Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Patched.DY.1 (https://www.trojaner-board.de/71206-tr-patched-dy-1-a.html)

Mir0 19.03.2009 17:08

TR/Patched.DY.1
 
Hallo,
Ich hab schon oft auß dem Forum Hilfe lesen können, aber dieses Mal bin ich mir nicht 100%ig sicher und brauch Rat von Profis. Vorgestern hab ich mir auf dem FamilienPC den TR/Patched.DY.1 eingefangen. Je nach Zeit habe ich mich gestern und heute morgen dabei gemacht den Rechner wieder zu säubern. Dabei fand ich den hier: http://www.trojaner-board.de/70874-patched-dy-1-c-dokumente-und-einstellungen-lokale-einstellungen-temp-tmpf.html beschriebenen Ablauf am effektivsten. Dank Malwarebytes' Anti-Malware, ComboFix und CCleaner Systembereinigung scheint der Rechner, zumindest meiner Meinung, wieder zu funzen. Da bei diesem Mistviech oft zum kompletten Neuaufsetzen geraten wird, hab ich noch einen HijackThis Scan laufen lassen, Logfile am Ende. Meine Frage ist einfach: XP einstampfen ja/nein. Die verursachende EXE Datei hab ich "gerettet" und eingekerkert.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:27, on 19.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Sandboxie\SbieSvc.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\NetMeter\NetMeter.exe
D:\Programme\DeskClock\DeskClock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Mobile Partner\Mobile Partner.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Besitzer\Desktop\Tcpview.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\HJT\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\Programme\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [D:\Programme\NetMeter\NetMeter.exe] D:\Programme\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [Uhr] D:\Programme\DeskClock\DeskClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - h**p://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1234191752015
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232132702029
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234190033546
O17 - HKLM\System\CCS\Services\Tcpip\..\{55424744-3ED0-4D61-B5EE-1E6AAAC15ED5}: NameServer = 193.254.160.130 193.254.160.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\System32\oodag.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - D:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5716 bytes

Muß ich noch was fixen? Bin absolut kein Profi, also vielen Dank schonmal.

Niume 19.03.2009 20:47

Ich würde neu aufsetzen empfehlen.
Sind Programme dabei die ggf. auch Trojaner sein könnten bzw sich dort reingeschrieben haben.

Wenn du nicht neu aufsetzen magst überwache mal die Systemleistung im systemmonitor ohne am Computer zu arbeiten und kontrolliere deine Internetverbindungen mit einem Programm wie cFos.

Wenn es weder Ausschläge in der Systemleistung gibt noch cFos Verbindungen feststellt könnte das System sauber sein. Wenn doch...
Wobei auch wenn nicht, dein System verändert ist und damit nur auf ein Kommando eines Angreifers wartet bzw... ein Datum.

Mir0 19.03.2009 22:14

TCPView und Taskmanager läuft sowieso ständig, Indexdienst und Defragger sind angehalten, ist auch nicht grad leicht bei XP alle Vorgänge mitzubekommen. Treiber hab ich alle auf DVD, nur sämtliche Windowsupdates nicht. Original-CD mit SPII, kann ich die Updates von einem sauberen Rechner sichern und den neu Aufgesetzten damit updaten? Ich frag mich wer solche beschissenen trojanischen Ackergäuler schreibt. Wenn ich Daten ausspähen wollte, würd ich das so unauffällig wie möglich tun und nicht den Rechner ins Chaos stürzen. Anfangs fand ich XP super, aber jetzt find ichs zu undurchsichtig. Ich lass die Kiste erstmal weiterlaufen bis es suspekt wird oder ich ein angenehmeres OS für mich gefunden habe. Es sind zwar recht viele Programme installiert, aber keine empfindlichen Daten, er ist eben die Internet- Video- und Musikhure, sämtliche höchst geheimen Nachrichtentransport mach ich mit meinen ArbeitsLaptop.

Ich würde mir eben gern die Zeit sparen, weil ich von eben dieser meist nicht genug habe, Aber Trotz alledem, danke für Dein Statement.

Mir0 21.03.2009 21:40

Hab das Ding mal zu Virustotal gesendet, hier das Ergebnis:


Code:

