Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   svchost veranstaltet ungewollten netzverkehr (https://www.trojaner-board.de/86432-svchost-veranstaltet-ungewollten-netzverkehr.html)

miw 25.05.2010 22:52

svchost veranstaltet ungewollten netzverkehr
 
Hallo liebes Trojaner-Board-Team,

seit knapp einer Woche beobachte ich unregelmäßigen Abständen folgenden Netzverkehr:

23:03:22,0071232 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:28,0426054 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:40,0242080 svchost.exe 1468 TCP Disconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0

ich habe das komplette subnetz, zu dem die Domain auflöst in meiner externen Firewall (Astaro) gesperrt, daher die Reconnect-Versuche.

Ab und zu kommen auch Versuche auf folgende IPs vor:
61.61.20.132
112.121.181.26
91.212.226.6

Auch die habe ich im Packetfilter gesperrt.

Antivir und Eset finden nichts.
Auch Spybot und Malwarebytes Anti-Malware zeigen keinen Übeltäter an.

Ich habe verzweifelt nach dem Urheber der Verbindungen gesucht und alle DLLs, die vom betreffenden svchost geladen sind mittels MD5 über den Dateiinhalt gegen die selben Dateien von einem garantiert sauberen System geprüft, und keine Unregelmäßigkeit festgestellt.

Ich bin jetzt ehrlich gesagt mit meinem Latein (und mit meinen Nerven) am Ende.

Hier mein HJT-Log:

HiJackthis Logfile:
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:23:31, on 24.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.100:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [avgnt] "H:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NVIDIA nTune] "H:\NVIDIA\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] H:\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [TrueCrypt] "H:\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://H:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://H:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://H:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://H:\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINXP\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - H:\NVIDIA\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 5136 bytes

falls es hilft auch noch ein Startup-Log:

Code:

StartupList report, 24.05.2010, 22:21:55
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.EXE
Detected: Windows XP SP3 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18702)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINXP\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
SystemTray = SysTray.Exe
avgnt = "H:\Avira\AntiVir Desktop\avgnt.exe" /min
nwiz = C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
NvCplDaemon = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NVIDIA nTune = "H:\NVIDIA\nTune\nTuneCmd.exe" clear
ctfmon.exe = C:\WINXP\system32\ctfmon.exe
Eraser = H:\Eraser\eraser.exe -hide
TrueCrypt = "H:\TrueCrypt\TrueCrypt.exe" /q preferences
DAEMON Tools Lite = "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
SpybotSD TeaTimer = h:\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
 =

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINXP\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINXP\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -UserIconConfig

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = "C:\WINXP\system32\rundll32.exe" "C:\WINXP\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINXP\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINXP\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINXP\Explorer\Explorer.exe: not present
C:\WINXP\System\Explorer.exe: not present
C:\WINXP\System32\Explorer.exe: not present
C:\WINXP\Command\Explorer.exe: not present
C:\WINXP\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - H:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINXP\system32\Macromed\Flash\Flash10b.ocx
CODEBASE = hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\Bonjour\mdnsNSP.dll
NameSpace #5: C:\WINXP\system32\wshbth.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Warndienst: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Avira AntiVir Planer: "H:\Avira\AntiVir Desktop\sched.exe" (autostart)
Avira AntiVir Guard: "H:\Avira\AntiVir Desktop\avguard.exe" (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
avgntflt: system32\DRIVERS\avgntflt.sys (autostart)
BrSplService: C:\WINXP\system32\brsvc01a.exe (autostart)
Computerbrowser: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
NetGroup Packet Filter Driver: system32\drivers\npf.sys (autostart)
nTune Service: H:\NVIDIA\nTune\nTuneService.exe /StartService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\system32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: system32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINXP\system32\SHELL32.dll
CDBurn: C:\WINXP\system32\SHELL32.dll
WebCheck: C:\WINXP\system32\webcheck.dll
SysTray: C:\WINXP\system32\stobject.dll
WPDShServiceObj: C:\WINXP\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 9.795 bytes
Report generated in 0,063 seconds

Command line options:
  /verbose  - to add additional info on each section
  /complete - to include empty sections and unsuspicious data
  /full    - to include several rarely-important sections
  /force9x  - to include Win9x-only startups even if running on WinNT
  /forcent  - to include WinNT-only startups even if running on Win9x
  /forceall - to include all Win9x and WinNT startups, regardless of platform
  /history  - to list version history only

und die Liste der geladenen DLLs:

