Hi!
Habe mir vor einigen Tagen ein paar Viren/Trojaner eingefangen. Teilweise waren sie evtl. auch schon länger drauf.

Diese waren:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwnevadq\revwrklu.exe -> TR/Dldr.Obfuscated.dyq (Trojaner)

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\nkgooeaj.exe -> BDS/TDSS.asj (Backdoor)

TDSS1548.tmp -> Trojan:Win32/Alureon.gen!J (Trojaner)

system32/drivers/svhost.exe -> TR/Agent.aiej.1 (Trojaner)

im Java-Cache: jvmimpro.jar-5286af48-69eae1d7.zip -> Exploit.Java.Gimsh.a (Exploit)

und
weißnichtmehr -> TR/Patched.CK.56 (Trojaner)

Einige dieser Viren scheinen miteinander zusammen zu hängen, da außer der Java Exploit soweit ich mich erinnern kann alle anderen etwa zur gleichen Zeit (alle innerhalb von 2-3 Tagen) erstellt wurden. Scheinbar läd ein Virus weiternen Schadcode runter.

Nachdem ich nun einige Antivirenprogramme habe durchlaufen lassen und verdächtige Sachen gelöscht habe, versucht der Internet Explorer, den ich eigentlich gar nicht benutze ständig eine Verbindung zu der IP 77.221.133.173 herzustellen. Mein ZoneAlarm zeigt mir also 77.221.133.173:HTTP an. Das selbe auch mit 75.126.83.150:80 nur nicht so häufig.

Also ohne dass ich was mache startet der IE im Hintergrund und will eine Verbindung dorthin aufbauen. Ich habe das bis jetzt (hoffentlich) immer in ZoneAlarm geblockt, weiß also nicht was hinter den IP's steckt. Ein Whois-Lookup bringt aber russische Server in Moscow zu Tage, was eigentlich nichts Gutes verheißt.

Leider kann ich keinen Prozess finden der das Aufrufen des IE und der IP's veranlasst. Deshalb die Frage: kennt jemand diese IP's oder hat sonst einen Vorschlag?

Noch eine Anmerkung: im Ordner "C://Windows/TEMP" wird alle 10 Minuten eine tmp-Datei erstellt (im Format tmp1.tmp, tmp2.tmp, ...), immer jedes mal genau nachdem ich die Frage bei ZoneAlarm wegklicke, ob ich ein Verbindungsaufbau zu o.g. Server erlaube. Die .TMP-Dateien haben jetzt 0 Byte und werden evtl. von ZoneAlarm (vsmon.exe) erstellt, da auch hiervon zwei nicht löschbare (außer mit Unlocker) Dateien im selben Ordner sind mit Namen wie "ZLT02f38.TMP".

Hi,

MAM & Combofix sowie danach noch Avira-Antirootkit:

Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten!

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip
Log ebenfalls posten

chris

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1310
Windows 5.1.2600 Service Pack 2

24.10.2008 15:38:18
mbam-log-2008-10-24 (15-38-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 90750
Laufzeit: 1 hour(s), 10 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


=============================================
ComboFix 08-10-23.08 - Admin 2008-10-24 17:13:18.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
Error: Cfiles.dat

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\NCTAudioFile2.dll
C:\WINDOWS\system32\NCTAudioPlayer2.dll
C:\WINDOWS\system32\NCTAudioRecord2.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-24 bis 2008-10-24 ))))))))))))))))))))))))))))))
.

2008-10-24 16:22 . 2008-10-24 16:22 <DIR> d-------- C:\Programme\Avira
2008-10-24 16:22 . 2008-10-24 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-24 04:55 . 2008-10-24 04:57 <DIR> d-------- C:\Programme\Unlocker
2008-10-24 02:54 . 2008-10-24 02:54 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue
2008-10-24 02:51 . 2008-10-24 14:12 <DIR> d-------- C:\Programme\Uniblue
2008-10-24 02:40 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-10-23 20:11 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-23 20:11 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-22 18:35 . 2008-10-22 18:35 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-10-22 18:35 . 2008-10-22 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-22 16:18 . 2008-10-22 16:30 <DIR> d-------- C:\Programme\ThreatExpert Memory Scanner
2008-10-19 18:57 . 2008-10-19 19:55 <DIR> d-------- C:\Programme\Animake
2008-10-18 21:29 . 2008-10-18 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
2008-10-18 21:29 . 2008-10-18 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WEB.DE
2008-10-18 21:26 . 2008-10-18 21:26 <DIR> d-------- C:\Programme\WEB.DE
2008-10-18 01:58 . 2008-10-18 01:58 <DIR> d-------- C:\WINDOWS\OutlookBackupPro
2008-10-18 01:58 . 2008-10-18 01:59 <DIR> d-------- C:\Programme\OutlookBackupPro
2008-10-18 01:02 . 2008-10-18 01:02 15,360 --a------ C:\divx-connected.db
2008-10-17 05:12 . 2008-10-18 01:00 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\vlc
2008-10-17 01:58 . 2008-10-18 01:00 <DIR> d-------- C:\Downloads
2008-10-16 03:48 . 2008-10-16 03:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-10-16 03:46 . 2008-10-16 03:46 <DIR> d-------- C:\Programme\Real
2008-10-16 03:45 . 2008-10-16 03:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-10-16 03:30 . 2008-10-16 03:30 <DIR> d-------- C:\Programme\concept design
2008-10-16 03:30 . 2008-10-16 03:34 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\concept design
2008-10-16 03:30 . 2006-05-21 16:15 966,144 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2008-10-16 03:30 . 2006-05-21 16:15 634,880 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll
2008-10-16 03:30 . 2006-05-21 16:15 522,752 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll
2008-10-16 03:30 . 2006-05-21 16:15 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-10-16 03:16 . 2008-10-16 03:17 <DIR> d-------- C:\Programme\Zattoo
2008-10-15 23:00 . 2008-10-15 23:00 443,573 --a------ C:\WINDOWS\system32\EPSETUP.CAB
2008-10-15 23:00 . 2008-10-15 23:00 288,201 --a------ C:\WINDOWS\system32\EPPRTDRV.CAB
2008-10-15 23:00 . 2008-10-15 23:00 8,284 --a------ C:\WINDOWS\system32\eps_icon.avi
2008-10-15 20:45 . 2008-10-15 20:45 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-10-15 18:48 . 2008-10-21 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwnevadq
2008-10-15 18:22 . 2008-10-15 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 12:11 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-24 00:40 --------- d-----w C:\Programme\Java
2008-10-23 23:55 --------- d-----w C:\Programme\XPcleanv5
2008-10-20 12:21 --------- d-----w C:\Programme\GetRight
2008-10-20 12:06 623,104 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-10-18 02:52 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2008-10-17 03:10 --------- d-----w C:\Programme\VideoLAN
2008-10-17 00:30 --------- d-----w C:\Programme\Winamp
2008-10-16 02:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-15 21:08 --------- d-----w C:\Programme\epson
2008-10-15 20:43 18,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-15 20:43 1,089,568 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2002-07-10 13:51 140,870 ----a-w C:\Programme\MoreTV.353.zip
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"WEB.DE_WEB.DE MultiMessenger"="C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" /hide
"Uniblue RegistryBooster 2009"=C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
"Smart Start UP"=C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=


