Trojaner-Board - NOD32 hat Win32/Adware.UCmore und Win32/ServU-Daemon auf E: gefunden!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - NOD32 hat Win32/Adware.UCmore und Win32/ServU-Daemon auf E: gefunden! (https://www.trojaner-board.de/28530-nod32-hat-win32-adware-ucmore-win32-servu-daemon-e-gefunden.html)

NOD32 hat Win32/Adware.UCmore und Win32/ServU-Daemon auf E: gefunden!

Guten Morgen.

Gerade ist mein NOD32 mit dem Scannen fertig geworden, nur was ich dann in der Log gefunde habe find ich nicht gerade prickelnt.
Einmal Win32/Adware.UCmore und Win32/ServU-Daemon jeweils auf E:

Zitat:

E:\System Volume Information\_restore{6012B17B-B6DF-46BA-98B3-B306C646DAB4}\RP201\A0038964.exe »NSIS »UCmoreIEx.EXE »WISE »IUCmore.dll - Win32/Adware.UCmore Anwendung
E:\System Volume Information\_restore{6012B17B-B6DF-46BA-98B3-B306C646DAB4}\RP201\A0038964.exe »NSIS »UCmoreIEx.EXE »WISE »IUCmore.dll - Win32/Adware.UCmore Anwendung
E:\System Volume Information\_restore{935A2F03-A31B-479A-B2A8-A6BCA5AE487A}\RP80\A0006469.exe »ZIP »SERVUDAEMON.EXE - eine Variante von Win32/ServU-Daemon Anwendung
E:\System Volume Information\_restore{935A2F03-A31B-479A-B2A8-A6BCA5AE487A}\RP80\A0006471.exe »ZIP »SERVUDAEMON.EXE - eine Variante von Win32/ServU-Daemon Anwendung

So, da ich aber keinen Serv-U installiert habe bin ich natürlich ratlos wie der da hingekommen sein soll... :/

Weiter unten findet ihr noch eine aktuelle hijackthis Log bevor hier danach gefragt wird.

Mal zu den Dateien selbst:

Win32/Adware.UCmore > A0038964.exe
Erstellt: 02.01.2005 17:31
Beschreibung: steht nüx da
Größe: 1,27MB

Win32/ServU-Daemon > A0006469.exe
Erstellt: 02.01.2005 16:51
Beschreibung: Serv-U 5.x installer
Firma: Cat Soft
Dateiversion: 5.0.0.0
Größe: 3,72MB

Win32/ServU-Daemon > A0006471.exe
Erstellt: 02.01.2005 16:51
Beschreibung: Serv-U 5.x installer
Firma: Cat Soft
Dateiversion: 5.0.0.0
Größe: 3,72MB

So, hoffe das hilft ein wenig weiter.

Und noch was, ebend als ich auf die Win32/Adware.UCmore > A0038964.exe mit rechtsklick/Eigenschaften bin, sprang mir NOD32 aufen Moni und sagte Bedrohung entdeckt.

Zitat:

Datei: E:\System Volume Information\_restore{6012B17B-B6DF-46BA-98B3-B306C646DAB4}\RP201\A0038964.exe Win32/Adware.UCmore
Anwendung: Unter Quarantäne gestellt. - gelöscht
Versuch Datei zu erstellen durch: C:\WINDOWS\Explorer.EXE. Die Datei wurde in die Quarantäne verschoben.

Nun noch die hijackthis.log

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 03:22:57, on 18.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\phantom\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ich hoffe das euch die Informationen reichen und ihr damit etwas anfangen könntet um mir zu helfen :(

MfG phantom

Serv-U ist ein FTP-Server!
Womöglich ist der auch bei Dir noch aktiv, obwohl offensichtllich keine Schädlinge aus dem Logfile ersichtlich sind - das heißt aber noch lange nichts! Die Einträge in dem Ordner ...restore sind anscheinend mit Serv-U belastet. In diesem Ordner werden XP-Wiederherstellungsrelevante gelagert. Wenn Du die Systemwiederherstellung komplett deaktivierst, werden auch die darin befindlichen Dateien gelöscht. Das ist ratsam die zu deaktivieren, besonders bei womöglichem Schädlingsbefall.

Lad Dir mal bitte tcpview. Starte es, erstell ein Logfile und poste es.

Hi und danke für die schnelle Antwort.
Habe mal TCPView eine log erstellen lassen.