Code:

Description:        Generic Host Process for Win32 Services
Company:        Microsoft Corporation
Name:        svchost.exe
Version:        5.1.2600.5512
Path:        C:\WINXP\System32\svchost.exe
Command Line:        C:\WINXP\System32\svchost.exe -k netsvcs
PID:        1416
Parent PID:        952
Session ID:        0
User:        NT-AUTORITÄT\SYSTEM
Auth ID:        00000000:000003e7
Architecture:        32-bit
Virtualized:        n/a
Integrity:        n/a
Started:        24.05.2010 00:27:10
Ended:        (Running)
Modules:
Normaliz.dll        0x760000        0x9000        C:\WINXP\system32\Normaliz.dll        Microsoft Corporation
xpsp2res.dll        0xb90000        0x2d9000        C:\WINXP\System32\xpsp2res.dll        Microsoft Corporation
svchost.exe        0x1000000        0x6000        C:\WINXP\System32\svchost.exe        Microsoft Corporation
mdnsNSP.dll        0x16080000        0x19000        C:\Programme\Bonjour\mdnsNSP.dll        Apple Computer, Inc.
WININET.dll        0x408b0000        0xe6000        C:\WINXP\system32\WININET.dll        Microsoft Corporation
iertutil.dll        0x40f50000        0x1e8000        C:\WINXP\system32\iertutil.dll        Microsoft Corporation
wmiprvsd.dll        0x42160000        0x72000        C:\WINXP\system32\wbem\wmiprvsd.dll        Microsoft Corporation
urlmon.dll        0x452e0000        0x133000        C:\WINXP\system32\urlmon.dll        Microsoft Corporation
eappprxy.dll        0x47700000        0xe000        c:\winxp\system32\eappprxy.dll        Microsoft Corporation
wscsvc.dll        0x4c170000        0x17000        c:\winxp\system32\wscsvc.dll        Microsoft Corporation
WINHTTP.dll        0x4d5c0000        0x59000        C:\WINXP\System32\WINHTTP.dll        Microsoft Corporation
RASQEC.DLL        0x4db70000        0x13000        C:\WINXP\System32\RASQEC.DLL        Microsoft Corporation
wmisvc.dll        0x4f110000        0x28000        c:\winxp\system32\wbem\wmisvc.dll        Microsoft Corporation
wuauserv.dll        0x50000000        0x5000        c:\winxp\system32\wuauserv.dll        Microsoft Corporation
wuaueng.dll        0x50040000        0x1d9000        C:\WINXP\system32\wuaueng.dll        Microsoft Corporation
wuapi.dll        0x506a0000        0x8e000        C:\WINXP\system32\wuapi.dll        Microsoft Corporation
unimdm.tsp        0x58030000        0x36000        C:\WINXP\System32\unimdm.tsp        Microsoft Corporation
ndptsp.tsp        0x58090000        0x10000        C:\WINXP\System32\ndptsp.tsp        Microsoft Corporation
kmddsp.tsp        0x580b0000        0xb000        C:\WINXP\System32\kmddsp.tsp        Microsoft Corporation
ipconf.tsp        0x580c0000        0x8000        C:\WINXP\System32\ipconf.tsp        Microsoft Corporation
hidphone.tsp        0x580d0000        0xa000        C:\WINXP\System32\hidphone.tsp        Microsoft Corporation
h323.tsp        0x580e0000        0x46000        C:\WINXP\System32\h323.tsp        Microsoft Corporation
6to4svc.dll        0x583c0000        0x1d000        c:\winxp\system32\6to4svc.dll        Microsoft Corporation
wship6.dll        0x590b0000        0x7000        C:\WINXP\System32\wship6.dll        Microsoft Corporation
NETAPI32.dll        0x597d0000        0x55000        C:\WINXP\System32\NETAPI32.dll        Microsoft Corporation
UxTheme.dll        0x5b0f0000        0x38000        C:\WINXP\System32\UxTheme.dll        Microsoft Corporation
ShimEng.dll        0x5cf00000        0x26000        C:\WINXP\System32\ShimEng.dll        Microsoft Corporation
comctl32.dll        0x5d450000        0x9a000        C:\WINXP\system32\comctl32.dll        Microsoft Corporation
ESENT.dll        0x5e200000        0x110000        c:\winxp\system32\ESENT.dll        Microsoft Corporation