*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 03:29]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{0cab0400-7395-11d0-a5e5-0020afe2fdd9} - qvphook.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\a2bo3v8p.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 17:19:35
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe [1812] 0x81FD85F0

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\e895e9d5f9c4a45d]
"ImagePath"="C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe"
.
Zeit der Fertigstellung: 2008-10-24 17:25:54
ComboFix-quarantined-files.txt 2008-10-24 15:24:43

Vor Suchlauf: 2.120.929.280 Bytes frei
Nach Suchlauf: 2,095,771,648 Bytes frei


==================================================

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Freitag, 24. Oktober 2008 - 17:58:52
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 18.80 GB
- Working disk free size : 1.93 GB (10 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Freitag, 24. Oktober 2008 - 17:58:52
========================================================================================================


Der Rechner möchte nach den Reinigungen noch immer zu besagten IP's, i.d.R. zur 77.221.133.173. Zum Glück hab ich ZoneAlarm.

Weiß jemand vielleicht was der versteckte Prozess

C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe [1812] 0x81FD85F0

auf meinem Rechner verloren hat?

Er ruft auch eine Datei: .e895e9d5f9c4a45d.core.dll in den Arbeitsspeicher die scheinbar mit allen anderen offenen Programmen zusammenhängt (laut Unlocker).

Wenn ich ins Verzeichnis system32 im Windows Explorer gehe, kann ich den Ordner .e895e9d5f9c4a45d nicht finden, trotz Einblengung aller versteckten Dateien. Mit Prozess Manager von TuneUp Utilities komme ich zwar ins Verzeichnis ".e895e9d5f9c4a45d" aber die .e895e9d5f9c4a45d.exe wird wiederum nicht eingeblendet. WIE KANN ICH DIESEN PROZESS ERREICHEN UND AUSSCHALTEN? Es ist nämlich der einzige versteckte Prozess auf meinem Rechner laut Rising Antivirus.

Volltreffer!!! Habe gerade festgestellt, dass der automatische Aufruf von 77.221.133.173 schon seit ein paar Stunden nicht mehr auftrat und mir dann genauer die Logfiles von dem aktuell installierten Rising Antivirus angeschaut. Siehe da, das einzige was Rising als infiziert gefunden und gelöscht hat, war die Datei e895e9d5f9c4a45d.exe. Sie wurde als Trojan.DL.Win32.Undef.bfi identifiziert. Weiter hieß es in Rising AV: Prozess greift auf infizierte Datei zu: C:\WINDOWS\SYSTEM32\SERVICES.EXE.
Gefunden wurde das ganze dadurch dass ich unter "Auto-Protect" bei "Dateimonitor" alles auf auf die höchste Scanstufe einstellte.

Im gleichen Zug hat auch endlich aufgehört, dass alle 10 Minuten eine neue tmp[ansteigende Hexadezimal-Ziffer].tmp im Ordner C:\Windows\Temp erzeugt wird.

Ich weiß zwar nicht was ein Rootkit ist, nehme aber mal an dass das so was ähnliches war, da erst das chinesische AV Progi, welches auch schon beim Booten scannt, diese Datei aufgespürt hat. Weder Panda, TrendMicro, Kaspersky noch Antivir hatten diese infizierte Datei gefunden.



Hoffe dass mein Rechner jetzt sauber ist und bleibt.
Einen fetten Dank nach China! Ich hoffe meine 4-Tage-Virensuch-Odysse hat damit endlich ein Ende gefunden.

PS: Falls doch noch jemand Anmerkungen zu meinen oben aufgeführten Logs hat, bin ich auch weiterhin dankbar.