Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon (https://www.trojaner-board.de/51016-versteckte-datei-kdzqj-exe-system32-reg-eintrag-system-winlogon.html)

oelchen 24.03.2008 17:33

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
 
Hallo allerseits,

Sophos Antivirus hat nach einem Trojaner-Befall (Troj/Agent-GPY und ein weiterer, dessen Namen ich nicht mehr erinnere, betroffen war die Datei mDNSResponder.exe) auf meiner XP-Pro Maschine die Datei "kdzqj.exe" im Ordner "C:\Windows\System32" entdeckt. Sie kann allerdings nicht gescannt werden, da dies einen Interface-Fehler (0xa0040210) bei Sophos erzeugt.

Auch kann ich die Datei im Explorer nicht sehen und andere Programme können sie nicht finden. Scans mit "Rootkit Hook Analyzer" und "Hijackthis" erbrachten keine Hinweise auf die Datei. Es gibt auch keinen aktiven Prozess mit diesem Namen.

Es existiert jedoch ein Eintrag in der Registry zu dieser Datei:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"="kdzqj.exe"

Und wenn ich irgendeine andere Datei (z.B. txt) mit "kdzqj.exe" im Titel erstelle, verschwindet diese ebanfalls! :confused:

Kann mir irgend jemand sagen, was da los ist auf meinem PC? Handelt es sich um Malware, und wenn ja, wie bekomme ich sie weg?

Mit bestem Dank

oelchen

KleinerMarce 24.03.2008 18:09

Hallo,

wie groß ist die Datei? Kannst du Sie per Mail schicken?

Kannst Sie auch selbst mal bei Virustotal.com hochladen und überprüfen lassen. Dauert ein paar Minuten.

raman 24.03.2008 18:17

Dem Namen nach ist das ein DNSchanger.
Erstelle einmal ein Combofix Report:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfügen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

oelchen 24.03.2008 18:49

@ KleinerMarce:

Das war auch meine erste Idee. Aber da ich diese Datei weder sehen noch hochladen kann (habe ich probiert), fällt das wohl erstmal aus.

@ raman:

Seit dem Befall (heute ca. 14h) ist der PC nicht neu gestartet worden. Und das möchte ich erstmal vermeiden, da Malprogramme ja gerne kleine Ostereier verstecken, die dann beim nächsten Systemstart aktiv werden. Ich habe zwar die Registry von allen verdächtigen Einträgen bereinigt (vgl. Sophos-Removal-Anweisungen), allerdings bin ich mir dafür nicht sicher genug. Kann man es daher irgendwie vermeiden, dass ein Neustart passiert?

Und der Name mDNSResponder kommt vom Apple Bonjour-Service:

Bonjour Service mDNSResponder - Forum - CHIP Online

Allerdings war das bei mir möglicherweise eher ein als solcher getarnter Schädling. Jedenfalls ist das Programm entfernt.

KleinerMarce 24.03.2008 18:52

Sichtbar machen kannst du die über die Ordneroptionen. Dort anklicken, dass du auch versteckte Dateien angezeigt haben möchtest! Aber Vorsicht: Dadurch werden auch Sytemdateien angezeigt, da nichts unbedachtes tun!!!

oelchen 24.03.2008 19:00

Das ist mir bekannt, selbstverständlich werden bei mir zur Zeit versteckte und Systemdateien angezeigt.

Nur zur Einordnung: ich war mehrere Jahre beruflich als Admin tätig, die gängigen Tricks und Kniffe sind mir bekannt. Das hier ist allerdings neu. ;)

KleinerMarce 24.03.2008 19:05

Hmmm. Aber wenn Sie in einem Ordner liegt bzw. aktiv ist, muss diese ja auch irgendwo im System zu finden sein.

raman 24.03.2008 19:07

Wenn das ein DNS Changer ist, ist er eh schon aktiv. Das solltest du aber auch an O17 Eintraegen in Hijackthis Reporten sehen koennen.Wenn du einen Neustart vermeiden Willst, nutze Catchme und schaue, was es findet.


http://files.thespykiller.co.uk/catchme.exe
Einfach starten und scan druecken. Auf dem Desktop erstellt es dann die Report Datei.