dot3api.dll        0x5f8f0000        0xa000        c:\winxp\system32\dot3api.dll        Microsoft Corporation
ncprov.dll        0x5fb30000        0xe000        C:\WINXP\system32\wbem\ncprov.dll        Microsoft Corporation
NCObjAPI.DLL        0x5fb60000        0xc000        C:\WINXP\system32\NCObjAPI.DLL        Microsoft Corporation
mspatcha.dll        0x604a0000        0xb000        C:\WINXP\System32\mspatcha.dll        Microsoft Corporation
QUtil.dll        0x61900000        0x16000        c:\winxp\system32\QUtil.dll        Microsoft Corporation
hnetcfg.dll        0x66710000        0x59000        C:\WINXP\System32\hnetcfg.dll        Microsoft Corporation
ipnathlp.dll        0x668d0000        0x56000        c:\winxp\system32\ipnathlp.dll        Microsoft Corporation
rsaenh.dll        0x68000000        0x36000        C:\WINXP\System32\rsaenh.dll        Microsoft Corporation
hidserv.dll        0x68d80000        0x9000        c:\winxp\system32\hidserv.dll        Microsoft Corporation
HID.DLL        0x68d90000        0x9000        c:\winxp\system32\HID.DLL        Microsoft Corporation
eappcfg.dll        0x6db40000        0x22000        c:\winxp\system32\eappcfg.dll        Microsoft Corporation
AcGenral.DLL        0x6fd90000        0x1ca000        C:\WINXP\AppPatch\AcGenral.DLL        Microsoft Corporation
audiosrv.dll        0x70dc0000        0xd000        c:\winxp\system32\audiosrv.dll        Microsoft Corporation
dot3dlg.dll        0x71260000        0x6000        c:\winxp\system32\dot3dlg.dll        Microsoft Corporation
wshtcpip.dll        0x719f0000        0x8000        C:\WINXP\System32\wshtcpip.dll        Microsoft Corporation
WS2HELP.dll        0x71a00000        0x8000        C:\WINXP\System32\WS2HELP.dll        Microsoft Corporation
WS2_32.dll        0x71a10000        0x17000        C:\WINXP\System32\WS2_32.dll        Microsoft Corporation
wsock32.dll        0x71a30000        0xa000        C:\WINXP\System32\wsock32.dll        Microsoft Corporation
SAMLIB.dll        0x71b70000        0x13000        C:\WINXP\System32\SAMLIB.dll        Microsoft Corporation
kerberos.dll        0x71c70000        0x4c000        C:\WINXP\system32\kerberos.dll        Microsoft Corporation
uniplat.dll        0x71f90000        0x7000        C:\WINXP\System32\uniplat.dll        Microsoft Corporation
rasppp.dll        0x721d0000        0x37000        C:\WINXP\System32\rasppp.dll        Microsoft Corporation
sensapi.dll        0x72240000        0x5000        C:\WINXP\System32\sensapi.dll        Microsoft Corporation
sens.dll        0x72260000        0xd000        c:\winxp\system32\sens.dll        Microsoft Corporation
WinSCard.dll        0x72360000        0x1c000        C:\WINXP\System32\WinSCard.dll        Microsoft Corporation
ntlsapi.dll        0x72420000        0x6000        C:\WINXP\System32\ntlsapi.dll        Microsoft Corporation
OneX.DLL        0x72760000        0x28000        c:\winxp\system32\OneX.DLL        Microsoft Corporation
WINSPOOL.DRV        0x72f70000        0x26000        C:\WINXP\System32\WINSPOOL.DRV        Microsoft Corporation
WZCSAPI.DLL        0x72fa0000        0x10000        c:\winxp\system32\WZCSAPI.DLL        Microsoft Corporation
tapisrv.dll        0x73350000        0x40000        c:\winxp\system32\tapisrv.dll        Microsoft Corporation
seclogon.dll        0x73c90000        0x8000        c:\winxp\system32\seclogon.dll        Microsoft Corporation
wbemcons.dll        0x73ca0000        0x17000        C:\WINXP\system32\wbem\wbemcons.dll        Microsoft Corporation
WINIPSEC.DLL        0x742e0000        0xb000        C:\WINXP\System32\WINIPSEC.DLL        Microsoft Corporation
EapolQec.dll        0x745c0000        0xb000        c:\winxp\system32\EapolQec.dll        Microsoft Corporation