Datei xxx.exe empfangen 2009.03.21 21:18:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/39 (38.47%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.03.21        Trojan.TDss!IK
AhnLab-V3        5.0.0.2        2009.03.21        -
AntiVir        7.9.0.120        2009.03.21        -
Authentium        5.1.2.4        2009.03.21        -
Avast        4.8.1335.0        2009.03.20        NSIS:Fasec-E
AVG        8.5.0.283        2009.03.21        Downloader.Zlob.AKEP
BitDefender        7.2        2009.03.21        Dropped:Trojan.TDss.DP
CAT-QuickHeal        10.00        2009.03.21        -
ClamAV        0.94.1        2009.03.21        -
Comodo        1078        2009.03.21        -
DrWeb        4.44.0.09170        2009.03.21        BackDoor.Tdss.82
eSafe        7.0.17.0        2009.03.19        -
eTrust-Vet        31.6.6409        2009.03.20        -
F-Prot        4.4.4.56        2009.03.20        -
F-Secure        8.0.14470.0        2009.03.21        Suspicious:W32/Malware!Gemini
Fortinet        3.117.0.0        2009.03.21        PossibleThreat
GData        19        2009.03.21        Dropped:Trojan.TDss.DP
Ikarus        T3.1.1.48.0        2009.03.21        Trojan.TDss
K7AntiVirus        7.10.678        2009.03.21        -
Kaspersky        7.0.0.125        2009.03.21        -
McAfee        5560        2009.03.21        -
McAfee+Artemis        5560        2009.03.21        -
McAfee-GW-Edition        6.7.6        2009.03.21        -
Microsoft        1.4502        2009.03.21        Trojan:Win32/Alureon.gen!J
NOD32        3953        2009.03.21        Win32/AutoRun.ABH
Norman        6.00.06        2009.03.20        -
nProtect        2009.1.8.0        2009.03.21        -
Panda        10.0.0.10        2009.03.21        Trj/CI.A
PCTools        4.4.2.0        2009.03.21        -
Prevx1        V2        2009.03.21        Medium Risk Malware Dropper
Rising        21.21.52.00        2009.03.21        -
Sophos        4.39.0        2009.03.21        -
Sunbelt        3.2.1858.2        2009.03.20        -
Symantec        1.4.4.12        2009.03.21        -
TheHacker        6.3.3.1.287        2009.03.21        Trojan/TDSS.szy
TrendMicro        8.700.0.1004        2009.03.20        -
VBA32        3.12.10.1        2009.03.20        Win32.AutoRun.ABH
ViRobot        2009.3.20.1658        2009.03.20        -
VirusBuster        4.6.5.0        2009.03.21        -
weitere Informationen
File size: 153443 bytes
MD5...: b270a6858ad263a3b2025876d644abe8
SHA1..: 12a028c838dabeb0a7f2cbd3a62d6276a7b5225b
SHA256: 347a9f143c9b405bd8d8ba6786bf0de35909b4b19805b56079505cdbb4ddd914
SHA512: ff14d1bed0ce40b409fa9c8c7a28b2d630907a7a9a42b8f468f242104bc8217a
93557d91089d0ff87ff9f30766c2f4177c5717633040ac39052943d2b177e594
ssdeep: 3072:9TvfTzcTsw6RpMcgShkY8py61l3amD0+/XMSgg6E/xml:JvfTwQwRhSApb3
amD7ESgg6E/xa
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
VXD Driver (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x39e4
timedatestamp.....: 0x49a41dc7 (Tue Feb 24 16:18:15 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7cc4 0x7e00 6.18 d734a815fb551fdb300adeb152e06619
.data 0x9000 0x94 0x200 1.22 c0eb7856166eda3f21de86d958b86581
.rdata 0xa000 0xd78 0xe00 5.38 7c2e43d5aed0bc730e32074cf67174f2
.bss 0xb000 0x25ae8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x31000 0x13e0 0x1400 5.22 ad2ab3a5fdc0478cbb8c266d4b0734bb
.ndata 0x33000 0xa000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
.rsrc 0x3d000 0x4d58 0x4e00 5.00 710a949fb3342dc480f4f6b9a0217189

( 8 imports )
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> COMCTL32.DLL: ImageList_AddMasked, ImageList_Create, ImageList_Destroy, InitCommonControls
> GDI32.dll: CreateBrushIndirect, CreateFontIndirectA, DeleteObject, GetDeviceCaps, SelectObject, SetBkColor, SetBkMode, SetTextColor
> KERNEL32.dll: CloseHandle, CompareFileTime, CopyFileA, CreateDirectoryA, CreateFileA, CreateProcessA, CreateThread, DeleteFileA, ExitProcess, ExpandEnvironmentStringsA, FindClose, FindFirstFileA, FindNextFileA, FreeLibrary, GetCommandLineA, GetCurrentProcess, GetDiskFreeSpaceA, GetExitCodeProcess, GetFileAttributesA, GetFileSize, GetFullPathNameA, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetPrivateProfileStringA, GetProcAddress, GetShortPathNameA, GetSystemDirectoryA, GetTempFileNameA, GetTempPathA, GetTickCount, GetVersion, GetWindowsDirectoryA, GlobalAlloc, GlobalFree, GlobalLock, GlobalUnlock, LoadLibraryA, LoadLibraryExA, MoveFileA, MulDiv, MultiByteToWideChar, ReadFile, RemoveDirectoryA, SearchPathA, SetCurrentDirectoryA, SetErrorMode, SetFileAttributesA, SetFilePointer, SetFileTime, Sleep, WaitForSingleObject, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpynA, lstrlenA
> OLE32.dll: CoCreateInstance, CoTaskMemFree, OleInitialize, OleUninitialize
> SHELL32.DLL: SHBrowseForFolderA, SHFileOperationA, SHGetFileInfoA, SHGetPathFromIDListA, SHGetSpecialFolderLocation, ShellExecuteA
> USER32.dll: AppendMenuA, BeginPaint, CallWindowProcA, CharNextA, CharPrevA, CheckDlgButton, CloseClipboard, CreateDialogParamA, CreatePopupMenu, CreateWindowExA, DefWindowProcA, DestroyWindow, DialogBoxParamA, DispatchMessageA, DrawTextA, EmptyClipboard, EnableMenuItem, EnableWindow, EndDialog, EndPaint, ExitWindowsEx, FillRect, FindWindowExA, GetClassInfoA, GetClientRect, GetDC, GetDlgItem, GetDlgItemTextA, GetMessagePos, GetSysColor, GetSystemMenu, GetSystemMetrics, GetWindowLongA, GetWindowRect, InvalidateRect, IsWindow, IsWindowEnabled, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadImageA, MessageBoxIndirectA, OpenClipboard, PeekMessageA, PostQuitMessage, RegisterClassA, ScreenToClient, SendMessageA, SendMessageTimeoutA, SetClassLongA, SetClipboardData, SetCursor, SetDlgItemTextA, SetForegroundWindow, SetTimer, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, SystemParametersInfoA, TrackPopupMenu, wsprintfA
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1CF9DD666321BBDF571702C4B0A2DC00B0A079C5' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1CF9DD666321BBDF571702C4B0A2DC00B0A079C5</a>

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Ich werde es wohl doch neu aufsetzen.

VirusTotal-Scan


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131