Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Reste (mailbot o.ä.) nach "rootkit.bagle" infektion (https://www.trojaner-board.de/73039-reste-mailbot-o-ae-rootkit-bagle-infektion.html)

bagleopfer 11.05.2009 23:23
Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
 
Hallo zusammen,
da ich nicht weiterkomme, wende ich mich mal vertrauensvoll an dieses Forum.

Nachdem ich neulich ein aggressives Bagle Rootkit entfernen musste, habe ich noch mit einer unschönen Kleinigkeit zu kämpfen: Mein Rechner versucht in Abständen die ich nicht definieren kann, Mails über verschiedene SMTP Server zu versenden. Mal ist es hotmail, mal ein litauischer provider usw.
Die Google Suche nach den angesprochenen IPs brachte keine Hinweise auf bestimmte Seuchen ans Tageslicht.

Die ersten Zeichen waren das der Antivir Mailgard Dienst sich beendet hat wenn der versand gestartet hat. Allerdings hat mein Provider diesen Versand bemerkt und mich auf das Problem aufmerksam gemacht. (peinlich peinlich....)
Leider gaukeln mir Antivir, MBAM, Spybot, und die anderen üblichen einen sauberen Rechner vor.
Meine Analysen mit diversen Prozessnalysewerkzeugen sind leider erfolglos geblieben. Das Mistding ist scheinbar nicht ständig im Speicher.

Mein Rechner versendet akut nichts mehr, da die Software Firewall dieses jetzt per Regel verhindert, aber leider versucht er es doch noch.
Da ich alle Wiederherstellungskonsolen und auch eine zweite partition mit XP habe kann ich wenn gewünscht auch unter anderen voraussetzungen suchen, allerdings sieht es von da aus auch viel zu clean aus...


Hier sind die Logs:
Ich beginne ganz unüblich mit Zonealarm, da man hier sieht, dass ich mir das Problem nicht ausdenke.
ZoneAlarm verzeichnet das Ereignis mit folgenden zwei Einträgen. Man beachte die ca. 2500 Verbindungsversuche, die jedesmal in dieser Größenordnung liegen.

Code:
Beschreibung      Host Process for Windows Services wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung        Hoch
Datum/Uhrzeit    2009-05-11 21:02:30+2:00
Typ              Programmzugriff
Programm          svchost.exe
Quell-IP-Adresse 
Ziel-IP-Adresse  65.55.92.184:25
Richtung          Ausgehend (Verbindung herstellen)
Maßnahme          Gesperrt
Anzahl            2554
Quell-DNS       
Ziel-DNS          mx2.hotmail.com
Richtlinie        Persönliche Richtlinie
und
Code:
Beschreibung      Antivirus MailScanner Service wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung        Hoch
Datum/Uhrzeit    2009-05-11 21:02:34+2:00
Typ              Programmzugriff
Programm          avmailc.exe
Quell-IP-Adresse 
Ziel-IP-Adresse  202.131.27.102:25
Richtung          Ausgehend (Verbindung herstellen)
Maßnahme          Gesperrt
Anzahl            4
Quell-DNS       
Ziel-DNS          mx3.naver.com
Richtlinie        Persönliche Richtlinie

HJT:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:45, on 11.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.***/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.***/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 2519 bytes
Installierte Software:
Code:
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1 - Deutsch
Application Suite
Application Suite
Application Suite
ATI AVIVO Codecs
Audacity 1.2.6
AutoIt v3.3.0.0
Avira AntiVir Premium
AVM FRITZ!fax für FRITZ!Box
Beyond TV DVD Burning Foundation
Bluesoleil 5.0.5.178
Catalyst Control Center - Branding
CCleaner (remove only)
Choice Guard
ClassicPro© v1.1
Creative Video Blaster WebCam 3 USB/WebCam Plus Driver
CutePDF Writer 2.7
DameWare NT Utilities
Discovery A Seek And Find Adventure
DivX Codec
DivX Plus DirectShow Filters
DivX Web Player
EasyBCD 1.7.2
Elecard MPEG Player
eMule
Encoder 7140 v3.0
Encoder And Reader Demo
EyeCare
EyeCon
FileZilla Client 3.2.2.1
Flash&Backup
Foxit Reader
Free FLV Converter V 6.0.0
Google Earth
Google Update Helper
GrabIt 1.7.2 Beta 3 (build 996)
Hex Workshop v6
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)
HotPotatoes v 6.2.5.4
HxD Hex Editor Version 1.7.7.0
HydraVision
IrfanView (remove only)
Java(TM) 6 Update 5
Last.fm 1.5.4.24567
Magic ISO Maker v5.5 (build 0265)
MagicDisc 2.7.106
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook Connector
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server Native Client
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Motorola Driver Installation 3.4.0
Motorola Phone Tools
Motorola Software Update
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.21)
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Nero 9
neroxml
OpenAL
QuickTime
RealPlayer
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
Rolling Madness 3D v1.0
RSDLite
SciTE4AutoIt3 20-12-2008
SDFormatter
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 4.0
SolveigMM AVI Trimmer
SplitCam
SQL Server System CLR Types
Teachmaster 4.1 (nur Entfernen)
TeamViewer 4
TiltTools
Trillian
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Outlook 2007 Junk Email Filter (kb968503)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC 9.0 Runtime
VC80CRTRedist - 8.0.50727.762
VCRedistSetup
ViaMichelin Navigation PND
VLC media player 0.9.8a
Winamp
WinCE CAB Manager
Windows Live Anmelde-Assistent
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Sync
Windows Live Writer
Windows Live-Uploadtool
Windows Mobile-Gerätecenter
WinRAR
WinUAE 1.5.0
X10 Hardware(TM)
Xvid 1.2.1 final uninstall
Zattoo 3.3.1 Beta
ZoneAlarm Security Suite