msxml3.dll        0x74900000        0x123000        C:\WINXP\system32\msxml3.dll        Microsoft Corporation
POWRPROF.dll        0x74a50000        0x8000        c:\winxp\system32\POWRPROF.dll        Microsoft Corporation
wbemsvc.dll        0x74e50000        0xe000        C:\WINXP\system32\wbem\wbemsvc.dll        Microsoft Corporation
SSDPAPI.dll        0x74e80000        0xc000        C:\WINXP\system32\SSDPAPI.dll        Microsoft Corporation
pchsvc.dll        0x74ec0000        0xc000        c:\winxp\pchealth\helpctr\binaries\pchsvc.dll        Microsoft Corporation
MSIDLE.DLL        0x74ed0000        0x5000        C:\WINXP\System32\MSIDLE.DLL        Microsoft Corporation
ersvc.dll        0x74f00000        0x9000        c:\winxp\system32\ersvc.dll        Microsoft Corporation
dmserver.dll        0x74f10000        0x9000        c:\winxp\system32\dmserver.dll        Microsoft Corp.
wmiutils.dll        0x74fa0000        0x1c000        C:\WINXP\system32\wbem\wmiutils.dll        Microsoft Corporation
trkwks.dll        0x74ff0000        0x19000        c:\winxp\system32\trkwks.dll        Microsoft Corporation
srvsvc.dll        0x75010000        0x1a000        c:\winxp\system32\srvsvc.dll        Microsoft Corporation
RESUTILS.DLL        0x75030000        0x12000        C:\WINXP\System32\RESUTILS.DLL        Microsoft Corporation
MTXCLU.DLL        0x75070000        0x13000        C:\WINXP\system32\MTXCLU.DLL        Microsoft Corporation
colbact.DLL        0x750b0000        0x14000        C:\WINXP\system32\colbact.DLL        Microsoft Corporation
Cabinet.dll        0x750d0000        0x13000        C:\WINXP\System32\Cabinet.dll        Microsoft Corporation
wshbth.dll        0x750f0000        0x1e000        C:\WINXP\system32\wshbth.dll        Microsoft Corporation
srsvc.dll        0x75120000        0x2e000        c:\winxp\system32\srsvc.dll        Microsoft Corporation
repdrvfs.dll        0x75180000        0x2f000        C:\WINXP\system32\wbem\repdrvfs.dll        Microsoft Corporation
wbemcomn.dll        0x75210000        0x37000        C:\WINXP\system32\wbem\wbemcomn.dll        Microsoft Corporation
esscli.dll        0x75290000        0x3f000        C:\WINXP\System32\Wbem\esscli.dll        Microsoft Corporation
certcli.dll        0x752d0000        0x33000        c:\winxp\system32\certcli.dll        Microsoft Corporation
wbemess.dll        0x75310000        0x46000        C:\WINXP\system32\wbem\wbemess.dll        Microsoft Corporation
VSSAPI.DLL        0x75360000        0x6d000        C:\WINXP\system32\VSSAPI.DLL        Microsoft Corporation
rastapi.dll        0x75490000        0x11000        C:\WINXP\System32\rastapi.dll        Microsoft Corporation
RASDLG.dll        0x754d0000        0xab000        C:\WINXP\System32\RASDLG.dll        Microsoft Corporation
netcfgx.dll        0x75580000        0x9d000        C:\WINXP\system32\netcfgx.dll        Microsoft Corporation
FastProx.dll        0x75620000        0x76000        C:\WINXP\System32\Wbem\FastProx.dll        Microsoft Corporation
MSVCP60.dll        0x76020000        0x65000        c:\winxp\system32\MSVCP60.dll        Microsoft Corporation
comsvcs.dll        0x76090000        0x13c000        C:\WINXP\system32\comsvcs.dll        Microsoft Corporation
wbemcore.dll        0x76260000        0x85000        C:\WINXP\System32\Wbem\wbemcore.dll        Microsoft Corporation
WINSTA.dll        0x76300000        0x10000        C:\WINXP\System32\WINSTA.dll        Microsoft Corporation
IMM32.DLL        0x76330000        0x1d000        C:\WINXP\system32\IMM32.DLL        Microsoft Corporation
netshell.dll        0x763a0000        0x1aa000        c:\winxp\system32\netshell.dll        Microsoft Corporation
