Werbepopups aus dem Nichts
 

Hallo Leute,

wir haben hier einen Rechner mit Problemen. Es kommen aus dem Nichts immer wieder Werbepopups in IE-Fenstern mit verschiendenen Themen. Wo der User sich das eingefangen hat ist unbekannt. Ich hab einige Sachen mit Sternchen versehen.
Hoffentlich kann jemand helfen. :)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\TallyGenicom\PanelMgr\ssmmgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\freeCommander2006\freeCommander.exe
C:\DOKUME~1\***\LOKALE~1\Temp\freeCommander\2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://v***sc.ra.v***s.de/intranet/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://v***sc.ra.v***s.de/intranet/default.htm
O1 - Hosts: 255.255.255.255 broadcast
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {428f3f0e-e80d-4cbe-a8b3-a6ca0f1c0261} - C:\WINDOWS\system32\c_114r.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\system32\2e2B5g6e.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [TallyGenicom PanelMgr] C:\WINDOWS\TallyGenicom\PanelMgr\ssmmgr.exe /autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://v***sc.ra.v***s.de/intranet/default.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{95152D3D-ABE0-4F1F-8192-7D11D5FA0BD0}: Domain = rz.v***s.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rz.v***s.de,mh.v***s.de,ra.v***s.de,v***s.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = rz.v***s.de,mh.v***s.de,ra.v***s.de,v***s.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = rz.v***s.de,mh.v***s.de,ra.v***s.de,v***s.de
O20 - AppInit_DLLs:
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: OracleOraHome817ClientCache - Unknown owner - C:\Oracle8Client\BIN\ONRSD.EXE
O23 - Service: OracleOraHome9iClientCache - Unknown owner - C:\Oracle9Client\BIN\ONRSD.EXE

--
End of file - 5654 bytes

Hallo.

Das sieht leider nicht gut aus:

C:\WINDOWS\system32\c_114r.dll
C:\WINDOWS\system32\2e2B5g6e.dll
C:\WINDOWS\system32\lsasss.exe

Werte diese mal bei Virustotal aus und poste alle Ergebnisse.
In Zukunft bitte vollständige Logfiles posten, der Header fehlt hier. Welchen Patchstand hat diese XP-Kiste?

Sorry, ich bin leider etwas unklug vorgegangen und hab zu schnell agiert; auch im Nachhinein.

Also hier erst nochmal der Header aus dem Hijackthis.log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:18, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Die Datei lsasss.exe war Malware. Ebenso die Dateien igfxtray.exe und igfxpers.exe. Hab ich dann letztendlich an der Dateigröße ausgemacht und ebenso nach einem Scan bei Virustotal entfernt.

Und dann der Scan von der 2e2B5g6e.dll-Datei von Virustotal.com. Die Datei lässt sich locker löschen, taucht aber spätestens nach einem Reboot wieder auf. Zusammen mit einer Datei PerstringBackup.TMP. Vorher gab's noch Dateien "perfc007.dat; perfc009.dat; perfh007.dat; perfh009.dat; PerfstringBackup.INI". Diese habe ich allerdings verschoben.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.5 2007.09.12 TR/BHO.Agent.mio
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.11 -
AVG 7.5.0.485 2007.09.11 Adware Generic2.PDI
BitDefender 7.2 2007.09.12 Trojan.Downloader.BHO.NXO
CAT-QuickHeal 9.00 2007.09.11 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.11 Trojan.Virtumod.210
eSafe 7.0.15.0 2007.09.11 -
eTrust-Vet 31.1.5127 2007.09.12 -
Ewido 4.0 2007.09.11 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 Adware/BHO
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 -
Kaspersky 4.0.2.24 2007.09.12 not-a-virus:AdWare.Win32.BHO.fd
McAfee 5117 2007.09.11 potentially unwanted program Adware-BHO
Microsoft 1.2803 2007.09.12 -
NOD32v2 2523 2007.09.12 -
Norman 5.80.02 2007.09.11 -
Panda 9.0.0.4 2007.09.11 Adware/BaiduBar
Prevx1 V2 2007.09.12 -
Rising 19.40.21.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 -
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 Trojan.Adclicker
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 Trojan.Virtumod.210
VirusBuster 4.3.26:9 2007.09.11 -
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.BHO.Agent.mio


Ist da noch was zu machen?

