Popupfenster "Test", Meldung "Static", will Update

Nervbert · 24.08.2007, 15:39

Hallo Forumssachsverstand!

Seit kurzem habe ich folgendes Problem – nach dem Start von Win Me poppt ein Fensterchen auf, von einer Anwendung „Test“, mit der Meldung „Static“ und der Möglichkeit „Ok“ oder „Update“.
Ich schieße das Teil immer mit dem Taskmanager ab („Test.exe“).
Ich habe nichts installiert, und irgendwas eingefangen auch nicht, soweit ich weiß. Die üblichen verdächtigen Seiten (Porno, Warez etc.) werden nicht besucht.
Screenshot:

System:
Win Me, AV-Antivir (immer aktuell gehalten), Zonealarm
DSL über T-Sinus 154 DSL Basic-Router (aktuelle Firmware), Firewall aktiviert, keine Ports extra geöffnet
Checks mit Spybot und Adaware sind negativ, Virencheck auch.

Mit der Forensuche und Google habe ich mit den entsprechenden Suchbegriffen nix Brauchbares gefunden.

Kennt jemand das Phänomen?

Danke für die Hilfe,
Nervbert

undoreal · 24.08.2007, 15:46

Halli hallo.

Merkwürdig das Ganze.

D.h. mache bitte folgendes:

-Erstelle ein HijackThis log:

http://download.hijackthis.eu/hijackthis_199.zip ( HINWEIS: Die entpackte .exe Datei vor der ersten Benutzung umbenennen in HiScan.com )

-Dann sammel bitte weitere Informationen über dein System:

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..

-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

Gruß

Undoreal

Nervbert · 27.08.2007, 15:04

Hallo Undoreal,

werde ich dann mal machen, danke für die Hilfe schonmal!
Sobald ich dazu gekommen bin, poste ich's dann hier (wird aber erstmal nix ;-).

Schönen Gruß,
Nervbert

Nervbert · 10.10.2007, 17:48

Moin Undoreal,

nach Wochen endlich Zeit für den Rechner gefunden.
Allerdings kann ich's nicht so machen wie Du postest:

In der Systemsteuerung steht kein Java. Na, dann eben nicht.

Blacklight läuft nicht an; zuerst fehlte eine USERENV.DLL, dann wollte er andere fehlende Sachen...
Silentrunner ging direkt.
SmitfraudFix läuft nicht an - Doppelklick auf die cmd gibt "Angegebenes Command-Verzeichnis falsch", auch nachdem ich die Command.com auf den Desktop gelegt hatte als Kopie.
Combofix läuft nicht; es kommt eine Meldung, daß es nur auf W2k und XP läuft....

Nun habe ich erstmal gestoppt, poste aber wenigstens mal die erhaltenen Logs.

Schönen Dank für die Mühe mit solchen PC-Simpeln wie mir!

Weiter weiß ich erstmal nicht.

Achja, ich habe vor dem Ganzen mit RegCleaner mal eine Bereinigung laufen lassen, aber außer einigen nicht mehr aktuellen Bildzuordnungen war da nix.

Es grüßt ein trauriger
Nervebrt

--------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:14:28, on 10.10.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\WINCMD\TOTALCMD.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\WIRELESS\54M WIRELESS USB UTILITY\ZDWLAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HISCAN.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.2.1;192.168.2.30;192.168.2.31;192.168.2.32;192.168.2.33;192.168.2.34;192.168.2.35;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Proxomitron.lnk = C:\Programme\Proxomitron\Proxomitron.exe
O4 - Startup: 54M Wireless USB Utility.lnk = C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: *.web.de
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...9x/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1

---------------

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" ["Microsoft® Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"AtiPTA" = "Atiptaxx.exe" ["ATI Technologies, Inc."]
"WorksFUD" = "C:\Programme\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"TrueImageMonitor.exe" = "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" ["Acronis"]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"internat.exe" = "internat.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"ATIPOLAB" = "(empty string)" [file not found]
"TrueVector" = "C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service" ["Zone Labs Inc."]
"MiniLog" = "C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service" ["Zone Labs Inc."]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]
OlsAolPerUser\(Default) = "Windows Setup - AOL"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUserRemove 64 C:\WINDOWS\INF\ols.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\STARFI~1.SCR" (Starfield Simulation.scr) [MS]

Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Proxomitron" -> shortcut to: "C:\Programme\Proxomitron\Proxomitron.exe" ["Groom-A-Zebu (tm) "]
"54M Wireless USB Utility" -> shortcut to: "C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe -SETWZCD 35" ["Wireless"]

C:\WINDOWS\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\ZoneAlarm\zonealarm.exe -nopopup" ["Zone Labs Inc."]

Enabled Scheduled Tasks:
------------------------

"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 - 4
C:\WINDOWS\SYSTEM\msafd.dll [MS], 5 - 7
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 8 - 9

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "C:\PROGRA~1\MESSEN~1\MSMSGS.EXE" [MS]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
[Strings]: SAFESITE_VALUE="ie.search.msn.de"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "NavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "DesktopItemNavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "NavigationCanceled" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "OfflineInformation" = "res://shdoclc.dll/offcancl.htm" [MS]
<<H>> "PostNotCached" = "res://mshtml.dll/repost.htm" [MS]

---------- (launch time: 2007-10-10 18:26:25)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 13 seconds.
---------- (total run time: 47 seconds)
---------------

undoreal · 10.10.2007, 19:35

Hallo Nervbert.

Du hast ein aktives RAT auf dem Rechner welches dein System mit Hintertüren (Backdoors) kompromitiert. Es handelt sich um den Spyware Trojaner / Opwin.

Zitat:

Troj/Opwin-11 ist ein Backdoor-Trojaner. Wenn der Trojaner-Server auf einem Computer läuft, ist der Computer frei für unbefugten Zugriff von Netzwerkstandorten

Ändere aus einem I-Net Caffee als aller Erstes alle online-Accounts sowie Passwörter die du auf dem Rechner gespeichert hast ! !

Setzte deinen Rechner danach umgehend neu auf !
Eine Anleitung dazu findest du in meiner Signatur. Daten wie Mp3s, Bilder, Dokumente kannst du sichern. Alles Andere, insb. ausführbare Dateien (dll. .exe .com) und Archive (.zip .rar) solltest
du nicht sichern. Bevor du Daten sicherst ändere alle Windows-Einstellungen so wie in der Anleitung meiner Signatur "Suchen und Finden von Dateien" beschrieben.

Gruß

Undoreal

Nervbert · 11.10.2007, 12:04

Uuuärks!

So ein Mist!
Der PC ist im kleinen Heimnetz drin - über WLAN (WPA) und Router mit aktivierter Firewall (Sinus 154 DSL Basic SE). Daran hängen 2 weitere, einmal Win 98 und XP SP2. Könnten die auch infiziert sein?

Welche Aussage in den Logs zeigt das RAT an?

Vielen Dank!
Nervbert

Popupfenster "Test", Meldung "Static", will Update

Plagegeister aller Art und deren Bekämpfung: Popupfenster "Test", Meldung "Static", will Update