hallo gleichgesinnte und experten.
seit einigen tagen plagt mich ein problem, das weder ich noch meine software lösen kann. habe google geqählt, weiß aber nichtmal genau wonach ich suchen muss
mein desktop-pc verschickt durchgehend emails (beispiel) bis svchost.exe sich mit 'ner fehlermeldung (der vorgang "written" konnte nicht auf dem speicher ....) verabschiedet. kaspersky (aktuelle virendefinitionen) hilft leider nicht. aus dem hjt-log werd ich nicht schlau, drum hoffe ich darauf, dass jemand, der kundig ist oder gar das gleiche problem bereits gelöst hat, mir bei der lösung helfen kann. was kann ich tun? ich möchte nur ungern mein system neu aufsetzen..
os: win xp sp2 (aktueller updatestatus)
sicherheit: kaspersky is 7.0 (aktueller updatestatus)
sollten weitere infos benötigt werden, bitte bescheid geben..

gruß,
nordi

Hallo Nordi.

Trenne den Rechner umgehen physikalisch vom Netz (= Netzwerkstecker ziehen!)

Dann deinstalliere bitte C:\Programme\PCphone Fax-Office\FxOffice.exe .

Danach führe bitte weitere scans durch:

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Silentrunners laufen und poste die logFiles..


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

erstmal danke ich dir sehr für diese ausführlich hilfestellung..
bis die scans (2x3) durch sind, wirds wohl noch ein weilchen dauern. hier sind schon mal vorab die bisher erstellten logs:
- silentrunners
- SmitfraudFix_1
- SmitfraudFix_2 (nach dem scan)
- combofix
ich hoffe sie geben ein wenig aufschluss...
(übergeordnetes verzeichnis mit allen logs)

combofix meldete, dass der befehl "löschen" nicht gefunden wurde oder falsch geschrieben sei. ausserdem startete "laufwerk bereinigen" selbstständig. ansonsten zeigte es keine auffälligkeiten..

sobald es fortschritte gibt, melde ich mich erneut mit weiteren informationen..

gruß,
nordi

Nabend nordi.

Suche bitte wie in meiner Signatur beschrieben folgende Datei und lade sie auf VT hoch.

" C:\WINDOWS\zts2.exe "

Sollten da keine brauchbaren Namen auftauchen sacnne bitte auch folgende Dateien:

" C:\WINDOWS\system32\vcmgcd32.dll "
" C:\WINDOWS\system32\iifgfgf.dll "
" C:\WINDOWS\REGBK00.ZIP "

PS: Öffne mal bitte folgende Datei im Editor! : " C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt " was steht da drin?

Zitat:

Zitat von undoreal

PS: Öffne mal bitte folgende Datei im Editor! : " C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt " was steht da drin?

Das ist Smitfraud Klick

hallo undoreal,
um spybot zu installieren musste ich online gehen und hab festgestellt, dass das problem anscheinend gelöst ist - ich weiß net was da passiert ist, aber bei einem der schritte deines "walkthrough" muss es passiert sein. es findet kein scheinbar willkürlicher und unerwünschter email-traffic mehr statt
werds aber weiter beobachten...

zts2.exe zeigte sich (obwohl geschützte und versteckte dateien sichtbar) nur in der kommandozeile und dann hab ichs wohl irgendwie versehentlich gelöscht (copy c:\windows\zts2.exe c:\zts2.exe.tmp)?? jedenfalls ist sie nicht mehr da... (kenne mich leider nur mit linux-befehlen aus)

" C:\WINDOWS\system32\vcmgcd32.dll ", " C:\WINDOWS\system32\iifgfgf.dll " und " C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt " sind nicht mehr vorhanden...
" C:\WINDOWS\REGBK00.ZIP " habe ich gescant und entpackt. enthalten waren folgende registry-files:
hkcrRT.reg (~25MB)
hklmSW.reg (~52MB)
hklmSY.reg (~16MB)
kaspersky hat nix beanstandet..

habe eben s&d scannen lassen, und es wurden keine besonderheiten gemeldet (log).

aktuelles hjt-log
iclean-log

das problem ist zwar gelöst, wüsste aber trotzdem gern, welcher übeltäter mich da geplagt hat. zumal ich zumindest geistig gern für zukünftige attacken dieser art gewappnet wäre. oder wird es ein rätsel bleiben?

falls weitere infos gewünscht sind, werde ich versuchen sie zu liefern..

auf jeden fall danke ich dir schonmal sehr für deine kompetente hilfe, hast mir ne menge arbeit (system neu aufsetzen) erspart

gruß,
nordi

ps: für alle die jetzt oder irgendwann mitlesen: die logs werde ich in einigen tagen löschen, damit nicht meine semi-persönlichen daten auf dauer öffentlich sind...

oh mann, als hätte ichs geahnt zu früh gefreut...
soeben schrie kasperskys proaktiver schutz auf und kündigte mir ein registryzugriff an.. danach hat svchost sich wieder verabschiedet. emails wurden/werden nicht verschickt..
hier die detailinformationen:

Code: Alles auswählenAufklappen

ATTFilter

Ein Versuch zum Erstellen eines Werts in einen Systemregistrierungsschlüssel, der zur Gruppe System Startup gehört, wurde abgefangen.  Diese Schlüssel kontrollieren den Bestand der Module, die beim Hochfahren von Microsoft Windows geladen werden.

