|
Downloads im Hintergrund - Hijackthis und Malwarbytes Log Servus @ all, seit einiger Zeit beobachte ich, dass svchost.exe im Hintergrund größere Datenmengen hochlädt und downloadet, obwohl ich keine Windows updates abgerufen habe und automatische updates abgeschaltet sind. Ich habe AVIRA als Anti Virenprogramm, Lavasoft Ad-Aware als Anti Spyware und Comodo Internet Security als Firewall laufen. Alle 3 Programme behaupten nach scans, mein Rechner wäre sauber. Auch ein scan mit DE cleaner und mit gmer verlief ohne Ergebnis - oder besser mit dem Ergebnis, dass mein Rechner angeblich sauber wäre. Hab heute zunächst mit HiJackThis gescannt. Ein scan mit malwarebytes hat 4 Infektionen gefunden. Protokolle als Anlage. Bitte schaut mal drüber, eine Reinigung mit malwarebytes hab ich jetzt noch nicht durchgeführt. Protokoll HijackThis: HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4Und hier das Protokoll von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4742 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.10.2010 01:24:47 mbam-log-2010-10-05 (01-24-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|) Durchsuchte Objekte: 168152 Laufzeit: 32 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\nsldap32v50.dll (Spyware.OnlineGames) -> No action taken. C:\Programme\nsldappr32v50.dll (Spyware.OnlineGames) -> No action taken. C:\Dokumente und Einstellungen\All Users\readme.bat (Trojan.Downloader) -> No action taken. |
Hi, Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Danke Chris, Programme hab ich schon runter geladen, mache mich dann an die Arbeit und melde mich wieder. Beste Grüße Klaus |
Combo Fix Log: Combofix Logfile: Code: ComboFix 10-10-04.01 - The Secret 05.10.2010 8:53.1.1 - x86 |
OTL Log:OTL Logfile: Code: OTL logfile created on: 05.10.2010 09:19:52 - Run 1 |
Hi, falls noch nicht geschehen, die Funde von MAM bereinigen lassen! Bitte folgende Files prüfen (sollten saube sein): Dateien Online überprüfen lassen:
Code: c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO3.exe
Fix für OTL:
Code:
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Hier der erste scan von ciclo3.exe - Es handelt sich um ein altes Programm um Daten von einem Pulsmesser zur Auswertung auf den PC zu übertragen: File name: CICLO3.exe Submission date: 2010-10-05 09:30:11 (UTC) Current status: finished Result: 0/ 43 (0.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.10.05.00 2010.10.04 - AntiVir 7.10.12.119 2010.10.05 - Antiy-AVL 2.0.3.7 2010.10.05 - Authentium 5.2.0.5 2010.10.05 - Avast 4.8.1351.0 2010.10.04 - Avast5 5.0.594.0 2010.10.04 - AVG 9.0.0.851 2010.10.04 - BitDefender 7.2 2010.10.05 - CAT-QuickHeal 11.00 2010.10.05 - ClamAV 0.96.2.0-git 2010.10.05 - Comodo 6285 2010.10.05 - DrWeb 5.0.2.03300 2010.10.05 - Emsisoft 5.0.0.50 2010.10.05 - eSafe 7.0.17.0 2010.10.03 - eTrust-Vet 36.1.7892 2010.10.04 - F-Prot 4.6.2.117 2010.10.04 - F-Secure 9.0.15370.0 2010.10.05 - Fortinet 4.2.249.0 2010.10.05 - GData 21 2010.10.05 - Ikarus T3.1.1.90.0 2010.10.05 - Jiangmin 13.0.900 2010.10.03 - K7AntiVirus 9.63.2672 2010.10.04 - Kaspersky 7.0.0.125 2010.10.05 - McAfee 5.400.0.1158 2010.10.05 - McAfee-GW-Edition 2010.1C 2010.10.05 - Microsoft 1.6201 2010.10.05 - NOD32 