Zurck   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekmpfung

Plagegeister aller Art und deren Bekmpfung: Ungewollte Ordnerflut

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwnschte Software zu deinstallieren bzw. zu lschen. Bitte schildere dein Problem so genau wie mglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.06.2006, 14:38   #1
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Kann jemand diese Ordnerflut hier erklren, lauter ungewollte Ordner, diese
erstellen sich immer wieder neu und zwar im Bereich von Eigene Dateien,
Programme, Windows, System32. Vor allem woher kommen Ordner wie Oracle oder Symantec? Habe absolut ZERO davon auf meinem System!!!


Alt 02.06.2006, 17:18   #2
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Poste ein Hijackthis-Logfile.
__________________

__________________

Alt 02.06.2006, 17:37   #3
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



ogfile of HijackThis v1.99.1
Scan saved at 18:30:10, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\SpyBro\SpyBro.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe
c:\programme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Rkdetector2.exe
C:\Programme\DAP\DAP.exe
C:\RootkitRevealer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tcpview.exe
C:\WINDOWS\regedit.exe
C:\Filemon.exe
C:\Dokumente und Einstellungen\TEST\Eigene Dateien\My Completed Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148577407671
O17 - HKLM\System\CCS\Services\Tcpip\..\{541D5D69-DCE9-4099-9D41-3731C8E4B0FA}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FDE094F-C102-474F-B08B-D475A2071297}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VKCD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\TEST\LOKALE~1\Temp\VKCD.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________________

Alt 02.06.2006, 17:46   #4
cosinus
/// Winkelfunktion
/// TB-Sch-Tiger™
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Da sind ein paar seltsame Eintrge drin. Wie ich sehe hast Du schon mal mit dem Rootkit Revealer gescannt. Hat der komische Eintrge angezeigt?
Mach bitte einen Check mit eScan und poste das gefilterte Log, das Du mit der FIND.BAT erstellt hast.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.06.2006, 18:10   #5
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut





Das ist komisch ?? anstatt Buchstaben, aber im Explorer werden Buchstaben angezeigt.

EScan findet zero.

RKRevealer zeigt das:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 03.06.2006 19:11 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 03.06.2006 14:20 4 bytes Data mismatch between Windows API and raw hive data.
C: 01.01.1601 02:00 0 bytes Error mounting volume


Alt 02.06.2006, 18:16   #6
Wildone
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Hallo,
sollte eine neue Variante von Purityscan sein. Du solltest dich schonmal mit dem Gedanken einer Neuinstallation abfinden.
Es ist erstaunlich bis beunruhigend, dass man im HijackThis Log nichts sieht. Poste mal ein Log von Silentrunners.
Findet F-Secure Blacklight bei dir etwas?


Gre Wildone

Alt 02.06.2006, 18:20   #7
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Naja vielleicht liegt es daran, da der Kernel im Laufenden System verndert wurde. Siehe hier:



Hier liegt auch ein Problem, da ich schon lange vermutet habe:



Die Hashwerte bleiben immer gleich nur die Buchstabenvariation ndert sich. 16 KB Temp Datei

Kurzer Ausschnitt des Inhalts der Temp Datei, die sich nicht lschen lt:

** ™™f™™–––BBB 33™UUU333™™™999††† MMM999 ** ӽδȪƧE*"*VAd9E9?/7"6
:‹?"23 7.f.œ.1*-/,/”$v
$W ™‡ 鶢”ӿӽδȫf) jv
%J
'Z9'>4;Š 8d O0 ;_9`)•$*Ž MP› 谝ŽԾεr  y‘)* 2J †$t• o” % •…Կš„  -d7=(9s * ˜†{{l$‰# IyUw>M>H7@0:19Z Ÿzš>t ˜†ǣšg#90p—AsByGlH`GWDKAE;>6 w œ>Pb

Im Suchmodus mit Google habe ich eine tschechiche Seite entdeckt.

