Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System sehr langsam; Wurmkur? (https://www.trojaner-board.de/53672-system-sehr-langsam-wurmkur.html)

Knecht_0473 08.06.2008 15:40
System sehr langsam; Wurmkur?
 
Hallo.

Mein System ist seit geraumer Zeit deutlich langsamer als zuvor. Bisher war mir das einigermaßen egal, da sonst keine negativen Effekte wahrnehmbar waren.
(ZoneAlarm meldete regelmäßig, daß ein Dienst nach Hause telefonieren wollte, aber das hab ich dann stets unterbunden.)
Gestern aber habe ich gesehen, daß meine ungebetenen Gäste inzwischen sogar meinen Speicherstick bewohnen wollen. Die UFO.exe mit "versteckt"-Attribut hab ich an VirusTotal geschickt, mit folgendem Ergebnis:
Eins der vielen google-Ergebnisse brachte den kleinen Freund gar mit dem storm-BOTnet in Verbindung.

Also hab ich doch mal Winpooch angeworfen und der schlug immer dann an, wenn oben erwähnter Dienst rauswählen wollte. WP teilte mir mit, wo die benannte LongX911.Exe sich aufhielt, und ich schickte zügig auch hiervon eine Kopie an VirusTotal:
Sofort nachdem Winpooch oder ZoneAlarm die Anfrage ablehnten, verschwand die LongX911.Exe auch wieder, um ein, zwei Stunden später, beim nächsten Anlauf wieder aufzutauchen.

Danach hab ich mal HijackThis gucken lassen. Der fand im System32-Ordner eine secpol.exe, auch "Niojec.gen"-infiziert. Außerdem wurde beim Start eine fsmgmt.dll geladen, auch "Eldorado"-infiziert, laut VirusTotal.
Ein aktueller HJT-Log sieht so aus:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:21, on 08.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
D:\Filme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe (file missing)
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Wie man sieht ("file missing"), hab ich viel von Hand gelöscht/umbenannt, um evtl. Fehlerquellen erstmal auszuschließen.

Danach nochmal SmitFraudFix:
Code:
SmitFraudFix v2.323

Scan done at 16:25:36,84, 08.06.2008
Run from D:\Filme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\m\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 62.109.123.196
DNS Server Search Order: 213.191.74.18

Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Sieht aber nicht so aus, als hätte der viele Missetäter erwischt.

Mir ist auch aufgefallen, daß das System mit normaler, althergebrachter Geschwindigkeit läuft, wenn ich einen bestimmten "svchost"-Prozess (ca 4kB groß, wohl der gehighjackte) manuell beende.
Leider geht danach ziemlich sofort die Meldung auf, RPC-Dings sei unerwartet beendet worden und nach einem 60 Sekunden-Countdown fährt das System runter.


"Mach alles platt und spiel neu auf" ist schnell gesagt und würde sich im Normalfall auch von selbst verstehen, aber jetzt ist meine Neugier geweckt.
Wenn es nicht ewig dauert und unendlich kompliziert ist, interessiert mich einfach, wie solche Malware heutzutage ungefähr arbeitet und ob man dem mit viel Kleinarbeit von Hand beikommen kann.

Vielleicht fällt einem dazu ja eine Vorgehensweise ein.
"Nö, Rootkit. Gearscht" wäre natürlich auch eine (nicht so lehrreiche) Option.


btw: Ich hatte mal ein kleines Tool, evtl sogar von Microsoft selbst, das die einzelnen Prozesse näher analysierte und das anzeigte. So daß da nicht nur achtmal "svchost" steht und man sich denkt "Mmmmmhhh...". Jemand ne Idee, wie das heissen könnte?

EGJ 08.06.2008 15:58
Benütze Combofix so wie es hier "BataAlexander" geschrieben hat:

http://www.trojaner-board.de/53665-h...uswertung.html

BataAlexander 08.06.2008 17:50
Bitte (noch) nicht Combofix anwenden, sondern erst mal Malwarebytes.

Knecht_0473 09.06.2008 04:42
Vielen Dank erstmal.

Malwarebytes sagt:
Code:
Malwarebytes' Anti-Malware 1.15
Datenbank Version: 841

05:36:59 09.06.2008
mbam-log-6-9-2008 (05-36-59).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 86579
Scan Dauer: 46 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.
(Der trymedia-Schlüssel war eh leer. Sehe nicht, wo das hätte schaden sollen.)

Was sagt ihr?

