Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan? (https://www.trojaner-board.de/80725-services-exe-prozess-offnet-verbindungen-port-80-port-25-trojan.html)

gku 24.12.2009 16:48
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Ich habe bemerkt, dass Services.exe - Prozess öffnet viel Verbindungen zum Port 80 und Port 25.
Zuerst habe ich im Eventlog so was gefunden: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.
Dann mit netstat habe ich das Problem gefunden - Service.exe.
Jetzt habe ich mit Personal - Firewall den Services.exe von TCP getrennt.
Ich habe schon mit Avira, MS Security Essential und etc. versucht, aber nichts gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:22, on 24.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\regedit.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Far\Far.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft Office Outlook starten.lnk = C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196944590671
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ttt.de
O17 - HKLM\Software\..\Telephony: DomainName = ttt.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ttt.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ttt.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe

--
End of file - 7571 bytes

gku 25.12.2009 18:13
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Teil des netstat - Log
TCP 192.168.0.100:1412 64.191.223.42:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1419 64.59.192.8:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1421 72.20.117.160:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1426 72.20.117.160:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1439 195.113.116.7:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1504 69.2.111.26:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

gku 26.12.2009 22:47
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
AVIRA hat letzendlich was gefunden :

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\ykmno.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.aagq
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\ykmno.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.aagq
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.

Dazu

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\of8xn4e7t
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\h8ywd2kd3
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\p4ropvt
[INFO] Der Registrierungseintrag ist nicht sichtbar.

ykmno.sys kann Avira nur nach Reboot löchen, aber die Detei kommt immer zurück. Die Register-Einräge für ykmno lassen sich nicht löchen.
ich habe mit Regedit.exe und reg.exe schon probiert... es kommt: ein an das System angeschlossenes Gerät funktioniert nicht.

Hat jemand eine Idee was ich machen kann?
Danke im Voraus

gku 26.12.2009 22:59
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
noch einen Log (Attach)

gku 27.12.2009 10:41
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Ich habe Malwarebytes Anti-Malware ausprobiert.
Die Anwendung hat den Rootkit auch gefunden (dazu noch etwas),
aber sie hat auch geschafft den richtig zu löschen!!!
Jetzt habe ich C:\WINDOWS\system32\drivers\ykmno.sys nicht mehr!!!
Danach konnte ich ein Teil der Register-Einträge mit Regedit zu löschen (scheint Malwarebytes hat dort auch was geändert),
aber leider nicht alle.

Diese sind gelöscht:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ykmno]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
"oF8xN4e7t"=hex:a9,b7,ad,b7,a1,98,c7,66
"h8ywD2kD3"=hex:c6,e9,96,7a,ea,ab,96,bc,40,5a,27,8f,67,0f,92,5c,78,42,7a,68,71,\
98,96,83,da,75,3e,4a,fd,6b,b8,0c,75,95,9c,31,61,8a,9c,07,7b,92,94,00,62,5a,\
dc,ce,ea,bf,13,d6,e9,ef,6b,41,4a,a8,c8,0d,de,89,cb,49,77,c4,cf,82
"p4rOpVt"=hex:4a,22,20,5e

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ykmno\Enum]
"0"="Root\\LEGACY_YKMNO\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Diese sind weiter gelockt:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO\0000]
"Service"="ykmno"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="ykmno"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0038"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO\0000\LogConf]

Log:

Datenbank Version: 3437
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.12.2009 09:20:07
mbam-log-2009-12-27 (09-19-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 335531
Laufzeit: 2 hour(s), 9 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ykmno.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\musterman\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.

Was jetzt?

gku 27.12.2009 11:22
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
RSIT - Log (Attach)

gku 27.12.2009 22:30
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
So, nach der Veränderung der Berechtigungen habe ich jetzt all Register-Einträge gelöscht...
Von Ykmno kein Spur mehr!
Die Frage nur war es ein Rootkit oder ein Treiber :)
Die Scanners finden jetzt nichts mehr.

Wäre jemand trotzdem RSIT - Log anguckst, wäre ich sehr dankbar...


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131