Wo versteckt sich der Wurm?
 

Hi,

ich habe seit kurzem folgendes Problem:

1. Die Seite www.gamershell.com kann ich seit kurzem einfach nicht mehr von meinem Rechner öffnen. Von einem anderen Rechner komme ich allerdings auf die Seite. Ich vermute dass da was faul ist.

2. Dazu habe ich mein TDSL Manager deinstalliert, bekomme aber immer noch Registry Änderungsmeldungen vom Systemguard des Mcaffees. Die Software ist in angegebene log Pfad: C:\Programme\T-DSL Manager\DSLMgr.exe seit langem nicht mehr vorhanden. Was löst dann die Registry Änderungen aus?

3. Ich habe vor kurzem MSN Messenger installiert, ca. 1 Woche behalten und dann wieder deinstalliert, nur so als extra Info.

Wo versteckt sich der Wurm?
--- --- --- --- ---- --- - -- - -- - - --

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:32:13, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe
C:\PROGRA~1\McAfee\MSC\mcshell.exe
C:\Programme\HijackThis\HijackThis.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?

LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.202.193.225:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;<local>
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma

Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11

\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} -

C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} -

C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11

\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www...............
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.3.102.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/en-

us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (...mysoftware ... express) -

http://www....mysoftware....com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) -

http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared

free\a2service.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-

COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame

dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. -

C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9751 bytes

Hi,

da sind einige Einträge dabei, die mir nicht geheuer sind.
Aber bevor ich zum risikoreichen Fixen ermutige :) , würde
ich gerne folgendes sehen:

* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* F-Secure Blacklight – Rootkitscanner:
Scanne dein System mit F-Secure Blacklight
Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

mfg Cleriker

Hi nochmal.

Also erstmal vielen Dank für dein Feedback Cleriker. Nach meine Ergebnisse fühle ich mich irgendwie verarscht, da ich mein System regelmässig pflege und wöchentliche Scans durchführe. Was fehlt denn noch so dass mein System auch durchgehend sauber bleibt?

ESCAN Ergebnis
1. Das Problem mit Notepad2 verstehe ich nicht. Falsch Alarm? Ich benutze Notepad2. Habe die exe allerdings von einer sicheren Quelle geholt. Oder habe ich ein weitere korrupte Notepad2 Datei?

2. Wie kommt es dass soviele "Offending Folders" mcafee Ordner sind? Was ist hier faul?

3. Laufwerk G ist in diesem Fall ein DeamonTool Laufwerk mit einem geladenen Image. Sind die für Laufwerk G aufgelistete "executables" normal oder ist da was mit dem Image faul?

4. Meine hosts Datei ist i.O. Habe keine extra Einträge drin ... vielleicht Meldung wegen einer extra Zeile ?

FSLB Ergebnis

Dieser Scan hat nichts gefunden.


Weitere Vorgehensweise
Von den gefundenen Adware und Freunde habe ich noch nie gehört.
1. Wie gefährlich sind sie?
2. Würde es reichen einfach die dubiose Einträge bzw. Dateien oder Ordner zu löschen oder empfehlt ihr andere Wege?

Z.Z. benutze ich nur Mcafee Internet Paket komplett als Schutz. Gegen Spyware lass ich wöchentlich ein Scan mit a-sqaured laufen. Davor hatte ich nebenbei das Microsoft Tool: Windows Defender gehabt. W-Defender wirklich sehr gut um einen Einblick in laufende Prozesse, Verbindungen etc. zu bekommen. W-Defender habe ich aber entfernt.
Sitze dazu hinter einem Router mit nur bestimmte Ports offen. Spiele halt gerne, also Gameports hauptsächlich.

Was empfehlt ihr um mein System besser abzusichern?

PS: Bin geschockt dass ich mich die ganze Zeit "sauber" gefühlt habe und jetzt die Ergebnisse sehe :headbang:

Also,

sieht gar nicht so schlimm aus, aber was hier wieder bestätigt
wird, dass der escan manchmal nur noch Mist rausbringt.

Diese Datei bitte löschen.

Wie weit man sich auf das Ergebnis verlassen kann, bin ich mir nicht sicher,
deshalb mach folgendes:

* Schädlinge in der Systemwiederherstellung
- Deaktiviere die Systemwiederherstellung und wechsel
in den abgesichteren Modus -> Anleitung
- Überprüfe mit deinem Antivirscanner die localen Festplatten
- Neustart

Du sagtest zwar, notepad2.exe sei gewollt, aber deine anfangs
bemerkten Anzeichen deuten auf diesen Kerl hin
Schau deshalb selber in der Registrierung nach, ob die Einträge
übereinstimmen. (mögliche Einträge stehen im Link unter Erweitert)

Anschließend würde ich noch folgendes empfehlen:
Lade dir Spybot Search & Destroy (nicht Teatimer aktivieren)
oder Clean Up runter und lass eines der beiden Tools deine Unreinheiten säubern.

Edit: Gib bitte danach ein Feedback, wie
weit was gefruchtet hat, bzw. was du dann
noch für Anzeichen / Probleme hast.

mfg Cleriker

Spy & Bot hat einiges bei mir geputzt.

Die Systemwiederherstellung werde ich bald machen.

Ich glaube aber das alles i.O. sein wird. Am Ende will ich dann nochmal die ganze Scans (2. Post) laufen lassen. Dafür brauche ich aber ein halber Tag .... dauert sehr lang obwohl ich nur eine 120 Gig Platte habe.

Thx nochmal und ich bin ein wenig beruhigt da ich jetzt weisst was ich 1 mal pro Monat machen sollte nl. gründliche Scans.