Knecht_0473 09.06.2008 08:27
Bzw. warum erst das eine, dann das andere. Ein paar Worte zur Begründung wären nett.
Als ich das letzte Mal Probleme mit Malware hatte (vor 4-5 Jahren) waren das meistens noch eigene Prozesse, die man u.U. im Taskamanager beenden konnte, um sich dann dem Säubern der Platte zu widmen.
Gibt es eurer Meinung nach eine Möglichkeit, den Tunichtgut aus dem Speicher zu kriegen, ohne daß Windows runterfährt (s.o.)?

BataAlexander 09.06.2008 09:42
Zitat:
Bzw. warum erst das eine, dann das andere. Ein paar Worte zur Begründung wären nett.
Wie meinen?
Aktuelle Viren sind mit denen von vor vier Jahren nicht mehr zu vergleichen, allein die Bezeichnung der jeweiligen Gattung wird schwierig, da Viren nicht mehr nur eine Funktionnalität eingebaut bekommen.
Es sieht nach einer Silly Infektion aus, daher starten wir jetzt doch mal Combofix.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Knecht_0473 09.06.2008 12:54
Zitat:
Zitat von BataAlexander (Beitrag 344444)
[*]Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Code:
ComboFix 08-06-08.5 - m 2008-06-09 13:29:24.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.743 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\m\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((  Dateien erstellt von 2008-05-09 bis 2008-06-09  ))))))))))))))))))))))))))))))
.

2008-06-09 04:36 . 2008-06-09 04:36        <DIR>        d--------        C:\Programme\Malwarebytes Anti-Malware
2008-06-09 04:36 . 2008-06-09 04:36        <DIR>        d--------        C:\Dokumente und Einstellungen\m\Anwendungsdaten\Malwarebytes
2008-06-09 04:36 . 2008-06-09 04:36        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-09 04:36 . 2008-06-05 16:04        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-09 04:36 . 2008-06-05 16:04        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-06-08 15:35 . 2008-06-08 16:26        1,916        --a------        C:\WINDOWS\system32\tmp.reg
2008-06-08 08:23 . 2008-06-08 08:35        <DIR>        d--------        C:\Dokumente und Einstellungen\m\.housecall6.6
2008-06-06 07:16 . 2004-01-19 02:20        409,720        --a------        C:\WINDOWS\wma9dmod.dll
2008-06-06 07:16 . 2004-01-19 02:20        409,720        --a------        C:\WINDOWS\system32\wma9dmod.dll
2008-06-06 07:16 . 2004-01-19 02:20        409,720        --a------        C:\WINDOWS\system\wma9dmod.dll
2008-06-03 23:57 . 2008-06-09 11:26        <DIR>        d--------        C:\Programme\Steam
2008-06-01 22:23 . 2008-06-01 22:23        <DIR>        d--------        C:\Dokumente und Einstellungen\m\Anwendungsdaten\Wireshark
2008-06-01 21:28 . 2008-06-01 21:29        <DIR>        d--------        C:\Programme\Wireshark
2008-06-01 21:28 . 2008-06-08 15:20        <DIR>        d--------        C:\Programme\WinPcap
2008-06-01 20:40 . 2008-06-01 20:40        <DIR>        d--------        C:\Programme\MIKSOFT
2008-05-29 23:03 . 1999-09-04 21:23        91,136        -ra------        C:\WINDOWS\system32\msls2.dll
2008-05-27 18:24 . 2008-06-06 09:56        17,920        --a------        C:\WINDOWS\system32\_sec_pol_._x_
2008-05-26 21:10 . 2008-05-28 17:39        47,616        --a------        C:\WINDOWS\system32\_fsmgmt.dl_.tm_
2008-05-26 21:10 . 2008-06-07 07:10        47,616        --a------        C:\WINDOWS\system32\_fsmgmt.dl_
2008-05-20 19:39 . 2008-05-20 19:39        <DIR>        d--------        C:\Programme\7-Zip
2008-05-20 15:57 . 2008-05-20 15:58        677        --a------        C:\WINDOWS\mozver.dat