Welche? Der Begriff Malware umfasst alle Schädlingsarten!

Ich hab die Datei jetzt mal aus der "Quarantäne" geholt zum Scannen.

Datei lsasss.exe empfangen 2007.09.12 10:02:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 30/32 (93.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 Win-Trojan/Agent.36098
AntiVir 7.6.0.5 2007.09.12 TR/Agent.37673
Authentium 4.93.8 2007.09.12 W32/Trojan.ABVT
Avast 4.7.1043.0 2007.09.11 Win32:Obfuscated-DH
AVG 7.5.0.485 2007.09.11 Downloader.Generic4.CFV
BitDefender 7.2 2007.09.12 Trojan.Clicker.Agent.JH
CAT-QuickHeal 9.00 2007.09.11 TrojanClicker.Agent.jh
ClamAV 0.91.2 2007.09.12 Trojan.Clicker-132
DrWeb 4.33 2007.09.12 Trojan.Click.2133
eSafe 7.0.15.0 2007.09.11 suspicious Trojan/Worm
eTrust-Vet 31.1.5127 2007.09.12 Win32/Athsap!generic
Ewido 4.0 2007.09.11 Hijacker.Agent.jh
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 W32/Agent.JH!tr
F-Prot 4.3.2.48 2007.09.12 W32/Trojan.ABVT
F-Secure 6.70.13030.0 2007.09.12 Trojan-Clicker.Win32.Agent.jh
Ikarus T3.1.1.12 2007.09.12 Trojan-Clicker.Win32.Agent.jh
Kaspersky 4.0.2.24 2007.09.12 Trojan-Clicker.Win32.Agent.jh
McAfee 5117 2007.09.11 AdClicker-FM.gen
Microsoft 1.2803 2007.09.12 Backdoor:Win32/Zonebac.gen!B
NOD32v2 2523 2007.09.12 Win32/TrojanDownloader.Agent.AWF
Norman 5.80.02 2007.09.11 W32/DLoader.CNIH
Panda 9.0.0.4 2007.09.11 Trj/KillAV.FW
Prevx1 V2 2007.09.12 Malware.Gen
Rising 19.40.21.00 2007.09.12 Trojan.DL.MultiFile.a
Sophos 4.21.0 2007.09.12 Troj/Dloadr-AXT
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 Adware.Begin2search
TheHacker 6.1.10.184 2007.09.11 Trojan/Clicker.Agent.jh
VBA32 3.12.2.4 2007.09.12 Trojan-Clicker.Win32.Agent.jh
VirusBuster 4.3.26:9 2007.09.12 Trojan.DL.Agent.TKG
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Agent.37673
weitere Informationen
File size: 37097 bytes
MD5: 2593aa069d0969f7ea5d1bbf5b5c7c3a
SHA1: f1bb67e534b2294784c0bb987e183ce601ad7068
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Du hast wohl einen Ableger von diesem hier drauf. Man sollte davon ausgehen, dass "dein" Schädling auch diese Eigenschaften hat:

Auswirkungen:
• Erstellt eine Datei
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Tu dir selbst ein Gefallen und setze das System neu auf!

Das mit dem neu Aufsetzen ist leider nicht so einfach. Es handelt sich um den Rechner meines Vorgesetzten. Der wird ne Menge Spaß mit unserem Admin kriegen dafür. Ich hab zwar Admin-Zugang zu dem Rechner, aber neu aufsetzen ist damit nicht.
Ich weiß auch nich wo der immer rumklickt.

Aber wenn's eben irgendwie möglich ist, würd' ich den Rechner gern retten. Sowohl vom lsasss als auch von dieser Wiederkehrenden .dll-Datei.

Hallo Marcian,
willkommen an Board, wenngleich der Anlass dür Dich sicher kein angenehmer ist.

