Ungewollte Ordnerflut
 

Kann jemand diese Ordnerflut hier erklären, lauter ungewollte Ordner, diese
erstellen sich immer wieder neu und zwar im Bereich von Eigene Dateien,
Programme, Windows, System32. Vor allem woher kommen Ordner wie Oracle oder Symantec? Habe absolut ZERO davon auf meinem System!°!!

http://i3.tinypic.com/11h8etf.png

Poste ein Hijackthis-Logfile.

ogfile of HijackThis v1.99.1
Scan saved at 18:30:10, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\SpyBro\SpyBro.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe
c:\programme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Rkdetector2.exe
C:\Programme\DAP\DAP.exe
C:\RootkitRevealer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tcpview.exe
C:\WINDOWS\regedit.exe
C:\Filemon.exe
C:\Dokumente und Einstellungen\TEST\Eigene Dateien\My Completed Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148577407671
O17 - HKLM\System\CCS\Services\Tcpip\..\{541D5D69-DCE9-4099-9D41-3731C8E4B0FA}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FDE094F-C102-474F-B08B-D475A2071297}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VKCD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\TEST\LOKALE~1\Temp\VKCD.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Da sind ein paar seltsame Einträge drin. Wie ich sehe hast Du schon mal mit dem Rootkit Revealer gescannt. Hat der komische Einträge angezeigt?
Mach bitte einen Check mit eScan und poste das gefilterte Log, das Du mit der FIND.BAT erstellt hast.

http://i3.tinypic.com/11hcqip.png

Das ist komisch ?? anstatt Buchstaben, aber im Explorer werden Buchstaben angezeigt.

EScan findet zero.

RKRevealer zeigt das:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 03.06.2006 19:11 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
C: 01.01.1601 02:00 0 bytes Error mounting volume

Hallo,
sollte eine neue Variante von Purityscan sein. Du solltest dich schonmal mit dem Gedanken einer Neuinstallation abfinden.
Es ist erstaunlich bis beunruhigend, dass man im HijackThis Log nichts sieht. Poste mal ein Log von Silentrunners.
Findet F-Secure Blacklight bei dir etwas?


Grüße Wildone

Naja vielleicht liegt es daran, daß der Kernel im Laufenden System verändert wurde. Siehe hier:

http://i3.tinypic.com/11hf9zk.png

Hier liegt auch ein Problem, daß ich schon lange vermutet habe:

http://i3.tinypic.com/11hfcye.png

Die Hashwerte bleiben immer gleich nur die Buchstabenvariation ändert sich. 16 KB Temp Datei

Kurzer Ausschnitt des Inhalts der Temp Datei, die sich nicht löschen läßt:

ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ¤** ™™fÿÿÌ™™–––ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÝÝÝBBB 33™ÌÌUUU333ÝÝÝÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ™™™999†††ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿãããMMM999ãããÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿããã¤**ÝÝÝÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿú ñìôäØòÞÎðÙÆîÓ½ëδéȪèƧøïçéøøEàòæû*¼"*V©AdÚ9EË9?Ä/7À"6¿
:‹?"2¯3³7µ.f:).œ.1*-/�,/”$v
$WÓé™«‡ïþÿÿÿ þþýüð鶢”àÓ¿ùñëôäØòßÏðÙÆîÓ½ìδéÈ«õåÙüúøüúøfæõ)ãò çüjv
%J
'Z9�'>µ4;³Š§ ÷ü8d O0¹ªà
ìð;_9`)•$*Ž M
¤¸
âñP›«Á÷ÿÿÿÿ þþýüïè°�ŽÝÒÀùðêõäÙòßÐðÙÇîÔ¾ìεóãÓüúøüúøüúøÌô÷râìë÷ èü½Ïy‘)�¡*¡ÁÎ èü êü§Ì2·JÆ çü èü êü†�$t• o�”¦ Üï ïü%¦³¹öÿùþÿÿÿÿ þþýüìä©•…ÛÐÀùðêõäÚóßÐðÚÈîÔ¿òàÏüúøüúøüúøüúøüúøšéï„æçàã øü èü ëü éü îüñò °æ-dÏ7=Å(9ÂsÒ±å ÷ü çü êü çü ðü ÿü*½ÑÍêñÔùÿÿÿÿÿÿÿ þþýüéଘ†ÛÑÀùðëõåÚóàÑðÚÈñÜÊû÷ôüúøüúøüúøüúøüúøèõò¿èå{{l$�‰#Èîàú ùü¶ÅIyÝUwÜ>MÌ>HÇ7@Å0:Ä19ÀZÊæø ÷üŸµzš>t¸¥®ÌÐñøÿÿÿÿÿÿÿÿÿ þþýüé஘†ÛÑÀúðëõæÛóàÒòÝËûøõüúøüúøüúøüúøüúøüúøüùõèÇ£¯šg#90p—ëú
ìñAsByäGlÝH`ÖGWÐDKÊAEÅ;>Å6ÂwÖ ÷üœµ>Pb¥Øäêýýþÿÿÿÿÿÿÿÿÿ

Im Suchmodus mit Google habe ich eine tschechiche Seite entdeckt.