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 11:39        19,660,832        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-09 11:20        ---------        d-----w        C:\Programme\DOSBox-0.72
2008-06-09 07:17        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-06-09 07:14        234,224        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-08 14:13        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\.purple
2008-06-07 08:51        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\mIRC
2008-06-07 08:50        ---------        d-----w        C:\Programme\mIRC
2008-06-06 18:49        ---------        d-----w        C:\Programme\Avidemux 2.4
2008-06-06 05:00        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\gtk-2.0
2008-06-03 06:30        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\OpenOffice.org2
2008-06-01 03:36        ---------        d-----w        C:\Programme\Soulseek
2008-05-29 00:18        ---------        d-----w        C:\Programme\ICQ
2008-05-21 20:46        ---------        d-----w        C:\Programme\Songbird
2008-05-07 19:32        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-05-04 23:53        ---------        d-----w        C:\Programme\eMule
2008-05-04 19:24        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-29 09:39        32        ----a-w        C:\Dokumente und Einstellungen\m\sm.bat
2008-04-26 20:42        ---------        d-----w        C:\Programme\MPlayer_noGUI_rc2
2008-04-26 00:56        ---------        d-----w        C:\Programme\mplayer
2008-04-21 15:11        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\uTorrent
2008-04-21 14:00        ---------        d-----w        C:\Programme\Winpooch
2008-04-17 22:41        ---------        d-----w        C:\Programme\OpenOffice.org 2.4
2008-04-17 22:35        ---------        d-----w        C:\Programme\Java
2008-04-16 22:03        ---------        d-----w        C:\Programme\Pidgin
2008-04-15 00:30        ---------        d-----w        C:\Dokumente und Einstellungen\m\Anwendungsdaten\dvdcss
2008-04-14 15:56        ---------        d-----w        C:\Programme\DVDStyler
2008-04-11 10:37        ---------        d-----w        C:\Programme\Winamp
2008-04-03 17:45        4,323,251        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip
2008-04-02 10:25        28,672        ----a-w        C:\WINDOWS\system32\qttask.exe
2008-02-17 18:26        26        ----a-w        C:\Dokumente und Einstellungen\m\d.bat
2008-02-15 14:32        12        ----a-w        C:\Dokumente und Einstellungen\m\f.bat
2008-01-05 10:12        4,786,306        ----a-w        C:\Programme\WinAmp v5_03 läuft.zip
2007-12-08 13:58        18        ----a-w        C:\Dokumente und Einstellungen\m\p.bat
1999-09-06 17:15        30,208        ----a-w        C:\Dokumente und Einstellungen\m\defprint.exe
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-06-03 23:58 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 13:26 86016 C:\WINDOWS\system32\nvmctray.dll]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ZMBV"= zmbv.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 Winpooch;Winpooch kernel spy;C:\Programme\Winpooch\Winpooch.sys [2007-04-23 19:12]
R2 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
R3 LVHybrid;LVHybrid service;C:\WINDOWS\system32\DRIVERS\LVHybrid.sys [2007-01-30 16:20]
S3 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys []
S3 Ca533av;Digital Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-23 13:03]
S3 DtvAudio;DtvAudio;C:\WINDOWS\system32\DRIVERS\DtvAudio.sys [2004-02-26 03:42]
S3 DtvVideo;DtvVideo;C:\WINDOWS\system32\DRIVERS\DtvVideo.sys [2005-01-03 05:47]
S3 jfdcd;jfdcd;C:\DOKUME~1\m\LOKALE~1\Temp\jfdcd.sys []
S3 LwAdiHid;Logitech WingMan-Digitalgeräte (autom. Erkennung);C:\WINDOWS\system32\DRIVERS\LwAdiHid.sys [2004-08-03 23:39]
S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe" []
S3 TVESched;TVEnhance Task Scheduler (TTS));"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe" []
S3 USBCamera;Digital Camera Still Image Capture;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-10-23 13:03]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 13:38:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-09 13:43:28
ComboFix-quarantined-files.txt  2008-06-09 11:42:41
...spricht ComboFix.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:45, on 09.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Filme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer = 62.109.123.196 213.191.74.18
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe (file missing)
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4966 bytes
...sagt HijackThis nun.

Ich frage mich, warum ComboFix nur einen Monat zurück schaut. Der Schaden besteht zweifelsohne schon deutlich länger.
Und, hat der jetzt was gefunden?

BataAlexander 09.06.2008 13:40
Meldet ZoneAlarm den Zugriff immer noch?
Du meinst der Infektionszeitpunkt liegt mehr als 30 Tage zurück? Das ist dann aber schon sehr lange, warum meldest Du Dich erst jetzt?