Nein Blacklight findet nichts.

Gendert von SystemPro (02.06.2006 um 18:28 Uhr)

Alt 02.06.2006, 18:29   #8
Wildone
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Hallo,
da ist sehr wahrscheinlich ein ganz neues (Kernel)Rootkit bei der Arbeit. Damit sollte das Schicksaal deines Systems endgltig besiegelt sein. Trotzdem wre es interessant ob Blacklight etwas findet.
Sieht wirklich nach ordentlich fieser Malware aus.

Edit
Wenn Blacklight auch nichts findet bin ich da eigentlich mit meinem Latein schon am Ende. Aber wie gesagt die Konsequenz (Neuaufsetzen)sollte klar sein.
Ev. wrde das ganze Sabina von board.protcus noch sehr interessant finden, und dir ev. auch noch mehr ber die Malware sagen knnen.


Gre Wildone

Alt 02.06.2006, 18:40   #9
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Ja, habe mir gedacht, da da was ganz Neues am Werk ist, das Fiese an der Sache ist, da der Kerneldriver im Temp Verzeichnis sitzt und sich immer wieder neu generiert.

Der Kernelhook bei 7c8000000 knnte u.a durch eine sogenannte mc21.tmp Datei im temporren Verzeichnis erzeugt werden, diese ist bei Adresse F7A8B000, diese ist aber so nicht sichtbar. Nebenbei wird auch die user32.dll durch ieframe.dll gehooked.

Noch eine Frage Wildone, wie kamst du darauf, da es eine Variante von diesem sog. (mir unbekannten) Purityscan sein knnte?

Gendert von SystemPro (02.06.2006 um 18:48 Uhr)

Alt 02.06.2006, 18:50   #10
Wildone
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Hallo,
das ist der einzige mir bekannte Trojaner der mit diesen "Fragezeichen" arbeitet, die im Explorer als normale Zeichen zu sehen sind. Siehe Beschreibung von Sabina (ein wenig nach unten scrawlen).
Kann aber natrlich sein das mittlerweile auch andere Malware mit dieser Technik arbeitet, aber die Ordnernamen usw. lassen schon auf eine Artverwandschaft schlieen.
Falls du noch einen Thread bei board.protecus erffnest kannst du mal den Link posten, wrde mich schon interessieren was Sabina dazu meint.


Gre Wildone

Alt 02.06.2006, 18:54   #11
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Alles klar! Danke fr die Info.

Nebenbei bemerkt Spybro.exe bezeichnet einen Haufen legitimer Dateien, darunter auch AOL, GDATA Avk Signaturdateien, also im Prinzip auch alle Dateien unter Microsoft Shared/System, Ole. uvm., im gemeinsamen Dateien Ordner als CLARIA GAIN Adware, das kann ja aber gar nicht stimmen, da es ja die legitimen Dateien von den oben genannten Programmen sind.
Es sind ca. 1100 legitime Dateien, die von Spybro.exe als CLARIA GAIN bezeichnet werden. Vielleicht ein Datei-Infektor???

Alt 02.06.2006, 18:58   #12
Wildone
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Hallo,
glaube ich nicht. Erfahrungsgem werden auch neue Ordner unter diesem Pfad erzeugt, kann aber auch einfach sein das sich Spybro tuscht, ich bin mir der Serisitt dieses Programms sowieso nicht besonders sicher. Falls es dich noch interessiert kannst du es mal z.B. mit Ewido besttigen lassen.


Gre Wildone

Alt 02.06.2006, 19:11   #13
SystemPro
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Ewido findet bei mir eigentlich nie was, es kommt ja nahe an Kaspersky ran von der Leistung, aber auch KAV findet nichts. Am besten sind zur Zeit eh Bit Defender und NOD32.

Beim Rescan jetzt hat Spybro nichts mehr gefunden, allerdings bei System Start bezeichnet es immer z.B. die Signaturdateien von GDATA als Claria.Gain Adware.