5503 2010.10.04 - Norman 6.06.07 2010.10.04 - nProtect 2010-10-05.01 2010.10.05 - Panda 10.0.2.7 2010.10.04 - PCTools 7.0.3.5 2010.10.02 - Prevx 3.0 2010.10.05 - Rising 22.67.02.07 2010.09.30 - Sophos 4.58.0 2010.10.05 - Sunbelt 6985 2010.10.05 - SUPERAntiSpyware 4.40.0.1006 2010.10.05 - Symantec 20101.2.0.161 2010.10.05 - TheHacker 6.7.0.1.048 2010.10.04 - TrendMicro 9.120.0.1004 2010.10.05 - TrendMicro-HouseCall 9.120.0.1004 2010.10.05 - VBA32 3.12.14.1 2010.10.04 - ViRobot 2010.10.4.4074 2010.10.05 - VirusBuster 12.67.2.0 2010.10.04 - Additional information Show all MD5 : 3113f726b9c9774cbed12bdf350a57ca SHA1 : acc0675f2913b194ffb143c47512ed0c7729c93d SHA256: 8a15929624b41fcf2c84b671c63d5d490e302132b7e308b6366cd362c16b43ae ssdeep: 6:YlElAj1AzVomnOewq1FmtzFwe6ZteIUcdAdNiaRWxcUrJbT3gOQ:IEipAzVXPwWFizFDm5m7i aRMDQ File size : 766 bytes First seen: 2010-10-05 09:30:11 Last seen : 2010-10-05 09:30:11 TrID: Windows Icon (57.2%) MPEG Video (42.7%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned ExifTool: file metadata Error: File format error FileSize: 766 bytes |
Hier der 2. Scan File name: _8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe Submission date: 2010-10-05 09:38:48 (UTC) Current status: finished Result: 0/ 43 (0.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.10.05.00 2010.10.04 - AntiVir 7.10.12.119 2010.10.05 - Antiy-AVL 2.0.3.7 2010.10.05 - Authentium 5.2.0.5 2010.10.05 - Avast 4.8.1351.0 2010.10.04 - Avast5 5.0.594.0 2010.10.04 - AVG 9.0.0.851 2010.10.04 - BitDefender 7.2 2010.10.05 - CAT-QuickHeal 11.00 2010.10.05 - ClamAV 0.96.2.0-git 2010.10.05 - Comodo 6285 2010.10.05 - DrWeb 5.0.2.03300 2010.10.05 - Emsisoft 5.0.0.50 2010.10.05 - eSafe 7.0.17.0 2010.10.03 - eTrust-Vet 36.1.7892 2010.10.04 - F-Prot 4.6.2.117 2010.10.04 - F-Secure 9.0.15370.0 2010.10.05 - Fortinet 4.2.249.0 2010.10.05 - GData 21 2010.10.05 - Ikarus T3.1.1.90.0 2010.10.05 - Jiangmin 13.0.900 2010.10.03 - K7AntiVirus 9.63.2672 2010.10.04 - Kaspersky 7.0.0.125 2010.10.05 - McAfee 5.400.0.1158 2010.10.05 - McAfee-GW-Edition 2010.1C 2010.10.05 - Microsoft 1.6201 2010.10.05 - NOD32 5503 2010.10.04 - Norman 6.06.07 2010.10.04 - nProtect 2010-10-05.01 2010.10.05 - Panda 10.0.2.7 2010.10.04 - PCTools 7.0.3.5 2010.10.02 - Prevx 3.0 2010.10.05 - Rising 22.67.02.07 2010.09.30 - Sophos 4.58.0 2010.10.05 - Sunbelt 6985 2010.10.05 - SUPERAntiSpyware 4.40.0.1006 2010.10.05 - Symantec 20101.2.0.161 2010.10.05 - TheHacker 6.7.0.1.048 2010.10.04 - TrendMicro 9.120.0.1004 2010.10.05 - TrendMicro-HouseCall 9.120.0.1004 2010.10.05 - VBA32 3.12.14.1 2010.10.04 - ViRobot 2010.10.4.4074 2010.10.05 - VirusBuster 12.67.2.0 2010.10.04 - Additional information Show all MD5 : 46845c2fe4ea63f2b20a6dda8dc6848e SHA1 : 5fd458b598c13bb3fd09121525f8036a6aa0809b SHA256: ee45eda4fd375d11d5c2695dd575c1e859eb5bc1149dc72fbdeb98342777b4cd ssdeep: 384:mQMvVx9fzmlTUBWEYHyyFErh6oZNhRs8KDam4KDSxQNKDl:mDX+THycqh6opRx File size : 40960 bytes First seen: 2010-10-05 09:38:48 Last seen : 2010-10-05 09:38:48 TrID: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned PEiD: Armadillo v1.71 PEInfo: PE structure information [[ basic data ]] entrypointaddress: 0x1010 timedatestamp....: 0x36C49DD3 (Fri Feb 12 