Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Contact.1 alias svchost.exe (https://www.trojaner-board.de/34338-tr-contact-1-alias-svchost-exe.html)

frek 11.12.2006 11:55
TR/Contact.1 alias svchost.exe
 
hi,

ich hatte gestern ein sehr merkwürdiges Erlebnis.
Ich höre MP3s. Wundere mich warum schon 3 mal hintereinander das selbe Stück läuft. Schaue in die Playlist. Merke das die Verweise zu den restlichen Dateien nicht mehr existent sind. Schaue auf der Festplatte nach. Merke das meine MP3-Sammlung bis auf die Hälfte dezimiert ist. 8o
Schmeiß sofort AntiVir an. Weil ich vermute das es ein Virus ist. Lese im Netz dann, dass es sich auch um einen Hackerangriff handelt könnte.

MP3Werk.de - MP3 DATEIEN VERSCHWINDEN EINFACH VOM RECHNER - mp3werk.de Forum
http://www.winfuture-forum.de/lofive...hp?t39435.html

Woraufhin ich Wireshark anschmeiße. Daraufhin fährt sich der PC von Geisterhand einfach herunter. Was war das bwz. wie kann ich mich davor schützen?
Heute hab ich meinen PC etwas gründlicher unter die Lupe genommen.
Wobei ich herausgefunden habe, dass folgende Dateien infiziert sind:

edit: svchost.exe (TR/Contact.1)
edit: smss.exe (Backdoor)
edit: csrss.exe (Backdoor)

Die infiziert svchost befand sich auch anstatt in "%SystemRoot%\System32"
in dem Pfad: "C:\WINNT\AppPatch\Patches32".
Ich möchte erwähnen, dass ich nichts mit p2p zutun habe und ich den Wurm "W32/Nopir.B" nicht auf meiner Festplatte hatte. Zweitens trifft die folgende Tatsache nicht zu.

Zitat:
Um sich zu schützen, sperrt Nopir.B den Zugriff auf die Systemsteuerung und deaktiviert den Task-Manager sowie die Registrierungs-Tools.
Konnte beides noch nutzen. Allerdings könnte es natürlich einen vergleichbaren Wurm, Virus geben.

Ich füge anliegend ein "HiJackThis Log-File" bei. Ein "eScan - Virus Log" werde ich in den kommenden Stunde beifügen. Als Anmerkung, ich befand mich zum gestrigen Zeitpunkt im IRC. Ich hoffe ihr könnt mir weiterhelfen. Danke im voraus.

Lg frek

Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:51:33, on 10.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\WINNT\System32\svchost.exe
C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\NMapWin\bin\nmapserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\diogenes\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\jpf.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Entwicklungsumgebung\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Jetico Personal Firewall server - Jetico, Inc. - C:\Programme\Jetico\Jetico Personal Firewall\jpfsrv.exe
O23 - Service: mysql - Unknown owner - C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

frek 11.12.2006 20:10
Kein Edit mehr möglich, sorry. :heulen:

So, 6 Stunden später und einen Haufen Nerven weniger.
E-Scan ist fertig und hat doch noch so einges zu Tage gefördert. Hätte ich nicht gedacht. E-Scan hat aber auch meine pstools und nc verschwinden lassen.
Zweitens, ich werde nie mehr cracktros von defacto herunterladen.
Das Log-File sowie eine Auswertung der momentanen svchost-Dateien, mit tlist, findet ihr im Anhang.
Drittens. Die Löschung der MP3s könnte nach reichlicher Überlegung auch selbstverschuldet sein. Fragt mich bloß nicht wie, peinlich, peinlich. :D
Nichtsdestotrotz hat die Tatsache dazu geführt, dass ich herausgefunden habe, dass ich TR/Contact.1 auf dem Rechner habe. (Was für ein Satz :huepp: ) Wer kennt diesen Virus eigentlich? Habe keinerlei Informationen dazu im Netz gefunden. Werde mich heute noch mit AntiVir in Kontakt setzen. Mal schauen, was die dazu sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131