oelchen 24.03.2008 19:52

Danke für die guten Tips! Hier mal ein hijackthis und ein catchme Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:46, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Switch Off\swoff.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QOELOADER] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe"
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Verknüpfung mit ole_login.lnk = I:\Persoenliche Daten\ole_login.bat
O4 - Startup: Verknüpfung mit Todo.lnk = I:\Aktuell\Todo.txt
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted IP range: http://192.168.1.1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170887453779
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\Software\..\Telephony: DomainName = psychologie.uni-kiel.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD92011-C901-4488-8AA7-DAF90E88D872}: NameServer = 85.255.116.21,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B19CCF1-CE3A-4266-95B5-79A0ACDD5FDB}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: hpdj3500 - Unknown owner - C:\DOKUME~1\Ole\LOKALE~1\Temp\hpdj3500.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Switch Off - YaSoft - C:\Programme\Switch Off\swoff.exe

--
End of file - 9659 bytes


catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 19:22:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:58ffbc19
"s2"=dword:9962ade5
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,..
"khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e5,dc,24,cb,1b,37,b9,b7,d9,59,1f,fe,df,a4,de,4c,f5,f0,85,34,58,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,..
"khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:37,af,1a,0b,9d,7e,ae,d5,53,b1,89,c6,1d,7c,b4,0a,b5,4c,9a,b8,c1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

C:\WINDOWS\system32\kdzqj.exe 63460 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Die DNS-Einträge im hijackthis-Log sind in der Tat merkwürdig, war mir gar nicht aufgefallen. Allerdings bin ich über meinen Router mit dem Netz verbunden und erhalte diesen als DNS-Server per DHCP.

Und catchme findet sogar zwei versteckte Dateien:

"C:\Windows\system32\kdzqj.exe"
"Re_ Diss.:Zone.Identifier" in den temporären IE-Files

Mit catchme konnte ich die Dateien Zippen und könnte sie nun ggf. auch verschicken oder hochladen.

KleinerMarce 24.03.2008 20:00

Dein Log hat schon einige Einträe, die nicht okey sind, aber jetzt nicht so, dass man aufschreien müsste.

raman 24.03.2008 20:58

Wenn du dir die Muehe des Reihnigen machen willst, aber ich wuerde sauberes Backup zurueckspielen...

Fixwareout waere hier eine Moeglichkeit. Du kannst die Datei C:\WINDOWS\system32\kdzqj.exe aber auch loeschen, indem du bei catchme bei Script folgendes hineinkopierst:

files to delete:
C:\WINDOWS\system32\kdzqj.exe

Dann Run und Restart und die Datei ist weg, bzw in die catchme.zip auf deinem Desktop gepackt. Du kannst sie ja bei Virustotal.com pruefen lassen. Das Ergebniss wuerde mich interessieren.

Aber der Rest der von der Malware verursachten Aenderungen musst du auch noch rueckgaengig machen...

Re_ Diss.:Zone.Identifier wird nur wegen ADS gemeldet. Das ist zu vernachlaessigen, bzw gewollt...

KleinerMarce 24.03.2008 21:13

Habe die Datei zur Verfügung. Enthält Schadroutine und lädt weiteren Code aus dem Internet nach.

AV-Scanner deklarieren Sie als Trojan.Win32.DNSChanger.ih

oelchen 24.03.2008 21:30

Ok, mein System scheint wieder sauber zu sein. Habe mit der BartPE gebootet und konnte von dort die "kdzqj.exe" löschen.

Allerdings ließ sich "Re_ Diss.:Zone.Identifier" auch so nicht löschen. Raman, du schriebst, das Programm ist harmlos bzw. seine Anwesenheit sogar erwünscht? Was ist denn das für ein Ding? Oder habe ich dich missverstanden?

Was mir noch zu denken gibt, ist der Registry-Eintrag für die "kdzqj.exe". Weiß jemand wofür der Eintrag "System" unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

zuständig ist? Google war da nicht so erfolgreich. Ich habe den nun erstmal leer gelassen.

Und schließlich sind da noch die DNS-Einträge im hijackthis-Log, die bisher nicht verschwunden sind. Ist das irgendwie kritisch?

Da lernt man ja noch mal richtig was, herzlichen Dank Jungs! :daumenhoc

oelchen 24.03.2008 21:31

@ KleinerMarce:

Ist die Datei bei dir eigentlich auch versteckt, oder ist das nur in meinem System der Fall?

KleinerMarce 24.03.2008 21:39

Also bei mir ist so eingestellt, dass es ausnahmslos alles anzeigt.

Nur habe ich hier Windows 98 laufen :lach: und die Datei gibt es nicht.

Ansonsten:
Winlogon ist ein Anmeldedienst von Windows. Also so harmlos wie Windows selbst ^^

Re_ Diss.:Zone.Identifier gehört tatsächlich zum ADS Alternate Data Streams – Wikipedia


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19