21:32:03 1999) machinetype......: 0x14c (I386) [[ 4 section(s) ]] name, viradd, virsiz, rawdsiz, ntropy, md5 .text, 0x1000, 0x288E, 0x3000, 5.91, 5c750246800ed8cf9f2a2a31395672ec .rdata, 0x4000, 0x736, 0x1000, 3.01, 0081f7ef1a173dc3908c7477e1f91b23 .data, 0x5000, 0x9BC, 0x1000, 0.87, 5dd0366f742b8f20fd3b8ef03763cab4 .rsrc, 0x6000, 0x4000, 0x4000, 3.90, d1c810024cc5915c0ee715a62670d090 [[ 1 import(s) ]] KERNEL32.dll: VirtualFree, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, GetModuleHandleA, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ExifTool: file metadata CodeSize: 12288 EntryPoint: 0x1010 FileSize: 40 kB FileType: Win32 EXE ImageVersion: 0.0 InitializedDataSize: 24576 LinkerVersion: 6.0 MIMEType: application/octet-stream MachineType: Intel 386 or later, and compatibles OSVersion: 4.0 PEType: PE32 Subsystem: Windows GUI SubsystemVersion: 4.0 TimeStamp: 1999:02:12 22:32:03+01:00 UninitializedDataSize: 0 |
Die WinXP Datei, kann ich nicht zum Virustotal Server hochladen, der upload wird immer abgebrochen. Den Fix für OTL habe ich durchgeführt, hier das Protokoll nach Neustart: All processes killed ========== OTL ========== Service wuauserv stopped successfully! Service wuauserv deleted successfully! File C:\WINDOWS\system32\wuauserv.dll not found. Service HidServ stopped successfully! Service HidServ deleted successfully! File C:\WINXP\System32\hidserv.dll not found. Service MDM stopped successfully! Service MDM deleted successfully! C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: The Secret ->Temp folder emptied: 6329 bytes ->Temporary Internet Files folder emptied: 328041 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 46188798 bytes ->Flash cache emptied: 632 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 47,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10052010_130248 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Hi, was treibt der Rechner, noch upoload da? Sonst prüfe mal mit TCPView wohin die ganzen Daten gehen... TCPView Anzeige der vom Rechner aufgebauten Internetverbindungen mit Status, Zieladresse etc. Lege ein Verzeichnis an, entpacke die Dateien in das Verzeichnis und starte dann die tcpview.exe. Copyright und Co abnicken. Das Log kann unter "File", "Save as.." abgespeichert werden, in den Editor laden abkopieren und hier posten. Download: http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx Anleitung: Sysinternals ? die besten Utilities (3): TCPView IT-techBlog: Home of MobileTech chris |
Hi Chris, Cure it habe ich mittlerweile runtergeladen (hat über 2h gedauert) und werd ich jetzt anschmeißen. Vielen Dank schonmal für Deine Hilfe. Hier die logdatei von tcp view: [System Process] 0 TCP THESECRET 1286 localhost 1561 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1569 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1557 TIME_WAIT [System Process] 0 TCP THESECRET 1549 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1525 TIME_WAIT [System Process] 0 TCP THESECRET 1541 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1543 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1555 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1559 TIME_WAIT [System Process] 0 TCP THESECRET 1523 