Nein Blacklight findet nichts.

Hallo,
da ist sehr wahrscheinlich ein ganz neues (Kernel)Rootkit bei der Arbeit. Damit sollte das Schicksaal deines Systems endgültig besiegelt sein. Trotzdem wäre es interessant ob Blacklight etwas findet.
Sieht wirklich nach ordentlich fieser Malware aus.

Edit
Wenn Blacklight auch nichts findet bin ich da eigentlich mit meinem Latein schon am Ende. Aber wie gesagt die Konsequenz (Neuaufsetzen)sollte klar sein.
Ev. würde das ganze Sabina von board.protcus noch sehr interessant finden, und dir ev. auch noch mehr über die Malware sagen können.


Grüße Wildone

Ja, habe mir gedacht, daß da was ganz Neues am Werk ist, das Fiese an der Sache ist, daß der Kerneldriver im Temp Verzeichnis sitzt und sich immer wieder neu generiert.

Der Kernelhook bei 7c8000000 könnte u.a durch eine sogenannte mc21.tmp Datei im temporären Verzeichnis erzeugt werden, diese ist bei Adresse F7A8B000, diese ist aber so nicht sichtbar. Nebenbei wird auch die user32.dll durch ieframe.dll gehooked.

Noch eine Frage Wildone, wie kamst du darauf, daß es eine Variante von diesem sog. (mir unbekannten) Purityscan sein könnte?

Hallo,
das ist der einzige mir bekannte Trojaner der mit diesen "Fragezeichen" arbeitet, die im Explorer als normale Zeichen zu sehen sind. Siehe Beschreibung von Sabina (ein wenig nach unten scrawlen).
Kann aber natürlich sein das mittlerweile auch andere Malware mit dieser Technik arbeitet, aber die Ordnernamen usw. lassen schon auf eine Artverwandschaft schließen.
Falls du noch einen Thread bei board.protecus eröffnest kannst du mal den Link posten, würde mich schon interessieren was Sabina dazu meint.


Grüße Wildone

Alles klar! Danke für die Info.

Nebenbei bemerkt Spybro.exe bezeichnet einen Haufen legitimer Dateien, darunter auch AOL, GDATA Avk Signaturdateien, also im Prinzip auch alle Dateien unter Microsoft Shared/System, Ole. uvm., im gemeinsamen Dateien Ordner als CLARIA GAIN Adware, das kann ja aber gar nicht stimmen, da es ja die legitimen Dateien von den oben genannten Programmen sind.
Es sind ca. 1100 legitime Dateien, die von Spybro.exe als CLARIA GAIN bezeichnet werden. Vielleicht ein Datei-Infektor???

Hallo,
glaube ich nicht. Erfahrungsgemäß werden auch neue Ordner unter diesem Pfad erzeugt, kann aber auch einfach sein das sich Spybro täuscht, ich bin mir der Seriösität dieses Programms sowieso nicht besonders sicher. Falls es dich noch interessiert kannst du es mal z.B. mit Ewido bestätigen lassen.


Grüße Wildone

Ewido findet bei mir eigentlich nie was, es kommt ja nahe an Kaspersky ran von der Leistung, aber auch KAV findet nichts. Am besten sind zur Zeit eh Bit Defender und NOD32.

Beim Rescan jetzt hat Spybro nichts mehr gefunden, allerdings bei System Start bezeichnet es immer z.B. die Signaturdateien von GDATA als Claria.Gain Adware.

Hallo,
sollte zwar nicht passieren, aber kommt schonmal vor, dass sich Malwarescanner gegenseitig als Trojaner bezeichnen.


Grüße Wildone

Mache halt Bitte noch ein mal einen Scan mit Ewido, und du kanst mal einen onlinescan von a² in betracht ziehen, den Link dazu: http://www.emsisoft.de/de/software/ax/

THN