2006 => Virus Database Date: 3/14/2006
Tue Mar 14 12:11:36 2006 => Virus Database Date: 3/14/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Und dazu der hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:32, on 14.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
D:\Programme\cFosSpeed\spd.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Razer\razerhid.exe
C:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\FH-GE\TSW\Filezilla\FileZilla Server.exe
D:\Programme\cFosSpeed\cFosSpeed.exe
D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
D:\Programme\Creative\MediaSource\Detector\CTDetect.exe
D:\Programme\a-squared\a2guard.exe
D:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
D:\Programme\Razer\razertra.exe
D:\Programme\Razer\razerofa.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Agnitum\Outpost Firewall\outpost.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
D:\FH-GE\TSW\Apache2\bin\apache.exe
D:\FH-GE\TSW\DB\MySQL4\bin\mysqld-nt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\FH-GE\TSW\Apache2\bin\apache.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [razer] D:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [HDInspector.exe] D:\Programme\Hard Drive Inspector\HDInspector.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [Creative Detector] "D:\Programme\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [a-squared] "D:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [Creative MediaSource Go] "D:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211702218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123760743359
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) -
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A7D1D85-DA1B-446F-8965-32C1C3D79E35}: NameServer = 192.168.2.1
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - D:\Siemens\Programme\Autodesk\Inventor Professional 10\Bin\HSPCLPRO10.dll
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\FH-GE\TSW\Filezilla\FileZilla Server.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSW-Controlserver - Unknown owner - D:\FH-GE\TSW\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: TSW-MySQL - Unknown owner - D:\FH-GE\TSW\DB\MySQL4\bin\mysqld-nt.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

d4m1 16.03.2006 15:23
Kann keiner helfen?!
Oder hab ich irgendwie was falsch gepostet?!
Könntet ihr mir vielleicht wenigstens sagen wie schlimm die sich bei mir auf dem befindlichen System Malware ist?
Vielen Dank für eure Hilfe.
mfg
Dami

chaosman 16.03.2006 18:03
Hallo d4m1,
du hast diesen im system
und zwar hier:
System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.

Ich würde mich an deiner Stelle an den Systemadmin melden, ich kann dir nur raten dein System neuafzusetzen.

SRY
chaosman

d4m1 16.03.2006 18:27
Neuaufsetzen ist ja schonmal nicht so gut *grml*
Reicht es eigentlich dann dafür wenn ich die Windowspartition formatiere?
Und die restlichen Daten auf den anderen Festplatte belasse?
Aber ansich kann ich dann davon ausgehen, dass die restliche Malware minderschlimm ist.
Gibts es denn eine Möglichkeit das Ding vorher zu entfernen, da ich noch ca. eine Woche brauchen werde bis ich die Zeit dafür habe.
Danke im Voraus.
mfg
Dami

chaosman 16.03.2006 18:31
@d4m1
zur erinnerung: * Stiehlt Daten
* Installiert sich in der Registrierung

du arbeitest mit ein kompromittiertes System.

Speichere deine Daten auf ein externes Medium, nach dem Neuaufsetzen die Daten von ein sauberes System überprüfen lassen. Wenn nichts gefunden wird, dann die Daten zurückkopieren.


chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131