Vorweg: habe jetzt in den letzten 5 Monaten mein System (Win2k) viermal neu aufgesetzt (mit Formatierung) und vermutlich immer wieder über gespeicherte Backups den "Schädling" wieder eingefangen. Ist aber absolut nicht klar.
Symptome: wenn ich im abgesicherten Modus starte, dann zeigt der Bildschirm beim Hochfahren vor dem Einloggen blinkende Zeichen (ASCII-Zeichensatz im Modus 80x25 oder so), beim laufenden System wird der Bildschirm plötzlich mit "wurmartigen" Störungen überzogen, d.h. ich kann dann nix mehr lesen und meine zweite Festplatte fährt plötzlich in die Startposition mit einem lauten Klack und der Rechner läßt sich nicht mehr hochfahren. Habe mit verschiedenen Mitteln versucht dem beizukommen (z.B. zweite Festplatte rausgenommen und neu formatiert u.a.) und schließlich das System neu aufgesetzt. Trotzdem habe ich bis heute immer wieder die gleichen Symptome bekommen, nachdem es einige Zeit wieder lief. Hardware-Fehler sind eigentlich auszuschließen.

Aber worauf es mir jetzt im Moment ankommt. Ich möchte mal ein Hijack Log posten mit dem jetzigen Stand der Dinge:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:59, on 14.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
E:\trueImage\TrueImageMonitor.exe
E:\trueImage\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
E:\tools\hijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\acrobatReader708\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\trueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\trueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrayServer] E:\videoDeluxe2007\TrayServer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: !SASWinLogon - E:\tools\superAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JJPNTZF - Sysinternals - www.sysinternals.com - F:\TEMP\JJPNTZF.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Das einzige, was mir Sorgen bereitet ist die JJPNTZF.exe. Habe festgestellt, daß nach jeder Einwahl ins Internet ein neuer Dienst mit gleichem Namen (ohne exe) mit Starteigenschaft "manuell" eingetragen wird. Dazu korrespondiert diese Datei. Habe den Dienst deaktiviert und den Eintrag im Hijacker entfernt. Ein Löschen der Datei war allerdings nicht möglich, kommt immer wieder. Das war nicht die einzige Datei dieser Art, vorher hatte ich das gleiche mit anderen Namen:

h.exe
jimqko.exe
svrb.exe

Habe die JJPNTZF.exe mal bei Virus total checken lassen. Folgendes Ergebnis:

Complete scanning result of "JJPNTZF.exe", received in VirusTotal at 01.14.2007, 18:54:29 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.936.0 01.13.2007 no virus found
AVG 386 01.13.2007 no virus found
BitDefender 7.2 01.14.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.14.2007 no virus found
DrWeb 4.33 01.14.2007 no virus found
eSafe 7.0.14.0 01.14.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.14.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.14.2007 no virus found
McAfee 4938 01.12.2007 no virus found
Microsoft 1.1904 01.14.2007 no virus found
NOD32v2 1978 01.14.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.14.2007 no virus found
Prevx1 V2 01.14.2007 no virus found
Sophos 4.13.0 01.13.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.14.2007 no virus found
VirusBuster 4.3.19:9 01.14.2007 no virus found

Aditional Information
File size: 359296 bytes
MD5: fbc8713e03c477431f1fb0496186e59e
SHA1: a4cfd3fcc3f01d4e9f8aa82dab88a6ae8a15f621
packers: BINARYRES

Was habe ich mir da eingefangen? Wirklich ein Rootkit? Bevor ich alles nochmal neu aufsetze, möchte ich dem jetzt erstmal auf den Grund gehen.

Danke für eure Mühe.

Frage, vielleicht kennt sich ja jemand aus.

Ist es normal, wenn sich Dienste "selbstständig" unter Verwaltung/Dienste eintragen und auf exe-Dateien im Temp-Verzeichnis des Rechners verweisen?

Weist das auf "malware" hin (dann müßte aber Zugriff über Administrator-Rechte möglich sein, oder?) oder darauf, daß jemand von außen direkt zugegriffen hat?

Na, du bist doch wohl nicht der nazca aus dem Spotlight.de-Forum?

Jedenfalls ist dein Rechner in meinen Augen nicht mehr ganz koscher. Auf einem normalen W2k-System laufen niemals nur neun Prozesse, entweder ist das wieder ein Bug von HJT oder deine Kiste ist versifft (du hast als Admin HJT ausgeführt?).
Abgesehen davon scheint dein System völlig out-to-date zu sein:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

SP4 für W2k ist zwar drauf, aber der IE in seiner Urversion mit all seinen Lücken, die sich auch auf das tägliche Arbeiten mit dem Windowsexplorer negativ auswirken können, ist nun mal so bei einem Browser der fester Bestandteil des OS ist
Sag nicht, du hast außer dem SP4 KEINERLEI Updates installiert!!

