"scsiusr4" und "Win32/Diamin Trojaner"
 

Hallo,

wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn uns jemand (verständliche :)) Tipps geben könnte, die konkret auf unsere Situation anwendbar sind.

Wir haben schon sehr viel Zeit mit Googeln und dem Ausprobieren von Tipps für vermeintlich(?) ähnliche Probleme verbracht, aber nichts hat bislang geholfen...

Ein besonderes Verhalten des PCs konnten wir bislang nur einmal feststellen, als nämlich nach dem Hochfahren "wuauclt.exe" aus dem System 32 auf irgendeine Website zugreifen wollte (es war etwas der Art "blablaID.com").

Zusammenfassung des Gefundenen:

1. fand Hijackthis bei einem Routinecheck "scsiusr4" und bewertete es als böse.

Googeln ergab, dass es sich um einen Haxdoor handelt, den man mit Haxfix entfernen könnte.

Haxfix fand aber nichts und konnte somit auch nichts entfernen...

2. Haben wir alle möglichen und unmöglichen Virenscanner verwendet, die in Sicherheitsforen genannt wurden. Zunächst haben wir damit ganz normal gescannt, später dann im abgesicherten Modus (nachdem wir gelesen hatten, dass man das so machen sollte).

Die Ergebnisse waren immer unterschiedlich:

- ActiveScan fand Folgendes:

Virus:trj/haxdoor.hy Desinfiziert Betriebssytem
Spyware:Cookie/Ccbill Nicht desinfiziert
C:\Dokumente und Einstellungen\Max\Cookies\max@ccbill[1].txt
Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@fe.lea.lycos[1].txt
Spyware:Cookie/Toplist Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@toplist[1].txt
Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@xiti[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\HaxFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\process.exe

- NOD32 fand:

eine Variante von Win32/Diamin Trojaner (kein Logfile mehr vorhanden)

- cureit/DrWeb fand:

RegUBP2b-Max.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht.
A0036441.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036442.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036572.reg C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Trojan.StartPage.1505 Gelöscht.

- ScanSpyware fand:

[Haxdoor.DD]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4

[Trojan.Media-Codec]
HKEY_CURRENT_USER\SOFTWARE\SECURITY TOOLS

[WinAntivirus]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A}


- Kaspersky fand:

C:\Programme\ESET\cache\FND0.NFI Infected: Trojan.Win32.Diamin.is skipped


Jeder Scanner findet etwas anderes, entfernen kann man das Gefundene aber meist nicht. Was können wir jetzt noch machen? Für einen Tipp wären wir wirklich dankbar.

Falls ich wichtige Informationen vergessen haben sollte, reiche ich sie natürlich nach.


Viele Grüße, Nile

OS? Version?

wuauclt.exe ist der Windows Update Dienst, könnte aber natürlich infiziert sein, um da irgendwas zu sagen müsste man die genaue Seite wissen

Wenn du schon von HJT redest(tun auch nicht alle :p), tu uns den Gefallen und poste den vollständigen Log:blabla: Ersetze davor aber Realname/http mit ***/h**p


Hoffentlich habt ihr auch die AVPs ordentlich entfernt, sonst könnt ihr froh sein, dass überhaupt noch was läuft :blabla:

HijackThis Log, Blacklight Log ansonsten wärs dass :D

Hallo inFiniTy,

Also wir haben Windows XP.

Die genaue Seite habe ich mir leider nicht aufgeschrieben, in solchen Situationen handelt man (bzw. ich) ja leider nicht immer so vorausschauend, wie man sollte.

Hoffe ich auch...


Bei den letzten Checks mit Hijackthis hat er nichts mehr gefunden,
deshalb hatte ich hier kein Logfile gepostet. Allerdings sieht es jetzt wieder anders aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:42, on 08.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Max\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.1_07) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} (Java Plug-in 1.4.1_07) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Blacklight findet hingegen nichts und ein Logfile gibt es auch nicht.



nile