Ungewollte Ordnerflut
 

Kann jemand diese Ordnerflut hier erklären, lauter ungewollte Ordner, diese
erstellen sich immer wieder neu und zwar im Bereich von Eigene Dateien,
Programme, Windows, System32. Vor allem woher kommen Ordner wie Oracle oder Symantec? Habe absolut ZERO davon auf meinem System!°!!

http://i3.tinypic.com/11h8etf.png

Poste ein Hijackthis-Logfile.

ogfile of HijackThis v1.99.1
Scan saved at 18:30:10, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\SpyBro\SpyBro.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe
c:\programme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Rkdetector2.exe
C:\Programme\DAP\DAP.exe
C:\RootkitRevealer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tcpview.exe
C:\WINDOWS\regedit.exe
C:\Filemon.exe
C:\Dokumente und Einstellungen\TEST\Eigene Dateien\My Completed Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148577407671
O17 - HKLM\System\CCS\Services\Tcpip\..\{541D5D69-DCE9-4099-9D41-3731C8E4B0FA}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FDE094F-C102-474F-B08B-D475A2071297}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VKCD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\TEST\LOKALE~1\Temp\VKCD.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Da sind ein paar seltsame Einträge drin. Wie ich sehe hast Du schon mal mit dem Rootkit Revealer gescannt. Hat der komische Einträge angezeigt?
Mach bitte einen Check mit eScan und poste das gefilterte Log, das Du mit der FIND.BAT erstellt hast.

http://i3.tinypic.com/11hcqip.png

Das ist komisch ?? anstatt Buchstaben, aber im Explorer werden Buchstaben angezeigt.

EScan findet zero.

RKRevealer zeigt das:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 03.06.2006 19:11 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
C: 01.01.1601 02:00 0 bytes Error mounting volume

Hallo,
sollte eine neue Variante von Purityscan sein. Du solltest dich schonmal mit dem Gedanken einer Neuinstallation abfinden.
Es ist erstaunlich bis beunruhigend, dass man im HijackThis Log nichts sieht. Poste mal ein Log von Silentrunners.
Findet F-Secure Blacklight bei dir etwas?


Grüße Wildone

Naja vielleicht liegt es daran, daß der Kernel im Laufenden System verändert wurde. Siehe hier:

http://i3.tinypic.com/11hf9zk.png

Hier liegt auch ein Problem, daß ich schon lange vermutet habe:

http://i3.tinypic.com/11hfcye.png

Die Hashwerte bleiben immer gleich nur die Buchstabenvariation ändert sich. 16 KB Temp Datei

Kurzer Ausschnitt des Inhalts der Temp Datei, die sich nicht löschen läßt:

ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ¤** ™™fÿÿÌ™™–––ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÝÝÝBBB 33™ÌÌUUU333ÝÝÝÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ™™™999†††ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿãããMMM999ãããÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿããã¤**ÝÝÝÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿú ñìôäØòÞÎðÙÆîÓ½ëδéȪèƧøïçéøøEàòæû*¼"*V©AdÚ9EË9?Ä/7À"6¿
:‹?"2¯3³7µ.f:).œ.1*-/�,/”$v
$WÓé™«‡ïþÿÿÿ þþýüð鶢”àÓ¿ùñëôäØòßÏðÙÆîÓ½ìδéÈ«õåÙüúøüúøfæõ)ãò çüjv
%J
'Z9�'>µ4;³Š§ ÷ü8d O0¹ªà
ìð;_9`)•$*Ž M
¤¸
âñP›«Á÷ÿÿÿÿ þþýüïè°�ŽÝÒÀùðêõäÙòßÐðÙÇîÔ¾ìεóãÓüúøüúøüúøÌô÷râìë÷ èü½Ïy‘)�¡*¡ÁÎ èü êü§Ì2·JÆ çü èü êü†�$t• o�”¦ Üï ïü%¦³¹öÿùþÿÿÿÿ þþýüìä©•…ÛÐÀùðêõäÚóßÐðÚÈîÔ¿òàÏüúøüúøüúøüúøüúøšéï„æçàã øü èü ëü éü îüñò °æ-dÏ7=Å(9ÂsÒ±å ÷ü çü êü çü ðü ÿü*½ÑÍêñÔùÿÿÿÿÿÿÿ þþýüéଘ†ÛÑÀùðëõåÚóàÑðÚÈñÜÊû÷ôüúøüúøüúøüúøüúøèõò¿èå{{l$�‰#Èîàú ùü¶ÅIyÝUwÜ>MÌ>HÇ7@Å0:Ä19ÀZÊæø ÷üŸµzš>t¸¥®ÌÐñøÿÿÿÿÿÿÿÿÿ þþýüé஘†ÛÑÀúðëõæÛóàÒòÝËûøõüúøüúøüúøüúøüúøüúøüùõèÇ£¯šg#90p—ëú
ìñAsByäGlÝH`ÖGWÐDKÊAEÅ;>Å6ÂwÖ ÷üœµ>Pb¥Øäêýýþÿÿÿÿÿÿÿÿÿ

Im Suchmodus mit Google habe ich eine tschechiche Seite entdeckt.