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl :)


Zur weiteren Untersuchtung würde ich gerne folgende Tools anwenden lassen

Flister
  • Lade Dir Flister von hier auf den Desktop.
  • Entpacke das Archiv auf den Dektop in das Verzeichnis Flister.
  • Lade die angehängte flister.bat.txt Datei ins selbe Verzeichnis.
  • Benenne die Datei flister.bat.txt in flister.bat um.
  • Klicke die flister.bat Datei an. Kurz darauf erscheint eine ergebnis.txt Datei im selben Ordner.
  • Diese Datei an Deinen nächsten Post anhängen.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Edit: Datei angehängt

Knecht_0473 09.06.2008 14:46
Zitat:
Zitat von BataAlexander (Beitrag 344475)
Meldet ZoneAlarm den Zugriff immer noch?
Du meinst der Infektionszeitpunkt liegt mehr als 30 Tage zurück? Das ist dann aber schon sehr lange, warum meldest Du Dich erst jetzt?
Naja, das war ja mein erster Satz (s.o.) daß das meiste noch lief, wenn auch sehr langsam und es mir eher egal war, bis mir auffiel, daß die Krätze auch meinen USB-Stick befallen wollte.

FileList zählt auf:
Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\

09.06.2008  13:43            8.534 ComboFix.txt
08.06.2008  16:28            3.691 rapport.txt
27.01.2008  04:35            2.689 pjx_log.txt
21.12.2007  14:57              211 boot.ini
              13 Datei(en)        318.858 Bytes
              0 Verzeichnis(se),  8.756.428.800 Bytes frei
 
----- System32 -------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\WINDOWS\system32

09.06.2008  13:45          353.365 vsconfig.xml
09.06.2008  11:26            88.818 nvapps.xml
08.06.2008  16:26                0 tmp.txt
08.06.2008  16:26            1.916 tmp.reg
07.06.2008  07:10            47.616 _fsmgmt.dl_
06.06.2008  09:56            17.920 _sec_pol_._x_
01.06.2008  19:58            2.206 wpa.dbl
28.05.2008  17:39            47.616 _fsmgmt.dl_.tm_
10.05.2008  20:16          392.296 perfh009.dat
10.05.2008  20:16            58.596 perfc009.dat
10.05.2008  20:16          405.118 perfh007.dat
10.05.2008  20:16            70.580 perfc007.dat
10.05.2008  20:16          938.224 PerfStringBackup.INI
07.05.2008  18:32          236.760 FNTCACHE.DAT
18.04.2008  00:35            6.074 jupdate-1.6.0_04-b12.log
02.04.2008  12:26              802 qtplugin.log
02.04.2008  12:25            28.672 qttask.exe
21.02.2008  06:33            4.212 zllictbl.dat
01.02.2008  01:50            98.304 CmdLineExt.dll
14.01.2008  14:15            81.920 frapsvid.dll
14.12.2007  01:59          139.264 javaws.exe
14.12.2007  01:59            69.632 javacpl.cpl
14.12.2007  00:57          135.168 javaw.exe
14.12.2007  00:57          135.168 java.exe