MBAM: so sauber sind auch die logs von Antivir Premium und Co.
Code:
Malwarebytes' Anti-Malware 1.36
Database version: 2109
Windows 6.0.6001 Service Pack 1

11.05.2009 23:19:26
mbam-log-2009-05-11 (23-19-26).txt

Scan type: Full Scan (C:\|)
Objects scanned: 225036
Time elapsed: 1 hour(s), 43 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


vielen Dank an alle, die etwas zur Lösung beitragen können!

Das Bagleopfer :)

Kaos 12.05.2009 01:00
Nach einer Bagleinfektion ist es das beste, das Neuaufsetzen des Systems die einzig vernünftige Methode, den Rechner wieder sauber zu bekommen.

Lass dennoch Dr.Web CureIt unf PrevX laufen.

mfg, Kaos

bagleopfer 12.05.2009 11:38
Hallo,
zuerst einmal vielen Dank für deine schnelle Antwort.
Sicher ist es nett gemeint und für viele User auch dass Beste mit einem frischen System zu starten, allerdings sehe ich mich nicht in dieser Riege dieser User - die ich mal ganz frech in die Schublade "Wegwerfgesellschaft" stecke.

Bitte schreibt mir nicht, dass ich mein System "neu aufsetzen" soll.
Damit ist weder meinem Verständnis um diesen Schädling auf die Sprünge geholfen, noch profitieren andere User davon.

Es ist zwar schön wenn man hier "Laienhelfern" das Gefühl gibt anderen zu helfen, aber de facto ist es auch keine echte Hilfe.

Bitte versteh meinen Post nicht falsch. Er ist weder persönlich gemeint, noch soll er einen Angriff darstellen.

Es ist halt nur genau das eingetreten, was ich -nach lektüre vieler threads heir- vermutet habe.....

Falls jemand wirklich sachdienliche Informationen oder Tipps hat, wäre ich sehr dankbar.


UPDATE:
"findykill" - ich glaube ich bin mittlerweile an kaum einem dieser undurchsichtigen und unsymphatischen tools nicht vorbeigekommen - hat noch ein paar bagle reste in der registry (waren allerdings deadlinks) gefunden. Leider überschreibt findykill seine logs immer wieder und hängt keinen timestamp o.ä. dran.
Hat nichts an der Situation geändert.

Nachdem ich ein Skript geschrieben habe was alle Dateien einer Liste zu virustotal hochlädt, und die %SYSTEMROOT%\system32\csrss.exe oder wars die die lsass.exe eine Infektionswahrscheinlichkeit von 10% aufwies, habe ich diese beiden getauscht... in den Firewallogs wird diese executable auch aktiv bevor der Mailversuch gestartet wird.
Leider war die logfunktion im Skript nciht wirklich ausgereift -war aber auch spät in der Nacht.
Dafür waren dann Ende alle Dateien angeblich sauber und auch der Mailversuch ist unterblieben.

Es ist schade das es wenig Detailinformationen über die betroffenen Ecken im OS gibt, denn insbesondere wenn man mit volume shadowing, wiederherstellungskonsolen, PE-Umgebungen, zweitem OS mit R/W Zugriff etc. umgehen kann, findet man doch nur sehr mühsam die Informationen wie man per Hand - aber dafür mit System und Erfolg - der Sache herr werden kann.

Stattdessen soll man sein Glück in die Hände von zum Teil recht dubios anmutenden Tools legen.....

Auch ich konnte die Sache erst durch ein kleines stupides skript abstellen.