Es wird empfohlen, den Zugriff auf diese Parameter nur zu erlauben, wenn Sie möchten, dass dieses Programm beim Hochfahren des Computers automatisch gestartet wird. In allen übrigen Fällen sollte der Zugriff verboten werden.

Detailinformationen über das Ereignis:
Schlüssel:		HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wert:	UserFaultCheck
Datentyp:	Unicode-Zeile, die mit einer Null endet (mit Links zu einer Umgebungsvariablen)
Daten:	
Neue Daten:	%systemroot%\system32\dumprep 0 -u
         

soll ich versuchen "%systemroot%\system32\dumprep" zu löschen?

achja, zuvor erschien kurz ne rote kaspersky-meldung, in der irgend ne url mit paris hilton oder so angezeigt wurde, obwohl ich keine andere webseite offen hab und auch nie nach paris hilton gegoogelt hab..
edit:
habs gefunden im web antivirus-log:

Code: Alles auswählenAufklappen

ATTFilter

gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.hz	URL: http://www.paris-hilton-nude.net/
         

gruß,
nordi

Hey nordi. Lass dich mal nicht so durcheinander bringen. Sonst müssen wir immer wieder von vorne anfangen. Die Änderung an der Registry dürfte Kaspersky verhindert haben also musst du nichts reparieren.

Lösche bitte die " C:\WINDOWS\REGBK00.ZIP " und alle entpackten Dateien. Die währen mir nicht geheuer..

Dann suche bitte nocheinmal nach der " zts2.exe ". Evtl. Ist die wiederhergestellt worden.

Dann bitte weiter im Text:

Zitat:

-Räume mit CCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

Dann sehen wir weiter. Und lass dich nicht verunsichern bzw. von den Aufgabenstellungen abbringen.

Hi,

Aus dem Combofix Log:

Code: Alles auswählenAufklappen

ATTFilter

2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\zts2.exe
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\system32\vcmgcd32.dll
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\rundll16.exe
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\rundl132.dll
2007-10-28 16:07	<DIR>	d-a------	C:\WINDOWS\logo1_.exe
         

Da steht, dass das alles Verzeichnisse sind. Die ersten drei und die letzten drei sind bekannt als Fakes, die der Escan anlegt, bei Delete_Me_Dummy_systems.txt legt zumindestens die Zeit nahe, dass der auch dazu gehört.

Gruß, Karl

thx Karl.


@ nordi:

Zitat:

Dann bitte weiter im Text:

Zitat:
-Räume mit CCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

hallo undoreal.
escan wird wohl noch ein weilchen brauchen und heute wahrscheinlich nicht mehr fertig
vorab schonmal die bisherigen funde:

Code: Alles auswählenAufklappen

ATTFilter

File C:\Dokumente und Einstellungen\Nordi\Desktop\rmv troyan\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Nordi\Desktop\rmv troyan\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
         

iclean- und hjt-log habe ich bereits erstellt..

Zitat:

Zitat von nordi

hallo undoreal,
habe eben s&d scannen lassen, und es wurden keine besonderheiten gemeldet (log).

aktuelles hjt-log
iclean-log

auch cclean habe ich, wie du beschrieben hast ausgeführt..

was hat es denn mit "%systemroot%\system32\dumprep" auf sich? "svchost" hat versucht das ding in die registry in /run zu schreiben. soll ich dumprep löschen?

gruß,
nordi

Zitat:

was hat es denn mit "%systemroot%\system32\dumprep" auf sich? "svchost" hat versucht das ding in die registry in /run zu schreiben. soll ich dumprep löschen?

dumpreg versucht einen Registry Eintrag für eine automatische Reparationsroutine nach einem Rechnerabsturtz in den Autostart zu packen.
Es könnte im extremen Ausnahmefall auch ein Schädling sein d.h. verbiete die Aktion weiterhin. Einen Nachteil bekommst du dadurch nicht.

Zitat:

escan wird wohl noch ein weilchen brauchen und heute wahrscheinlich nicht mehr fertig

der braucht immer so lange..

hier nun das neue escan-log.. hoffe, es lässt sich was damit anfangen..

gruß,
nordi

Also ich weiss nicht...


Welche Probleme treten bei dir noch auf?

das gleich wie vorher, es werden wilkürlich emails versendet
ich spiele mit dem gedanken c: zu formatieren - dann wäre das problem bestimmt gelöst.. wahrscheinlich ist das auch einfacher, als diesen plagegeist ausfindig zu machen.. - oder würde es reichen, xp einfach drüberzubügeln? (so einfach ists bestimmt nicht)

gruß,
nordi