Ja, habe auch in Spotlight angefragt. Da ging es mir aber nur eine zukünftige Konfiguration des Systems, nicht um die näheren jetzigen Probleme. Mir ist natürlich klar, daß ich das System ganz neu aufsetzen muß und werde, aber wie gesagt, ich habe es in den letzten Monaten so oft getan, daß ich jetzt gerne ein paar mehr Infos sammeln möchte.

Daher geht es mir darum, zu erfahren, was denn eigentlich da vorgeht, was ich mir da eingefangen habe.

Zu deinen Fragen: ich habe bis vor dem letzten "Ausbruch" der Malware mein System mit allen Updates von Microsoft (außer IE5, den ich aber wie auch Outlook nicht benutze - d.h. für Updates von Microsoft mußte ich ihn hernehmen) gespeist und auch sonst die neuesten Virensignaturen regelmäßig heruntergeladen, Dienste abgeschaltet etc. was halt so an Tips zu finden war. HJT habe ich als User ausgeführt.

Wie kann ich denn eigentlich feststellen, ob von außen zugegriffen wurde oder nicht? Wie ist es möglich, daß einfach neue Dienste auftauchen und exe-Dateien im Temp-Verzeichnis?

Zitat:

Zitat von nazca

O23 - Service: JJPNTZF - Sysinternals - www.sysinternals.com - F:\TEMP\JJPNTZF.exe

Was habe ich mir da eingefangen? Wirklich ein Rootkit?

Fällt Dir zu dem Stichwort Sysinternals denn gar nichts ein?

Wie meinst du das?

Fällt mir nur ein, daß ich von sysinternals mal Sachen runtergeladen habe, waren aber nicht virenverdächtig.

Aber kläre mich bitte auf.

Klick mich

Ja, sicher, daß es Tools gibt, um sein System genauer zu untersuchen, ist mir bekannt. Habe aber nicht das nötige Wissen, um damit wirklich etwas anzufangen.

Verstehe aber nicht den Zusammenhang mit dem Dienst (mit Hinweis auf Sysinternals), der sich selbstständig installiert hat. Ich jedenfalls habe nichts dergleichen gemacht.

Hi,

da Du dich fragst ob Du ein Rootkit hast, hast Du ja wohl auch den Rootkitrevealer benutzt. Rootkitrevealer erzeugt einen Service (also O23), den er von vom temporären Ordner startet (wird ja nur temporär gebraucht). Außerdem gibt er ihm einen zufällig bestimmten Namen, der jedesmal anders ist und auchj eine wechselnde Länge hat. Dies damit ein eventuell vorhandenes Rootkit es schwieriger hat Rootkitrevealer zu erkennen und Gegenmaßnahmen zu treffen.

Normalerweise wenn Rootkitrevealer zuende gelaufen ist und ordnungsgemäß beendet wird, dann räumt er das alles wieder auf. Es kommt aber vor, daß er abstürzt oder irgendwas anderes schief geht, dann bleibt genau so ein O23 Eintrag zurück.


Das bei dir so wenig Prozesse angezeigt werden, liegt daran, daß Du ein Benutzerkonto mit eingeschränkten Rechten benutzt und natürlich auch von dem aus dein Log gemacht hast. Herzlichen Glückwunsch

Wenn die Prozesse services.exe, winlogon.exe, svchost.exe, usw. angezeigt werden, dann beweist das, daß das Log von einem Administratorkonto aus gemacht wurde. Dies ist bei mindestens 99% der Logs der Fall. Da kann man dann davon ausgehen, daß dieses Konto auch für alles andere benutzt wird, ein leichtsinniges Sicherheitsrisiko, denn damit gibt man einer Maware Administratorrechte (und verliert sie selber, falls sie besonders fies ist).

Gruß, Karl

Danke dir, das ist mal wirklich ne erfreuliche Antwort.

Das habe ich natürlich nicht gewußt, den Rootkitrevealer habe ich mehrmals drüberlaufen lassen. Das erklärt einiges. Jetzt sind mir die verschiedenen exe-Dateien klar, mit denen ich nichts anfangen konnte. Und als virenbefallen wurden sie ja auch nicht erkannt.

Zu meinen Problemen: ich hatte eine zweite Festplatte für Auslagerungsdatei und temporäre Dateien und für Video-Aufnahmen. Seitdem ich die auf die harte Tour mit Linux platt gemacht habe, sind keine Symptome mehr aufgetreten. Allerdings habe ich meinem System absolut nicht mehr vertraut und werde demnächst alles neu aufsetzen. Denn irgendwas muß drauf gewesen sein.