Zitat:

firefox.exe:3408 TCP cyber:2835 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:2836 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:2837 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:2838 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:4735 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:4734 cyber:0 LISTENING
firefox.exe:3408 TCP cyber:4734 localhost:4735 ESTABLISHED
firefox.exe:3408 TCP cyber:4735 localhost:4734 ESTABLISHED
firefox.exe:3408 TCP cyber:2835 66-193-254-46.gen.twtelecom.net:http ESTABLISHED
firefox.exe:3408 TCP cyber:2836 66-193-254-46.gen.twtelecom.net:http ESTABLISHED
firefox.exe:3408 TCP cyber:2837 66-193-254-46.gen.twtelecom.net:http ESTABLISHED
firefox.exe:3408 TCP cyber:2838 66-193-254-46.gen.twtelecom.net:http ESTABLISHED
firefox.exe:3408 UDP cyber:2566 *:*
ICQLite.exe:4004 TCP cyber:2857 cyber:0 LISTENING
ICQLite.exe:4004 TCP cyber:1609 cyber:0 LISTENING
ICQLite.exe:4004 TCP cyber:2857 bos-m020c.blue.aol.com:5190 ESTABLISHED
ICQLite.exe:4004 UDP cyber:1608 *:*
lsass.exe:608 UDP cyber:isakmp *:*
lsass.exe:608 UDP cyber:4500 *:*
mirc.exe:3624 TCP cyber:1664 cyber:0 LISTENING
mirc.exe:3624 TCP cyber:1664 eclipse.p2p-irc.net:6697 ESTABLISHED
oodag.exe:1672 TCP cyber:50300 cyber:0 LISTENING
svchost.exe:776 TCP cyber:epmap cyber:0 LISTENING
svchost.exe:828 TCP cyber:1025 cyber:0 LISTENING
svchost.exe:828 UDP cyber:ntp *:*
svchost.exe:828 UDP cyber:1029 *:*
svchost.exe:828 UDP cyber:ntp *:*
svchost.exe:920 UDP cyber:1040 *:*
svchost.exe:920 UDP cyber:1262 *:*
svchost.exe:920 UDP cyber:1318 *:*
svchost.exe:920 UDP cyber:1754 *:*
svchost.exe:920 UDP cyber:1755 *:*
svchost.exe:920 UDP cyber:3551 *:*
svchost.exe:920 UDP cyber:3554 *:*
svchost.exe:920 UDP cyber:3555 *:*
svchost.exe:984 TCP cyber:2822 cyber:0 LISTENING
svchost.exe:984 TCP cyber:2823 cyber:0 LISTENING
svchost.exe:984 TCP cyber:5000 cyber:0 LISTENING
svchost.exe:984 TCP cyber:2822 192.168.0.1:49153 CLOSE_WAIT
svchost.exe:984 TCP cyber:2823 192.168.0.1:49153 CLOSE_WAIT
svchost.exe:984 UDP cyber:1900 *:*
svchost.exe:984 UDP cyber:1900 *:*
System:4 TCP cyber:microsoft-ds cyber:0 LISTENING
System:4 TCP cyber:1042 cyber:0 LISTENING
System:4 UDP cyber:microsoft-ds *:*

Hoffe hilft weiter.

Mal eine Frage zu der XP Wiederherstellung.
Kann ich die ohne bedenken ausschalten oder wird die zu irgend etwas besonderem gebraucht?
Denn wenn nicht ist WinXP nicht gerade besonders schlau, meine wegen den ganzen Dateien die da gespeichert sind. (Verschwendeter Speicher)

MfG phantom

Zitat:

mirc.exe:3624 TCP cyber:1664 cyber:0 LISTENING
mirc.exe:3624 TCP cyber:1664 eclipse.p2p-irc.net:6697 ESTABLISHED

Hast Du mIRC _bewusst_ geöffnet?

Die XP-Systemwiederherstellung ist imho verschwendeter Speicher und immer wieder für Ärgernisse verantwortlich, z.B. wenn wieder (angebliche) Schädlinge in dem Verzeichnis gefunden werden, wo WinXP seine Daten für die Systemwiederherstellung bereithält.
Abgesehen davon ist sie kein Ersatz für ein Backup auf externen Datenträgern!
Ich würde sie auf jeden Fall deaktivieren.

Jop, mIRC ist sogar _sehr bewusst_ geöffnet ;)

Werd mal die Wiederherstellung ausschalten und dann nochmal auf E: scannen, mal sehen was er diesmal sagt.

Aber schonmal danke für deine Hilfe.

MfG phantom

Sorry, dass ich sogleich vermute, dass Dein Rechner versaut ist, aber sobald Serv-U im Zusammenhang mit "ungewollt" auftritt, schrillen bei mir zumindest alle Alarmglocken.

Zitat:

Zitat von phantom00

Du kannst auch sogleich einen Scan - nat. alles sicherheitshalber - mit dem Rootkit Revealer starten und das Logfile posten.
Es sollte klar sein, dass auch der RR nicht alles erkennt, aber wenn bestimmte Sachen erkannt werden kann man Rückschlüsse ziehen. ;)

Hmm... hab gerade die Wiederherstellung deaktiviert.
NOD32 nochmal scannen lassen und er hat NICHTS gefunden :)

Hatte zwischenzeitlich auch mal a-squared laufen, der hat auch net gemeckert.
Scheint also an der Wiederherstellung vom XP gelegen zu haben.

Somit ist das problem gelöst und ich kann endlich pennen gehen, obwohl für die 1std. -.-

Naja, wurst.
Also danke nochmal für die schnelle Hilfe und gn8 ;)

MfG phantom