Alt 02.06.2006, 19:14   #14
Wildone
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Hallo,
sollte zwar nicht passieren, aber kommt schonmal vor, dass sich Malwarescanner gegenseitig als Trojaner bezeichnen.


Gre Wildone

Alt 02.06.2006, 19:20   #15
TrojanerHunterNEW
 
Ungewollte Ordnerflut - Standard

Ungewollte Ordnerflut



Zitat:
Zitat von SystemPro
Ewido findet bei mir eigentlich nie was, es kommt ja nahe an Kaspersky ran von der Leistung, aber auch KAV findet nichts. Am besten sind zur Zeit eh Bit Defender und NOD32.

Beim Rescan jetzt hat Spybro nichts mehr gefunden, allerdings bei System Start bezeichnet es immer z.B. die Signaturdateien von GDATA als Claria.Gain Adware.
Mache halt Bitte noch ein mal einen Scan mit Ewido, und du kanst mal einen onlinescan von a in betracht ziehen, den Link dazu: http://www.emsisoft.de/de/software/ax/

THN
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Antwort

Themen zu Ungewollte Ordnerflut
absolut, bereich, dateien, eigene dateien, erklren, immer wieder, lauter, neu, symantec, system, ungewollte, windows



hnliche Themen: Ungewollte Ordnerflut


  1. Ungewollte Umleitung auf wpkg.org
    Plagegeister aller Art und deren Bekmpfung - 03.05.2015 (17)
  2. Werbeinblendungen und ungewollte Umleitungen
    Log-Analyse und Auswertung - 28.09.2014 (6)
  3. Ungewollte Ferngesteuerung mglich?
    berwachung, Datenschutz und Spam - 06.06.2013 (20)
  4. Firefox ungewollte Linkumleitung
    Plagegeister aller Art und deren Bekmpfung - 04.02.2013 (16)
  5. Ungewollte Facebook-Nachrichten
    Plagegeister aller Art und deren Bekmpfung - 15.08.2011 (1)
  6. Ungewollte pop-ups/ungewollte links aus Google -PLEASE HELP -log inside
    Log-Analyse und Auswertung - 25.01.2010 (13)
  7. ungewollte werbung Fenster mit win xp u. IE8
    Log-Analyse und Auswertung - 03.01.2010 (4)
  8. ungewollte werbung IE8
    Log-Analyse und Auswertung - 03.01.2010 (1)
  9. ungewollte explorerfenster
    Log-Analyse und Auswertung - 28.05.2009 (0)
  10. IE ffnet ungewollte Websites
    Log-Analyse und Auswertung - 11.11.2008 (3)
  11. ungewollte Popups bei IE und Firefox
    Log-Analyse und Auswertung - 13.05.2008 (1)
  12. ungewollte USA-IP
    Plagegeister aller Art und deren Bekmpfung - 01.04.2007 (2)
  13. ungewollte popups auf der homepage
    Plagegeister aller Art und deren Bekmpfung - 11.09.2006 (6)
  14. Ungewollte Internetseiten
    Plagegeister aller Art und deren Bekmpfung - 26.02.2006 (22)
  15. Weiterleitung auf ungewollte Seiten
    Plagegeister aller Art und deren Bekmpfung - 02.02.2006 (21)
  16. ungewollte hilfe
    Plagegeister aller Art und deren Bekmpfung - 20.09.2004 (11)
  17. ungewollte weiterleitung mit IE6
    Plagegeister aller Art und deren Bekmpfung - 07.06.2004 (5)

Zum Thema Ungewollte Ordnerflut - Kann jemand diese Ordnerflut hier erklren, lauter ungewollte Ordner, diese erstellen sich immer wieder neu und zwar im Bereich von Eigene Dateien, Programme, Windows, System32. Vor allem woher kommen Ordner - Ungewollte Ordnerflut...
Archiv
Du betrachtest: Ungewollte Ordnerflut auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.