----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\WINDOWS\Prefetch

09.06.2008  14:51            14.366 CMD.EXE-087B4001.pf
09.06.2008  14:50            40.054 WINZIP32.EXE-335422C1.pf
09.06.2008  14:24            22.750 I_VIEW32.EXE-0B6C3BA4.pf
09.06.2008  14:23            11.650 RUNDLL32.EXE-451FC2C0.pf
09.06.2008  13:58            78.076 PIDGIN.EXE-2C4BB40A.pf
09.06.2008  13:53            45.330 TASKMGR.EXE-20256C55.pf
09.06.2008  13:52            14.918 NOTEPAD.EXE-336351A9.pf
09.06.2008  13:48            53.182 WMIPRVSE.EXE-28F301A9.pf
09.06.2008  13:46            24.558 WINPOOCH.EXE-312C0E50.pf
09.06.2008  13:46          112.100 FIREFOX.EXE-1D57670A.pf
09.06.2008  13:45            24.518 VSMON.EXE-1609C098.pf
09.06.2008  13:45            38.746 ZLCLIENT.EXE-0120F620.pf
09.06.2008  13:43            22.380 REGEDIT.EXE-1B606482.pf
09.06.2008  13:43            16.944 IMAPI.EXE-0BF740A4.pf
09.06.2008  13:41            28.896 CSCRIPT.EXE-1C26180C.pf
09.06.2008  13:33            11.218 FIND.EXE-0EC32F1E.pf
09.06.2008  13:25            16.532 RUNONCE.EXE-2803F297.pf
09.06.2008  12:14            43.918 DOSBOX.EXE-39F1FAE3.pf
09.06.2008  11:36            46.462 WINAMP.EXE-08C38ED9.pf
09.06.2008  11:35            21.004 SWHELP~1.EXE-0DF9F700.pf
09.06.2008  11:28            15.012 SVCHOST.EXE-3530F672.pf
09.06.2008  11:27          664.116 NTOSBOOT-B00DFAAD.pf
09.06.2008  09:17          100.478 THUNDERBIRD.EXE-031A6371.pf
09.06.2008  08:21            17.564 RUNDLL32.EXE-2E5AF1D7.pf
09.06.2008  08:15            37.886 EINSTEIN.EXE-05B4D7C7.pf
09.06.2008  08:12          137.290 GMPLAYER.EXE-36FDA605.pf
09.06.2008  06:22            13.268 7ZG.EXE-189F3F41.pf
09.06.2008  06:22            45.350 7ZFM.EXE-24800234.pf
09.06.2008  06:10            12.994 CALC.EXE-02CD573A.pf
08.06.2008  16:28            13.748 NOTEPAD.EXE-189578DA.pf
08.06.2008  16:28            7.634 SWREG.EXE-2467CF6C.pf
08.06.2008  16:28            4.336 SRCHSTS.EXE-3185996B.pf
08.06.2008  16:28            11.498 404FIX.EXE-29A19DFE.pf
08.06.2008  16:28            12.462 VACFIX.EXE-2F7F9484.pf
08.06.2008  16:27            59.406 IEDFIX.EXE-0D7F86A4.pf
08.06.2008  16:26            6.754 SWREG.EXE-3688D00C.pf
08.06.2008  16:25            15.038 CHKNTFS.EXE-31921D64.pf
08.06.2008  16:25            19.984 POLICIES.EXE-2BA58425.pf
08.06.2008  16:24            35.510 SMITFRAUDFIX.EXE-1DB855A8.pf
08.06.2008  14:29            15.920 LOGONUI.EXE-0AF22957.pf
08.06.2008  11:51            17.222 CLAMSCAN.EXE-0448C2CF.pf
08.06.2008  11:50            53.982 CLAMWIN.EXE-1BD4F8BC.pf
08.06.2008  11:37            9.670 LONGX912.EXE-135ACE67.pf
08.06.2008  11:37            9.514 LONGX911.EXE-2670BFD9.pf
08.06.2008  11:35            22.314 MSPAINT.EXE-11CBB631.pf
08.06.2008  11:21            29.834 RUNDLL32.EXE-26C45206.pf
08.06.2008  11:18            60.580 ACRORD32.EXE-0BE2C5CE.pf
08.06.2008  11:16            24.134 WORDPAD.EXE-1EFCC5C1.pf
08.06.2008  10:44            27.918 RUNDLL32.EXE-44A0B4BC.pf
08.06.2008  09:55            16.916 NETSTAT.EXE-2B2B4428.pf
08.06.2008  09:39            15.356 RUNDLL32.EXE-1BDFE655.pf
08.06.2008  09:09            54.844 RUNDLL32.EXE-19A2E01D.pf
08.06.2008  09:06            20.742 FRESHCLAM.EXE-192A6E22.pf
08.06.2008  08:37            21.870 MSCONFIG.EXE-35E4DAE9.pf
08.06.2008  08:26            52.752 PATCH.EXE-1C04A9C8.pf
08.06.2008  08:23            24.132 IPCONFIG.EXE-2395F30B.pf
08.06.2008  08:05            16.722 RUNDLL32.EXE-272EEB25.pf
08.06.2008  07:41            14.746 RUNDLL32.EXE-3ECB4619.pf
08.06.2008  05:37          368.792 Layout.ini
07.06.2008  17:22            8.584 TIMESEAL.EXE-11B49BFC.pf
07.06.2008  17:06            43.058 BABASCHESS.EXE-3AA55092.pf
07.06.2008  10:50            33.554 MIRC.EXE-2490861F.pf
07.06.2008  10:50            10.664 AGENTSVR.EXE-002E45AB.pf
07.06.2008  08:55            15.412 RUNDLL32.EXE-48644FAA.pf
07.06.2008  01:20            15.412 RUNDLL32.EXE-4B78C176.pf
06.06.2008  23:57            25.020 ENIGMA.EXE-166B7815.pf
