avast meldete Win32:Obfuscated-DH im Arbeitspeicher (als es also schon zu spät war)

Danach habe ich über Nacht einen Komplettscan laufen lassen. Dabei wurden einige mit diesem Trojaner infizierte Dateien in den Container verschoben. Ich werde den Verdacht nicht los, dass auch Avast selbst lahm gelegt wurde. Ein Update Versuch meldet aber die aktuelle Version. Nach einem Reboot befindet sich angeblich kein Virus/Trojaner mehr im Arbeitsspeicher. Ich kann mir irgendwie nicht vorstellen, dass das alles gewesen sein soll. Also bitte ich die Fachleute den Hijack This Log mal anzuschauen. Der Inet Analyzer beschwert sich über den Eintrag O20 - AppInit_DLLs, daran sehe ich nun aber erstmal nichts Verdächtiges. Imonc.exe ist das Überwachungstool für einen fli4l ISDN Router. Für den im Zusammenhang mit Obfuscated häufig genannten Swizzor.A finde ich keine Hinweise. Der letzte LOG-Eintrag O24 kommt mir aber sehr suspekt vor. Vielen Dank für Antworten.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:33:16, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Imonc2_0_7d\bak\Imonc.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\WINDOWS\explorer.exe
J:\hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.yakumo.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = adslproxy.dvs.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [fli4l] "C:\Programme\Imonc2_0_7d\Imonc.exe" /s:192.168.0.1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mu3: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.yakumo.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133353466734
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer = 192.168.0.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h**p://216.32.95.41/clientscript/showdiv.js

--
End of file - 6599 bytes

Hallo.

Das Logfile ist meiner Ansicht nach sauber, nichts was auf Befall hindeuten würde.

Mach aber mal folgendes:


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Der oben genannte Schädling setzt sich normalerweise nicht in den Arbeitsspeicher, sondern eher an andere Stellen im System.

Gruß
Sunny

Danke für die weiterführenden Anweisungen. Für ISDN User sind 16 MB natürlich erst einmal wieder ein Koffer und der Scan dauerte auch ewig.

Das F-Secure Schwarzlicht liess sich nicht starten. Ich werde noch einmal die Command Line Version ausbrobieren.

Das Ergebnis von MWAV: Ich hatte es 2x gestartet weil das Proggy anfing etwas zu reparieren:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Apr 12 00:32:57 2007 => Version 9.1.9
Thu Apr 12 00:30:56 2007 => Virus-Datenbank Datum: 4/11/2007
Thu Apr 12 00:32:41 2007 => Virus-Datenbank Datum: 4/11/2007
Thu Apr 12 00:35:48 2007 => Virus-Datenbank Datum: 4/11/2007
Thu Apr 12 00:36:17 2007 => Virus-Datenbank Datum: 4/11/2007
Thu Apr 12 03:54:05 2007 => Virus-Datenbank Datum: 4/11/2007
Thu Apr 12 09:50:22 2007 => Virus-Datenbank Datum: 4/11/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 12 00:33:33 2007 => System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Einträge entfernt.
Thu Apr 12 00:42:05 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
Thu Apr 12 00:42:06 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Apr 12 00:33:33 2007 => Offending file found: C:\WINDOWS\iun6002ev.exe
Thu Apr 12 00:42:05 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Thu Apr 12 00:42:06 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Apr 12 00:41:27 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\familie\hark\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 12 00:35:48 2007 => Gefundene Viren: 1
Thu Apr 12 03:54:05 2007 => Gefundene Viren: 3
Thu Apr 12 00:35:48 2007 => Anzahl Fehler: 5
Thu Apr 12 03:54:05 2007 => Anzahl Fehler: 164
Thu Apr 12 00:35:48 2007 => Dauer des Scans bisher: 00:02:48
Thu Apr 12 03:54:05 2007 => Dauer des Scans bisher: 03:17:03
Thu Apr 12 00:35:48 2007 => Gescannte Dateien: 6885
Thu Apr 12 03:54:05 2007 => Gescannte Dateien: 386389
Thu Apr 12 00:32:57 2007 => Specherüberprüfung: Aktiviert
Thu Apr 12 00:36:58 2007 => Specherüberprüfung: Aktiviert
Thu Apr 12 00:32:57 2007 => Registry Überprüfung: Aktiviert
Thu Apr 12 00:36:58 2007 => Registry Überprüfung: Aktiviert
Thu Apr 12 00:32:57 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Apr 12 00:36:58 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Apr 12 00:32:57 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Apr 12 00:36:58 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Apr 12 00:32:57 2007 => Überprüfung der Dienste: Aktiviert
Thu Apr 12 00:36:58 2007 => Überprüfung der Dienste: Aktiviert
Thu Apr 12 00:32:57 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Apr 12 00:36:58 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Apr 12 00:32:57 2007 => Überprüfung aller Festplatten :Aktiviert
Thu Apr 12 00:36:58 2007 => Überprüfung aller Festplatten :Aktiviert

und der rapport.txt von SmitfraudFix (lief im abgesicherten Modus):

SmitFraudFix v2.166

Scan done at 21:23:03,48, 12.04.2007
Run from J:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

nach einen erneuten Download funktionierte BlackLight, es hat aber keine verdächtigen Dinge gefunden.

04/12/07 21:29:40 [Info]: BlackLight Engine 1.0.61 initialized
04/12/07 21:29:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/07 21:29:40 [Note]: 7019 4
04/12/07 21:29:40 [Note]: 7005 0
04/12/07 21:29:44 [Note]: 7006 0
04/12/07 21:29:44 [Note]: 7011 1936
04/12/07 21:29:44 [Note]: 7026 0
04/12/07 21:29:44 [Note]: 7026 0
04/12/07 21:29:47 [Note]: FSRAW library version 1.7.1021
04/12/07 21:34:01 [Note]: 2000 1012
04/12/07 21:34:01 [Note]: 2000 1012
04/12/07 21:50:50 [Note]: 7007 0

Hi,

hat noch jemand eine Idee? Ich kann die drei oben gefundenen Datein noch einmal bei Virustotal durchschicken.

Der Rechner hat auf jeden Fall irgend eine Seuche. Dab booten dauert ewig, diverse Programme zeigen Merkwürdigkkeiten, das Dateisystem sollte aber in Ordnung sein.

Ich habe nun schon diverse eigene Dateien gesichert um den Rechner neu aufsetzen zu können. Mir graut nur vor den Windows Updates über ISDN. Ja,ja 20 KM von Hannover weg gibt es noch kein DSL wo einem in der Fernsehwerbung suggeriert wird man bräuchte eine 16000er Leitung.