Nein Blacklight findet nichts.

Hallo,
da ist sehr wahrscheinlich ein ganz neues (Kernel)Rootkit bei der Arbeit. Damit sollte das Schicksaal deines Systems endgültig besiegelt sein. Trotzdem wäre es interessant ob Blacklight etwas findet.
Sieht wirklich nach ordentlich fieser Malware aus.

Edit
Wenn Blacklight auch nichts findet bin ich da eigentlich mit meinem Latein schon am Ende. Aber wie gesagt die Konsequenz (Neuaufsetzen)sollte klar sein.
Ev. würde das ganze Sabina von board.protcus noch sehr interessant finden, und dir ev. auch noch mehr über die Malware sagen können.


Grüße Wildone

Ja, habe mir gedacht, daß da was ganz Neues am Werk ist, das Fiese an der Sache ist, daß der Kerneldriver im Temp Verzeichnis sitzt und sich immer wieder neu generiert.

Der Kernelhook bei 7c8000000 könnte u.a durch eine sogenannte mc21.tmp Datei im temporären Verzeichnis erzeugt werden, diese ist bei Adresse F7A8B000, diese ist aber so nicht sichtbar. Nebenbei wird auch die user32.dll durch ieframe.dll gehooked.

Noch eine Frage Wildone, wie kamst du darauf, daß es eine Variante von diesem sog. (mir unbekannten) Purityscan sein könnte?

Hallo,
das ist der einzige mir bekannte Trojaner der mit diesen "Fragezeichen" arbeitet, die im Explorer als normale Zeichen zu sehen sind. Siehe Beschreibung von Sabina (ein wenig nach unten scrawlen).
Kann aber natürlich sein das mittlerweile auch andere Malware mit dieser Technik arbeitet, aber die Ordnernamen usw. lassen schon auf eine Artverwandschaft schließen.
Falls du noch einen Thread bei board.protecus eröffnest kannst du mal den Link posten, würde mich schon interessieren was Sabina dazu meint.


Grüße Wildone

Alles klar! Danke für die Info.

Nebenbei bemerkt Spybro.exe bezeichnet einen Haufen legitimer Dateien, darunter auch AOL, GDATA Avk Signaturdateien, also im Prinzip auch alle Dateien unter Microsoft Shared/System, Ole. uvm., im gemeinsamen Dateien Ordner als CLARIA GAIN Adware, das kann ja aber gar nicht stimmen, da es ja die legitimen Dateien von den oben genannten Programmen sind.
Es sind ca. 1100 legitime Dateien, die von Spybro.exe als CLARIA GAIN bezeichnet werden. Vielleicht ein Datei-Infektor???

Hallo,
glaube ich nicht. Erfahrungsgemäß werden auch neue Ordner unter diesem Pfad erzeugt, kann aber auch einfach sein das sich Spybro täuscht, ich bin mir der Seriösität dieses Programms sowieso nicht besonders sicher. Falls es dich noch interessiert kannst du es mal z.B. mit Ewido bestätigen lassen.


Grüße Wildone

Ewido findet bei mir eigentlich nie was, es kommt ja nahe an Kaspersky ran von der Leistung, aber auch KAV findet nichts. Am besten sind zur Zeit eh Bit Defender und NOD32.

Beim Rescan jetzt hat Spybro nichts mehr gefunden, allerdings bei System Start bezeichnet es immer z.B. die Signaturdateien von GDATA als Claria.Gain Adware.

Hallo,
sollte zwar nicht passieren, aber kommt schonmal vor, dass sich Malwarescanner gegenseitig als Trojaner bezeichnen.


Grüße Wildone

Mache halt Bitte noch ein mal einen Scan mit Ewido, und du kanst mal einen onlinescan von a² in betracht ziehen, den Link dazu: http://www.emsisoft.de/de/software/ax/

THN

Hallo,
also Escan halte ich für überflüssig, erstens wird der auch kein neues Rootkit entdecken und zweitens arbeitet das Programm mit Kasperskysignaturen, mit denen das System ja ohnehin schon überprüft wurde. Ob jetzt asquared auch noch drüber laufen muss, nunja...