06.06.2008  20:48            97.142 AVIDEMUX2_GTK.EXE-258AD76B.pf
06.06.2008  20:31            14.506 SNDVOL32.EXE-383480B7.pf
06.06.2008  19:23            58.592 AUDACITY.EXE-23DBBCC2.pf
06.06.2008  09:56            10.482 SECPOL.EXE-021898F8.pf
06.06.2008  09:26            48.678 DFRGNTFS.EXE-269967DF.pf
06.06.2008  09:26            16.118 DEFRAG.EXE-273F131E.pf
05.06.2008  21:19            15.178 RUNDLL32.EXE-2FEB5EB0.pf
05.06.2008  21:19            16.666 RUNDLL32.EXE-4295CF68.pf
05.06.2008  21:16            30.352 IEXPLORE.EXE-2CA9778D.pf
05.06.2008  19:55            15.368 RUNDLL32.EXE-12045FDF.pf
05.06.2008  07:48            15.154 RUNDLL32.EXE-3AC9A2E8.pf
05.06.2008  07:35            41.928 DRWTSN32.EXE-2B4B52AC.pf
05.06.2008  07:35            80.184 DWWIN.EXE-30875ADC.pf
05.06.2008  07:12            15.178 RUNDLL32.EXE-14788325.pf
05.06.2008  07:12            83.778 WINRAR.EXE-3588DFE8.pf
05.06.2008  07:01            15.292 RUNDLL32.EXE-48FF9EDA.pf
05.06.2008  06:01            75.526 OTR MULTIDECODER.EXE-22471678.pf
05.06.2008  04:32            41.312 MNPLAYER.EXE-2FC6F4E4.pf
05.06.2008  03:31            18.758 RUNDLL32.EXE-21B03B88.pf
05.06.2008  03:31            18.620 RUNDLL32.EXE-4B504E61.pf
05.06.2008  03:07            34.170 RUNDLL32.EXE-14D95A46.pf
04.06.2008  23:04            17.188 RUNDLL32.EXE-12E27DD0.pf
04.06.2008  16:23            13.058 PING.EXE-31216D26.pf
04.06.2008  14:24            13.312 TRACERT.EXE-0E419688.pf
04.06.2008  01:00            57.648 WORDVIEW.EXE-108548A1.pf
04.06.2008  00:47            16.072 STEAM.EXE-25824B4E.pf
03.06.2008  23:58            21.520 STEAMTMP.EXE-104E27DE.pf
03.06.2008  23:57            33.168 MSIEXEC.EXE-2F8A8CAE.pf
03.06.2008  23:57            9.576 STEAMSERVICE.EXE-0E41E3AC.pf
03.06.2008  11:49            15.178 RUNDLL32.EXE-4D0895BF.pf
03.06.2008  08:26            24.716 SOFFICE.EXE-04734775.pf
03.06.2008  08:26          100.456 SOFFICE.BIN-0C62DC9C.pf
03.06.2008  08:26            8.434 STCLIENT_WRAPPER.EXE-097360FB.pf
03.06.2008  08:26            10.028 SWRITER.EXE-078FAAB6.pf
03.06.2008  08:18            34.294 RUNDLL32.EXE-46811884.pf
03.06.2008  04:34            10.162 SCALC.EXE-12899C16.pf
03.06.2008  02:32            15.432 RUNDLL32.EXE-26ADFB2C.pf
02.06.2008  13:56            15.336 RUNDLL32.EXE-17DA2819.pf
02.06.2008  13:11            15.432 RUNDLL32.EXE-3DE40378.pf
02.06.2008  12:15            34.226 RUNDLL32.EXE-39BF3569.pf
02.06.2008  12:15            45.122 MPLAYERC.EXE-2C78AEED.pf
02.06.2008  03:20            15.710 RUNDLL32.EXE-150C2EC3.pf
01.06.2008  21:34            18.078 DUMPCAP.EXE-2E7FBBCB.pf
01.06.2008  21:32            51.524 WIRESHARK.EXE-18ECBF48.pf
01.06.2008  21:28            31.000 WINPCAP_4_0_2.EXE-2B2D2C83.pf
01.06.2008  21:27            14.786 WIRESHARK V1_00.EXE-2F90FF0F.pf
01.06.2008  20:40            19.602 FFMPEG.EXE-04CB5217.pf
01.06.2008  20:40            22.500 MMC.EXE-0F82E66C.pf
01.06.2008  20:40            18.026 IS-7MNGV.TMP-0E98929A.pf
01.06.2008  20:40            13.798 MOBILE MEDIA CONVERTER.EXE-3AAFD2AF.pf
01.06.2008  20:35            34.074 RUNDLL32.EXE-3C05F6C9.pf
01.06.2008  20:32            34.050 RUNDLL32.EXE-2DB141E4.pf
01.06.2008  20:26            22.210 MPLAYER.EXE-1D63E8FD.pf
01.06.2008  20:20            13.630 RUNDLL32.EXE-249D069D.pf
01.06.2008  05:31            31.816 SLSK.EXE-28D9E96F.pf
31.05.2008  19:55            15.394 ALG.EXE-0F138680.pf
31.05.2008  19:55            17.714 RUNDLL32.EXE-415F88EC.pf
31.05.2008  19:55            12.260 DUMPREP.EXE-1B46F901.pf
31.05.2008  19:55            23.368 RUNDLL32.EXE-2AFB7DC8.pf
31.05.2008  19:55            11.530 NWIZ.EXE-2D0F9FBC.pf
31.05.2008  19:55            18.402 RUNDLL32.EXE-35A483DA.pf
31.05.2008  01:54            15.452 RUNDLL32.EXE-2A83BA1B.pf
28.05.2008  21:58          120.832 VLC.EXE-29851A71.pf
19.05.2008  00:46            16.626 RUNDLL32.EXE-2A94BB85.pf
            130 Datei(en)      4.813.316 Bytes
              0 Verzeichnis(se),  8.756.301.824 Bytes frei
 