Das sehe ich auch so - vor allem fehlen die genauen Angaben zu den Scanergebnissen der von Dir geprüften Dateien - schließlich soll die Antwort auf diese Deine Frage...

... möglichst fundiert ausfallen und mehr beinhalten als nur ein "Nein".

Ich versuche es jedoch zunächst mal ohne diese Detailangaben, wenngleich es gut wäre, wenn Du sie noch nachreichen könntest.

Vermutlich diese hier:
http://www.sophos.de/security/analyses/w32yayina.html
http://www.symantec.com/enterprise/s...500-99&tabid=2


Vor allem die Erläuterung zu den Nebeneffekten dieses Schädlingstyps ist "richtungsweisend":
Abgesehen davon war das nicht der einzige Schädling auf Deinem System.
Die Infektion mit diesem jedoch weist darauf hin, wo Schwachpunkte bestehen können:

Nutzt Du oft z.B. USB-Sticks, um Daten auch von fremden PCs auf Dein System zu übertragen (und umgekehrt)? Man beachte dazu:
- http://www.heise.de/security/news/meldung/74135
- http://www.heise.de/security/news/meldung/93671

Oder die Netzwerkfreigaben: Hattest Du an einer LAN-Party teilgenommen? Oder Updates für Dein Betriebssystem gar nicht oder nur sehr spät eingespielt? Wann hast Du das letzte Mal ein Windowsupdate durchgeführt?

Beziehe ich die aus dem LogFile ersichtliche Aktualität Deiner Java-Installation mit ein,...
... so deutet es eher darauf hin, dass genau dieser Punkt ein mitentscheidender für die Kompromittierung Deines Systems gewesen ist. Wird die installierte Software nicht "gepflegt", sprich: aktuell gehalten, so verbleiben im Laufe der Zeit immer mehr ausnutzbare und ausgenutzte Sicherheitslücken, die es Dritten erleichtern, Zugriff auf Dein System zu erhalten.

Moment. Der Hinweis von cosinus lautete wie folgt:

Das heißt, es ist zwei Mal der Hinweis mit der Bitte um möglichst vollständige Angaben enthalten. Wenn man als Fragesteller Hilfe in Anspruch nehmen möchte, die übrigens auch gerne gegeben wird, so ist der Helfende auf die Distanz (Ferndiagnose) auch immer von der Qualität der Angaben des Fragestellers abhängig!

Dieser Schädlingstyp ist im Vergleich zu dem anderen bei Dir aktiven "Kaliber" gar nicht mehr so bedeutend. Reich aber bitte noch die fehlenden Angaben nach!

Also im Prinzip ein Firmen-PC?

Wenn es sich um ein Firmengerät handelt, ist (auch) der Admin selbst dafür verantwortlich, dass Infektionen unter anderem mit eingeschränkten Benutzerrechten und einem Aktuellhalten des Systems sowie der darauf laufenden Software vorgebeugt wird.

Für Infektionsfälle sollten zudem Images und Datenbackups vorliegen.

Das ist natürlich ein weiterer Punkt: Mitarbeiterschulung!

Und das macht man mit dem bereits empfohlenen Neuaufsetzen oder dem Einspielen eines Images.

Dir ist klar, was ein kompromittierter Firmen-PC bedeutet?

Deswegen wird es auch mit einem Neuaufsetzen nicht getan sein, falls sich der PC innerhalb eines Firmennetzwerkes befindet. Konkrete Nachfrage: Ist dies der Fall?

Das ist leider Pech. Gerade wenn der Rechner beruflich genutzt und man auch darauf angewiesen ist, sollte man Schutzmaßnahmen treffen und v.a. Backups anfertigen.
Warum fragst du eigentlich nicht gleich euren Admin wenn ihr einen habt oder ist der nur fürs Kaffeetrinken zuständig und will dabei nicht gestört werden?
Ich glaub der wäre weit mehr sauer, wenn irgendwann herauskommen wird, dass ihr eigenständig am Rechner herumgedoktort habt und eure kompromittierte Kiste das Firmennetz lahmlegt und weitere Rechner befällt. :pfui:
Da hört der Spaß echt auf.
*kopfschüttel*