Edit
Sorry, habe mich verlesen, habe statt Ewido Escan gelesen, vergesst einfach alles was oben steht, ich klinke mich für heute mal aus.



Grüße Wildone

War halt nur ein Versuch von mir...

THN

Mich würde mal interessiereren, was ein sauberes System anzeigt auf diesem Datenträger. Hast Du zufällig ein (sauberes) BartPE oder Knoppix zur Hand?

Ja, ich habe auch parallel installierte Windows Versionen, aber hauptsächlich alte backups, die dann evtl. auch schon belastet sind.

Ich installier erstmal Gdata neu und schau ob der was findet.

Nebenbei, weiß jemand ob diese Registry Keys normal in jedem Windows sind?

HKCR\Interface
{50EA08B0-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B1-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B2-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B3-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B4-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B5-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B6-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B7-DD1B-4664-9A50-C2F40F4BD79A}
{50EA08B8-DD1B-4664-9A50-C2F40F4BD79A}
... bis {50EA08BE-DD1B-4664-9A50-C2F40F4BD79A}

Würde mich mal interessieren, ob die bei euch überall drin sind und dann würde mich interessieren, ob diese auch bei euch drin sind:

HKCR\Interface\
{BEF6E003-A874-101A-8BBA-00AA00300CAB}
{4EF6100A-AF88-11D0-9846-00C04FC29993}
{7BF80981-BF32-101A-8BBB-00AA00300CAB}

HKEY_CLASSES_ROOT\TypeLib\{00020430-0000-0000-C000-000000000046}

Diese erstellen sich immer wieder neu, wenn man sie löscht, ist das normal?

Übrigens die mc21.tmp hat 71 KB, verdächtige Größe.

Dann wäre es noch interessant zu wissen, ob dieser Schlüssel in jedem Windows XP standardmäßig erzeugt wird {E6FB5E20-DE35-11CF-9C87-00AA005127ED} ??

Cosinus die Frage ist, ob ich es schaffe mit dieser Hardware ein sauberes System zu erzeugen. Mit einem nagelneuen Rechner und Bios Protection wäre das echt Wert, aber auf der Kiste hier, ist es echt fraglich.

So ausm Stehgreif weißt ich nicht, für was diese Reg-Werte gut sind.
Wieso neue Hardware? Mach die Systempartitionen flach und formatiere, deine parallel installierten Windows-Versionen können evtl. ja auch befallen sein, solltest Du aber mal prüfen.
Ansonsten Tabula Rasa mit DBAN, gesamte Platte (im schnellen) Modus überschreiben.

Dein Tool DBan kann ich schon mal nicht benutzen, der Floppy bootloader ist kaputt, seit ca. 4 Monaten. D.h. dias Floppy Laufwerk geht zwar, aber wird nicht mehr richtig wahrgenommen, weil 2 Floppies im Bios registriert sind, aber nur eines tatsächlich da ist, seitdem, geht die Floppy Erkennung auf dem System nicht mehr und Bios Flash nutzte auch nix, da der Teil, der defekt ist nicht überschrieben wird, evtl. war das auch die Software Deep Freeze, die ich damals getestet hatte und manuell deinstallieren wollte, muß wohl ein CMOS protection besitzen, jedenfalls wird seitdem die Floppy wird nicht mehr erkannt.

Du bist einer! Es gibt von DBAN auch eine CD-Image Version!
Ich versteh den ganzen Thread nicht mehr. Du kommst von einem Problem zum anderen. Allerdings weißt Du von der Existenz von diversen Tools.
DBAN hab ich nur genannt um wirklich alles RESTLOS von der Platte löschen zu können, wenn DU Windows einfach nur neuinstallieren willst, dann boote von der entsprechenden CD.

Ja, das ist das Problem, es gibt 1000 Ecken an denen man anfangen könnte nachzuhacken, vom 100sten ins 1000ste.

Cosinus du könntest trotzdem mal kurz in deiner Registry nachschauen, ob du die von mir genannten CLSID Schlüssel auch hast, das würde schonmal helfen.

Willst mich verarschen?
Langsam reichts.
DFTT

:pfui: das sind 2-3 Handgriffe :teufel1:

Das Neuaufsetzen sind auch nur zwei oder drei Handgriffe! :pfui:
Bist vll.t Du der BiBo der Woche? :lach:
http://www.nicoles-funworld.de/windo...0bert/Bibo.jpg

Dban ist gut, allerdings hilft es gegen diesen Virus nur bedingt, zumindest bis es zur Partitionierung kommt.