----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\WINDOWS

09.06.2008  13:38              370 system.ini
09.06.2008  11:26              159 wiadebug.log
09.06.2008  11:26                0 0.log
09.06.2008  11:24                50 wiaservc.log
09.06.2008  11:24            2.048 bootstat.dat
09.06.2008  09:22        1.579.215 setupapi.log
09.06.2008  09:14          193.892 WindowsUpdate.log
09.06.2008  08:28            32.596 SchedLgU.Txt
09.06.2008  05:56          662.478 ntbtlog.txt
20.05.2008  15:58              677 mozver.dat
19.05.2008  11:43              193 PCWGXDRV.INI
10.05.2008  20:48              875 win.ini
08.05.2008  00:20            2.898 scummvm.ini
29.04.2008  10:58          177.755 setupact.log
13.03.2008  04:15              754 WORDPAD.INI
29.02.2008  13:26                14 system ini-zeile.txt
29.02.2008  13:26              390 system.edit.txt
29.02.2008  13:07            84.940 DirectX.log
26.02.2008  12:05              230 RomeTW.ini
30.01.2008  15:20              520 netdet.ini
30.01.2008  15:18          249.856 Setup1.exe
30.01.2008  15:18            73.216 ST6UNST.EXE
29.01.2008  20:57            19.106 wmsetup.log
28.01.2008  08:35                0 PROTOCOL.INI
19.01.2008  01:21                33 Hex Workshop
18.01.2008  17:55              170 HEXWORKS.INI
08.01.2008  19:08                69 NeroDigital.ini
05.01.2008  12:15              155 winamp.ini
22.12.2007  20:56            23.552 comsetup.log
22.12.2007  20:56            13.873 ntdtcsetup.log
22.12.2007  20:55            1.760 regopt.log
22.12.2007  20:54            1.664 imsins.log
22.12.2007  20:54            33.843 FaxSetup.log
22.12.2007  20:54            2.636 ocmsn.log
22.12.2007  20:54            4.376 medctroc.Log
22.12.2007  20:54            35.429 ocgen.log
22.12.2007  20:54            2.403 msgsocm.log
22.12.2007  20:54            5.061 netfxocm.log
22.12.2007  20:54            25.496 tsoc.log
22.12.2007  20:54            94.182 iis6.log
22.12.2007  20:54            1.333 tabletoc.log
22.12.2007  20:54            22.974 msmqinst.log
21.12.2007  14:55          921.654 boot.bmp
21.12.2007  14:43              227 system.old

 
----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\WINDOWS\tasks

09.06.2008  11:24                6 SA.DAT
18.08.2001  14:00                65 desktop.ini
              2 Datei(en)            71 Bytes
              0 Verzeichnis(se),  8.756.301.824 Bytes frei
 
----- Wintemp --------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\WINDOWS\temp

09.06.2008  13:45              256 ZLT06936.TMP
09.06.2008  13:45              256 ZLT0692d.TMP
              2 Datei(en)            512 Bytes
              0 Verzeichnis(se),  8.756.301.824 Bytes frei
 
