|
Verbindungsversuche explorer.exe zu checkip & besotrix Seit paar Tagen meldet meine Sygate Platinium-Firewall Verbindungsversuche von Explorer.exe zu checkip.dyndns.org (204.13.250.51 Port 80) und zu besotrix.net (208.72.168.163 Port 8081 ! ). Heute wollte auch noch der Explorer (laut Backtrace) zu mxs.mail.ru (ru !!!) auf Port 25 (SMTP !!!) verbinden. Also wenn das kein Trojaner ist ... :o Da ich beruflich auch mit Computern zu tun habe, habe ich auch schon einiges versucht. Momentan hab ich zwar paar Ideen aber irgendwie noch nichts konkretes finden können. Leider habe ich kein Image da Acronis und Norton Ghost mit meinem Raid-5 SATA irgendwie nicht funzen :( Mein McAfee Virenscanner sowie der kostenlose Panda-Onlinescann konnten nichts finden. Genauso Spybot und Ad-Aware nicht. Rootkitscanner wie Blacklight und Rootkitrevealer brachten ebenfalls kein Ergebnis ... Anbei erstmal mein Hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 18:59:57, on 16.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Sygate Firewall\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\WINDOWS\system32\SLEE503.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Razer CopperHead\razerhid.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Steganos Security Suite 6\safe.exe C:\Programme\Steganos Security Suite 6\spm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Razer CopperHead\razertra.exe C:\Programme\Razer CopperHead\razerofa.exe C:\Programme\NETGEAR\WG111T Configuration Utility\wlan111t.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Security Task Manager\TaskMan.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\J35ch1\Desktop\Administration\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [razer] C:\Programme\Razer CopperHead\razerhid.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\syglvxvrpiv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165481027156 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Firewall\smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
Hallo. :) Dein Hijacklog ist unauffällig, versuch als erstes mal folgendes: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Arbeiten mit MWAV (eScan) !!!Englische Sprache wählen!!! * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Gruß Sunny |
Meine Einschätzungen/Ergebnisse: Es gibt zwar einige unbekannte Winsock-Einträge die laut Winsock-Test (siehe Bild http://img62.imageshack.us/img62/396...ckchecksd5.jpg ) aber unbedenklich sind. Anhand des Namens würd ich auch mal sagen gehört diese DLL zu meiner Sygate Firewall. Auffällig im Security Task Manager (siehe Bild http://img256.imageshack.us/img256/192/taskcheckjr7.jpg ) sind eigentlich nur WMDM PMSP Service sowie 2x MSN Messenger. Der WMDM-Dienst ist von Microsoft und für DRM Sachen im Mediaplayer zuständig. (PS: lese grad bei Google es gibt ne Sicherheitslücke in diesem Dienst ^^). Der Messager ist im Security-Taskmanager 2 mal aufgeführt. Einmal unter C:\Programme\Messenger\msmsgs.exe und das 2. mal (auf Bild nicht sichtbar) unter C:\Programme\MSN Messenger\msnmsgr.exe. kA warum der 2 mal gestartet ist. Noch dazu von 2 verschiedenen Orten ... Neuerdings ist auch der SSDP-Suchdienst auf den Ports 1058 und 1059 aktiv ... :( Danke für eure Hilfe im Voraus ... |
Dann lass auf jeden Fall mal beide Messenger .exe Dateien auswerten. Ist zwar nur ein Versuch, aber schaden kann es auch nicht. :o Ansonsten fällt mir auch auf dem Screenshot nichts verdächtiges auf. :balla: |
Hier das Virustotal Ergebnis. Chancen stehen fast 40:60 ... :balla: http://img440.imageshack.us/img440/7...ustotaloj8.jpg Ma kucken ob meine Firewall noch funzt wenn ich mal versuche das Teil im "Abgesicherten" umzubennen ... Aber wie krieg ich die Einträge bei Erfolg aus der Registry ? Hijackthis kann keine O10 Einträge entfernen und Spybot findet nix ... :( |
Zitat:
(achte aber auf den richtigen Dateipfad!) Registrierung durchsuchen: -Erstell dir einen neuen Ordner in -> C.\Programme\Regsrch -lade dir Regserch.zip in den vorher erstellten Ordner herunter -entpacke das Programm auch in diesem Ordner -starte das Tool -> Doppelklick auf „regsrch.vbs“ und suche nun nach folgendem Namen: Zitat:
poste den Inhalt des Textfiles ab und füge ihn in einen Beitrag ein. (wurde nichts gefunden, bitte auch erwähnen!) Und danach lösch den gesamten Ordner von der Platte. Zur Not auch hiermit: Anleitung KILLBOX: Lade dir mal die Killbox, starte das Programm, klicke auf die Option -> delete on reboot und suche nun folgende Datei: (oder kopiere den Dateipfad!) Zitat:
Sunny |
Das Virustotalergebnis war übrigens für die syglvxvrpiv.dll Datei. Ein umbenennen dieser Datei hat, wie schon von mir vermutet, zur Fehlfunktion meiner Sygate Firewall geführt. Die Überprüfung des Messengers brachte kein Virus/Trojaner ... :confused: |
Also nochmal! Die Datei welche du gescannt hast war diese -> c:\windows\system32\syglvxvrpiv.dll Diese gehört aber nicht zu Sygate, oder? Beziehungsweise was heisst Fehlfunktion der Firewall, funktionierte Sygate nach dem umbenennen nicht mehr? :confused: |
Zitat:
Ja ich hatte die Datei syglvxvrpiv.dll gescannt. Nach dem Umbenennen hat meine Firewall nicht mehr gestartet und meine Netzwerkverbindung brachte eingeschränkte Connectivität. Ich hatte nun die Firewall nochmal auf einem anderen Rechner installaliert. Dort gab es allerdings keine Datei mit diesem Namen. Also doch vermutlich ein Trojaner. Also habe ich die Einträge in der Registry mit LSPFIX eintfernt und die Datei gelöscht. Firewall und Netzwerkverbindung funktionierten danach noch aber das Problem mit den Verbindungsversuchen war immer noch da !!! Also habe ich nochmal mit Onlinescanner von Bitdefender und F-Secure gescannt. In der Systemroot wurde eine Cp1041.nls Datei mit dem SpamTool.Win32.Agent.u gefunden. NAch dem löschen und Neustart war diese Datei und die Verbindungsversuche wieder da. Also habe ich mal "gegoogelt" und im Internet folgendes gefunden: SpamTool.Win32.Agent.u Als erstes ist mir in der Beschreibung der Netzwerktreiber ndis.sys ins Auge gefallen. Also diese Datei mal vorgenommen bzw. vornehmen wollen. Diese Datei lies sich weder kopierer noch zu Virustotal hochladen. Virenscanner haben diese Datei vermutlich auch übersprungen. Die ndis.sys Datei war vom 13.04.2007 und wesentlich größer als die Datei im dllcache. Außerdem gab es noch eine ndis(2).sys die genauso groß war wie die Datei im dllcache ... Also im abgesicherten Modus die ndis.sys mit der ndis(2).sys ersetzt. Und siehe da .. keine Verbindungsversuche mehr :Boogie: Allerdings läßt sich die infizierte ndis.sys Datei, welche ich in einen Quarantäne Ordner verschoben habe, immer noch nicht zu Virustotal hochladen. Naja was soll´s, ist mit Sicherheit infiziert. Spybot hat außerdem noch einen Firewall Bypass von explorer.exe in der Registry behoben ... thx 4 help @all. Keep clean guys ;) :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board