USERENV.dll        0x76620000        0xb6000        C:\WINXP\system32\USERENV.dll        Microsoft Corporation
cryptdll.dll        0x76740000        0xc000        C:\WINXP\System32\cryptdll.dll        Microsoft Corporation
NTDSAPI.dll        0x76750000        0x13000        c:\winxp\system32\NTDSAPI.dll        Microsoft Corporation
w32time.dll        0x76770000        0x2d000        c:\winxp\system32\w32time.dll        Microsoft Corporation
SCHANNEL.dll        0x767a0000        0x28000        C:\WINXP\System32\SCHANNEL.dll        Microsoft Corporation
CRYPTUI.dll        0x76880000        0x85000        C:\WINXP\System32\CRYPTUI.dll        Microsoft Corporation
SXS.DLL        0x76970000        0xb1000        C:\WINXP\System32\SXS.DLL        Microsoft Corporation
atl.dll        0x76ad0000        0x11000        C:\WINXP\System32\atl.dll        Microsoft Corporation
WINMM.dll        0x76af0000        0x2e000        C:\WINXP\System32\WINMM.dll        Microsoft Corporation
schedsvc.dll        0x76b20000        0x34000        c:\winxp\system32\schedsvc.dll        Microsoft Corporation
sfc.dll        0x76b60000        0x5000        C:\WINXP\System32\sfc.dll        Microsoft Corporation
PSAPI.DLL        0x76bb0000        0xb000        C:\WINXP\System32\PSAPI.DLL        Microsoft Corporation
credui.dll        0x76bc0000        0x2f000        c:\winxp\system32\credui.dll        Microsoft Corporation
WINTRUST.dll        0x76bf0000        0x2e000        C:\WINXP\System32\WINTRUST.dll        Microsoft Corporation
sfc_os.dll        0x76c20000        0x2a000        C:\WINXP\System32\sfc_os.dll        Microsoft Corporation
imagehlp.dll        0x76c50000        0x28000        C:\WINXP\system32\imagehlp.dll        Microsoft Corporation
raschap.dll        0x76ca0000        0x16000        C:\WINXP\System32\raschap.dll        Microsoft Corporation
cryptsvc.dll        0x76cd0000        0x12000        c:\winxp\system32\cryptsvc.dll        Microsoft Corporation
WMI.dll        0x76cf0000        0x4000        c:\winxp\system32\WMI.dll        Microsoft Corporation
MPRAPI.dll        0x76d00000        0x18000        C:\WINXP\System32\MPRAPI.dll        Microsoft Corporation
iphlpapi.dll        0x76d20000        0x19000        c:\winxp\system32\iphlpapi.dll        Microsoft Corporation
CLUSAPI.DLL        0x76d60000        0x12000        C:\WINXP\System32\CLUSAPI.DLL        Microsoft Corporation
upnp.dll        0x76da0000        0x24000        C:\WINXP\system32\upnp.dll        Microsoft Corporation
adsldpc.dll        0x76dd0000        0x25000        C:\WINXP\System32\adsldpc.dll        Microsoft Corporation
wkssvc.dll        0x76e00000        0x23000        c:\winxp\system32\wkssvc.dll        Microsoft Corporation
rtutils.dll        0x76e40000        0xe000        c:\winxp\system32\rtutils.dll        Microsoft Corporation
rasman.dll        0x76e50000        0x12000        C:\WINXP\System32\rasman.dll        Microsoft Corporation
TAPI32.dll        0x76e70000        0x2f000        C:\WINXP\System32\TAPI32.dll        Microsoft Corporation
RASAPI32.dll        0x76ea0000        0x3c000        C:\WINXP\System32\RASAPI32.dll        Microsoft Corporation
DNSAPI.dll        0x76ee0000        0x27000        c:\winxp\system32\DNSAPI.dll        Microsoft Corporation
WTSAPI32.dll        0x76f10000        0x8000        c:\winxp\system32\WTSAPI32.dll        Microsoft Corporation
WLDAP32.dll        0x76f20000        0x2d000        C:\WINXP\system32\WLDAP32.dll        Microsoft Corporation
winrnr.dll        0x76f70000        0x8000        C:\WINXP\System32\winrnr.dll        Microsoft Corporation
rasadhlp.dll        0x76f80000        0x6000        C:\WINXP\System32\rasadhlp.dll        Microsoft Corporation