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist Volume
 Volumeseriennummer: 88A6-807F

 Verzeichnis von C:\DOKUME~1\NAME\LOKALE~1\Temp

09.06.2008  14:51          131.017 filelist.txt
09.06.2008  14:50              634 filelist.zip
              2 Datei(en)        131.651 Bytes
              0 Verzeichnis(se),  8.756.297.728 Bytes frei
Und schließlich das GMER-Protokoll und die ewig lange System32-Liste von fLister.
Um beides direkt hier einfügen war's ca. 40.000 Zeichen zu lang. Kein Scherz!
Dazu muss ich sagen, daß die Dateien mit dem _Untenstrich davor von mir selbst (im abgesicherten Modus) per Hand umbenannt wurden, nachdem ClamAV da angeschlagen hatte.


An alle hilfsbereiten Erklärbären:
BataAlexander ist erstmal weg, wie er mir eben mitteilte.
Wenn also bitte jemand anders übernehmen könnte...?


edit: Achso, ob ZoneAlarm noch den Kontaktaufnahme-Versuch meldet?
Nee, dieses 4-6malige rauswählen hat der Knilch dankenswerterweise eingestellt. Der fragt nur noch ein einziges Mal, wenn er merkt, daß es softwareseitig ans Netz geht.

Knecht_0473 10.06.2008 04:20
Kann mir noch jemand weiterhelfen?

Wenn das die Forenregeln nicht zu sehr untergräbt, erinnere ich einmal am Tag an mein Anliegen.

Knecht_0473 11.06.2008 17:26
Hallo-ho?
Will mir keiner mehr helfen?

Ich glaub, ich frag bald mal in nem anderen Forum.

BataAlexander 11.06.2008 21:28
Ich sehe da nichts, alles nur Zonealarm und Alcohol Einträge.

Diese Dateien
Zitat:
C:\WINDOWS\system32\_fsmgmt.dl_
C:\WINDOWS\system32_sec_pol_._x_
C:\WINDOWS\system32_fsmgmt.dl_.tm_
bei VirusTotal - Free Online Virus and Malware Scan scannen lassen und das Ergebnis hier posten.

Woe verhält sich der Rechner denn nun?

Knecht_0473 12.06.2008 09:10
Hab ich doch schon.
Siehe mein allererster Beitrag:
Zitat:
Danach hab ich mal HiJackThis gucken lassen. Der fand im System32-Ordner eine secpol.exe, auch "Niojec.gen"-infiziert. Außerdem wurde beim Start eine fsmgmt.dll geladen, auch "Eldorado"-infiziert, laut VirusTotal.
Danach hab ich die umbenannt, deswegen heißen die jetzt so komisch. Alles bereits erklärt.
Direkt da drüber hatte ich Screenshots entsprechender VirusTotal-Ergebnisse.

Gerne mache ich das für dich nochmal:

secpol
http://s6.directupload.net/images/080612/smyyzgbj.png

fsmgmt
http://s2.directupload.net/images/080612/fwx52d9z.png

Zur momentanen Lage: Der Kerl fragt gelegentlich noch nach, ob er online darf. (Das sieht dann so aus.) Allerdings nur noch alle paar Stunden einmal.
Und insgesamt alles sehr langsam. Wenn ich den RPC-svchost-Prozess beende wird's wieder flüssig, aber nach einer Minute ist dann automatisch Schluss (s.o.).

BataAlexander 12.06.2008 10:31
Bitte führe einmal dies aus.

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)
  • Bitte starte Deinen Pc im abgesicherten Modus neu
  • Starte den PC neu
  • Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach
  • Anstatt Windows normal zu starten wird ein Menü erscheinen
  • Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"
  • Wähle Deinen Anmeldenamen
  • Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)
  • Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten
  • Drücke "Y" um das Script zu starten.
  • Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.
  • Drücke eine Taste um zu reboooten.
  • Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.
  • Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.
  • Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

Knecht_0473 12.06.2008 16:46
SDFix sagt
Code:
SDFix: Version 1.191
Run by Administrator on 12.06.2008 at 17:25

Microsoft Windows XP [Version 5.1.2600]
Running From: D:\Filme\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Sieht ja mal nicht nach viel aus.
Ob sich die Geschwindigkeit verändert kann ich noch nicht sagen.
Jedenfalls hat Winpooch sich mal wieder über svchost beschwert und beim Anschalten des Modems kam auch wieder eine ZoneAlarm-Meldung wie oben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:44 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55