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1547 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1539 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1571 TIME_WAIT [System Process] 0 TCP THESECRET 1515 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1511 localhost 1286 TIME_WAIT [System Process] 0 TCP THESECRET 1286 localhost 1551 TIME_WAIT [System Process] 0 TCP thesecret 1544 a92-123-68-25.deploy.akamaitechnologies.com http TIME_WAIT alg.exe 1796 TCP THESECRET 1030 THESECRET 0 LISTENING firefox.exe 1828 TCP THESECRET 1286 localhost 1573 ESTABLISHED firefox.exe 1828 TCP THESECRET 1282 localhost 1281 ESTABLISHED 4 4 firefox.exe 1828 TCP THESECRET 1573 localhost 1286 ESTABLISHED firefox.exe 1828 TCP THESECRET 1281 localhost 1282 ESTABLISHED 4 4 firefox.exe 1828 TCP thesecret 1576 mu-in-f102.1e100.net http ESTABLISHED firefox.exe 1828 TCP THESECRET 1286 localhost 1575 ESTABLISHED firefox.exe 1828 TCP THESECRET 1285 localhost 1284 ESTABLISHED firefox.exe 1828 TCP THESECRET 1284 localhost 1285 ESTABLISHED firefox.exe 1828 TCP THESECRET 1575 localhost 1286 ESTABLISHED firefox.exe 1828 TCP thesecret 1574 mu-in-f102.1e100.net http ESTABLISHED firefox.exe 1828 TCP THESECRET 1286 THESECRET 0 LISTENING jqs.exe 1268 TCP THESECRET 5152 localhost 1436 CLOSE_WAIT jqs.exe 1268 TCP THESECRET 5152 THESECRET 0 LISTENING lsass.exe 980 UDP THESECRET isakmp * * lsass.exe 980 UDP THESECRET 4500 * * svchost.exe 1432 TCP THESECRET epmap THESECRET 0 LISTENING svchost.exe 1672 UDP thesecret 1900 * * svchost.exe 1672 UDP THESECRET 1900 * * System 4 TCP THESECRET microsoft-ds THESECRET 0 LISTENING System 4 TCP thesecret netbios-ssn THESECRET 0 LISTENING System 4 UDP thesecret netbios-dgm * * System 4 UDP thesecret netbios-ns * * System 4 UDP THESECRET microsoft-ds * * |
Hab nochmal versucht die WINXP Datei hoch zu laden - wieder abgebrochen mit der Meldung: Bad Gateway |
So, hier der Log mit den infizierten Dateien von DrWeb: ComboFix.exe\32788R22FWJFW\List-C.bat C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe Wahrscheinlich BATCH.Virus ComboFix.exe C:\Dokumente und Einstellungen\All Users\Desktop Archiv enth?lt infizierte Objekte OTL.exe C:\Dokumente und Einstellungen\The Secret\Desktop Trojan.Siggen2.4953 OTL.exe C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools Trojan.Siggen2.4953 TFC.exe C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools Trojan.DownLoader1.26252 A0008764.bat C:\System Volume Information\_restore{8BB60A11-9DED-4CAF-B4B0-7D2DC0F04DBF}\RP38 Wahrscheinlich BATCH.Virus Ich bin jetzt wahrscheinlich bis morgen Abend / nacht Offline. Vielen Dank auf jeden Fall schon mal Klaus |
Hi, im TCP-Log sehe ich nichts aussergewöhnliches... Das OTL / CF asl "Malware" erkannt werden ist üblich, die setzten auch in etwa die gleichen Mittel ein (ist wie im Krieg, der Gegner in Rüstung und Schwert wird ja auch nicht mit einer Feder zu tote gekitzelt ;o)... Was macht der Rechner? chris |
Hi Chris, so wie ich das im Moment sehe, läuft wieder alles normal. Bin jetzt dabei, die Firewall etc. wieder zu installieren und die updates runter zu laden - schein zu laufen. Vielen Dank Klaus:party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board