CLBCATQ.DLL        0x76f90000        0x7f000        C:\WINXP\System32\CLBCATQ.DLL        Microsoft Corporation
COMRes.dll        0x77010000        0xd3000        C:\WINXP\System32\COMRes.dll        Microsoft Corporation
OLEAUT32.dll        0x770f0000        0x8b000        C:\WINXP\system32\OLEAUT32.dll        Microsoft Corporation
browser.dll        0x772f0000        0x16000        c:\winxp\system32\browser.dll        Microsoft Corporation
comctl32.dll        0x773a0000        0x103000        C:\WINXP\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll        Microsoft Corporation
ole32.dll        0x774b0000        0x13d000        C:\WINXP\system32\ole32.dll        Microsoft Corporation
NTMARTA.DLL        0x77660000        0x21000        C:\WINXP\System32\NTMARTA.DLL        Microsoft Corporation
AUTHZ.dll        0x77690000        0x12000        c:\winxp\system32\AUTHZ.dll        Microsoft Corporation
shsvcs.dll        0x776b0000        0x23000        c:\winxp\system32\shsvcs.dll        Microsoft Corporation
es.dll        0x776e0000        0x44000        c:\winxp\system32\es.dll        Microsoft Corporation
SETUPAPI.DLL        0x778f0000        0xf4000        C:\WINXP\System32\SETUPAPI.DLL        Microsoft Corporation
CRYPT32.dll        0x77a50000        0x96000        c:\winxp\system32\CRYPT32.dll        Microsoft Corporation
MSASN1.dll        0x77af0000        0x12000        c:\winxp\system32\MSASN1.dll        Microsoft Corporation
Apphelp.dll        0x77b10000        0x22000        C:\WINXP\system32\Apphelp.dll        Microsoft Corporation
MSACM32.dll        0x77bb0000        0x15000        C:\WINXP\System32\MSACM32.dll        Microsoft Corporation
VERSION.dll        0x77bd0000        0x8000        C:\WINXP\system32\VERSION.dll        Microsoft Corporation
msvcrt.dll        0x77be0000        0x58000        C:\WINXP\system32\msvcrt.dll        Microsoft Corporation
msv1_0.dll        0x77c40000        0x25000        C:\WINXP\system32\msv1_0.dll        Microsoft Corporation
ACTIVEDS.dll        0x77c90000        0x32000        C:\WINXP\System32\ACTIVEDS.dll        Microsoft Corporation
netman.dll        0x77cd0000        0x33000        c:\winxp\system32\netman.dll        Microsoft Corporation
ADVAPI32.dll        0x77da0000        0xaa000        C:\WINXP\system32\ADVAPI32.dll        Microsoft Corporation
RPCRT4.dll        0x77e50000        0x92000        C:\WINXP\system32\RPCRT4.dll        Microsoft Corporation
GDI32.dll        0x77ef0000        0x49000        C:\WINXP\system32\GDI32.dll        Microsoft Corporation
SHLWAPI.dll        0x77f40000        0x76000        C:\WINXP\system32\SHLWAPI.dll        Microsoft Corporation
Secur32.dll        0x77fc0000        0x11000        C:\WINXP\system32\Secur32.dll        Microsoft Corporation
kernel32.dll        0x7c800000        0x108000        C:\WINXP\system32\kernel32.dll        Microsoft Corporation
ntdll.dll        0x7c910000        0xb9000        C:\WINXP\system32\ntdll.dll        Microsoft Corporation
msi.dll        0x7d1f0000        0x2bc000        c:\winxp\system32\msi.dll        Microsoft Corporation
dhcpcsvc.dll        0x7d4c0000        0x22000        c:\winxp\system32\dhcpcsvc.dll        Microsoft Corporation
rastls.dll        0x7d4f0000        0x27000        C:\WINXP\System32\rastls.dll        Microsoft Corporation
wzcsvc.dll        0x7db20000        0x8c000        c:\winxp\system32\wzcsvc.dll        Microsoft Corporation
rasmans.dll        0x7dee0000        0x32000        C:\WINXP\System32\rasmans.dll        Microsoft Corporation
USER32.dll        0x7e360000        0x91000        C:\WINXP\system32\USER32.dll        Microsoft Corporation
SHELL32.dll        0x7e670000        0x821000        C:\WINXP\system32\SHELL32.dll        Microsoft Corporation