Verrückt.




das Bagleopfer

myrtille 12.05.2009 11:50
Hi,

jeder der Mal nen Bagle ausgeführt hat, wird ein Neuaufsetzen empfehlen, das hat nichts mit Pseudo- oder nicht Pseudo zu tun.

Bagle nimmt tiefgreifende Veränderungen im System vor, zerstört ausführbare Dateien und überschreibt Dateien.

Je nach Tool kannst du die Infektion zwar entfernt haben, aber den Zustand von vor dem Befall wirst du damit trotzdem nie wieder erreichen.
Hast du nach der Entfernung von Bagle Antivir und ZoneAlarm neuinstalliert BEVOR du den Rechner neugestartet hast? Ansonsten hast du dir Bagle wahrscheinlich grad wieder installiert.

Deswegen empfehlen wir in der Regel Neuaufsetzen, auch wenn es tools wie FindyKill gibt, die den Befall erfolgreich löschen können.

Derartige Programme sind allerdings hauptsächlich für den Forengebrauch gedacht, daher ist es in der Regel nciht notwendig groß Logs umzubenennen, da man das Tool eigentlich nicht häufiger als 1-2 Mal braucht und die Berichte auf dem Forum hinterlegt werden.
Diese dubiosen Programme werden allerdings sehr gründlich getestet und regelmäßig überprüft. ;) Ist nicht so, dass so gar keiner weiß wo die herkommen und was sie tun. ;)
Kann man das FindyKill log von der Bereinigung mal sehen, oder wurde das bereits überschrieben?

bagleopfer 12.05.2009 13:00
Hallo myrtille,

vielen Dank für deine Zeit!
leider habe ich das relevante FindyKill Log nicht mehr. Ist einfach eigene dusseligkeit von mir, dass ich es nicht weggesichert habe.

Außer der autark arbeitenden Komponente mass-mailer war der Bagle komplett weg. Nach jedem kleinsten Schritt habe ich Virenscanner und Firewall de- und wieder neuinstalliert was zwar viel Zeit gekostet hat, erschien nach den Informationen die ich über Bagle hatte allerdings sinnvoll.

Du hast recht, das die von mir so abgekanzelten Tools mit viel Liebe und besten Absichten geschrieben werden. Dennoch kochen alle, sowohl Menschen die Sachen wie Bagle proggen, als auch die, die etwas dagegen unternehmen auch nur mit Wasser - und den Möglichkeiten des Betriebssystems.
Bisher habe ich halt alle Systemprobleme durch händisches Eingreifen in den Griff bekommen. Ist nunmal mein Beruf. Dafür sorge ich ja auch vor und halte mir sichere Zugänge offen. Und da soll ich an meinem Experimentiersystem vor einem rootkit kapitulieren?

Deshalb ist die Aussage "Bagle nimmt tiefgreifende Veränderungen im System vor, zerstört ausführbare Dateien und überschreibt Dateien." .... daher "neu installieren"
zwar schön und gut, aber hunderprozentig nichts was sich nicht rückgängig machen lässt.

Die Virenfunktionsbeschreibungen der großen AV-Hersteller sind so mager, das ich mir vorkomme wie bei der pingeligen Recherche zu einer wissenschaftlichen Arbeit :(

Ein Betriebssystem ist ja jetzt kein Hexenwerk (wie für mich z.B. HF-Technik oder andere Voodootechniken) OK, andere Menschen sehen es wahrscheinlich genau andersherum, aber so hat jeder seine Ecke.

Dennoch finde ich es klasse, das sich hier so viele Menschen Zeit nehmen und Mühe geben anderen zu helfen! :daumenhoc
Selbst wenn es nur eine Sensibilisierung ist, werden sich dadurch viele Menschen erstmalig der Problematik bewusst.

Mich spornt es auf jeden Fall an, den von mir begangenen Fehler (Finger schneller als Hirn) auch selbst wieder zu beheben. Das lässt mich etwas über die aktuellen Techniken lernen und gibt routine, falls ich so etwas mal machen muss, und "neu aufsetzen" gar nicht zur Diskussion steht.


das Bagleopfer

myrtille 12.05.2009 14:23
Hi,


bevor du das nächste Mal in den abg. Modus via MSConfig wechselst, solltest du noch überprüfen ob der abg. Modus repariert wurde (wurde wahrscheinlich von FindyKill erledigt) sonst findet man sich schnell in einer Endlosbootschleife wieder. (Die du sicherlich reparieren kannst, aber man muss es ja nicht erzwingen ;) )

Auf der Seite von FindyKill finden sich noch ein paar Infos zu Bagle, allerdings auf französisch. Link.
Allerdings sind die öffnetlichen Infos in der Tat relativ mager.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131