Hat jemand ne Idee wer der Übeltäter sein könnte ?


Beste Grüße

Michael


PS: hab noch was interessantes vergessen.

bevor die Probleme angefangen sind gabs bei Anti-Malware zwei Funde:
Code:

Infizierte Dateien:
C:\WINXP\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> No action taken.

hab die Dinger per hand gelöscht. Die Probleme fingen erst danach an. (ca. 2 Wochen vorher)

Und Antivir meldet hin und wieder mal:

Code:

In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101733.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.54272.BY' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101734.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.539136.B' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

das war aber auch schon vor dem Problem so.

miw 26.05.2010 16:42

Habe gerade festgestellt, daß ich auch kein automatisches Windows-Update mehr fahren kann, werde es manuell durchführen.

cosinus 28.05.2010 17:19

Hallo und :hallo:

Poste bitte das malwarebytes Logfile, auch wenn keine Funde dabei waren.
Ich würde auch gern Logs von OTL.exe sowie GMER und OSAM sehen. Bitte alle posten, am besten alle Logs in ein ZIP Datei packen und hier anhängen oder zB bei file-upload.net hoachladen und hier verlinken.

miw 29.05.2010 10:09

Vielen Dank für die antwort.

Hier sind die gewünschten Logs.

cosinus 30.05.2010 15:31

Mach mal bitte einen Vollscan mit Malwarebytes. Quickscans reichen idR aus, ich möchte aber lieber gründliche Scans sehen ;)

miw 31.05.2010 20:46

Hallo Arne,

anbei ein Komplettscan der OS-Partition (C:).

Ich habe einen Scan über alle Partitionen versucht (der bei den vorhandenen 700 GB wohl über 20 Stunden dauern würde), bin aber folgendermaßen gescheitert:

nach ca. 1,5 Stunden kam ein BlueScreen:

Zitat:

DRIVER_CORRUPTED_MMPOOL
*** STOP: 0x000000D0 (0x322E3108,0x00000002,0x00000000,0x80548FBC)
Habe ich vorher noch nie gehabt. Kann mir auch nicht erklären woher das kommt, habe weder an Hardware noch an Treibern Änderungen vorgenommen.

Könnte es sein daß sich der Virus in einem Treiber versteckt ?

Einen Eintrag im Systemlog gab es zu dem Absturz nicht. Scheinbar wurde auch kein automatischer Dump (o.Ä.) erzeugt.

(Anm.: habe ProtectNonPagedPool in der Registry auf 1 gesetzt, damit sollte es kein Treiber mehr schaffen den Pool zu korumpieren :snyper: -> sagt zumindest das Microsoft-TechNet)

Nach dem Reboot hat sich Spybot gemeldet, daß folgende Registrierungschlüssel im Bereich "System Startup user entry" gelöscht und anschliessend wieder eingefügt werden sollen:

- NoFolderOptions = 0
- NoRun = 0
- DisallowRun = 0
- NoControlPanel = 0
- NoViewContextMenu = 0
- NoPropertiesMyComputer = 0

Ich habe sowohl das Löschen als auch das Neueinfügen unterbunden.
(Da ich keinen Schimmer habe wer der Verursacher ist, und ausserdem stehen die Werte schon so in der Registry)

Falls doch ein Scan anderer Partitionen notwendig ist, könnte ich die einzeln scannen und/oder Notfalls die Partition mit meinen Sicherungen (ca. 400 GB) weglassen ?


Während ich das hier gerade tippe habe ich nochmal die Logs meines Internetgateways überprüft und festgestellt, daß seit Gestern keine Verbindungsversuche zu irgendeiner panamamails.com-URL mehr stattfinden und auch sonst keine der beobachteten Zieladressen mehr angesteuert wurde.
Kann es sein, daß sich der Virus selbst deaktiviert hat, da er keine Verbindung zu seiner Dropzone mehr bekommt ?


Gruß

Michael

cosinus 31.05.2010 21:42

Das sieht alles ziemlich unauffällig aus. Hast Du den Proxy auf 192.168.2.100 gelegt??
Dann probier jetzt mal Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131