Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: widerkehrender Plagegeist - Bitte um Analyse

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.01.2008, 21:12   #1
fogle
 
widerkehrender Plagegeist - Bitte um Analyse - Icon21

widerkehrender Plagegeist - Bitte um Analyse



Hallo Board-Team,

ich hoffe, dass ihr mir bei meinem Problem weiterhelfen könnt. Da ich auch ein Hijack-Log zur Auswertung zur Hand habe, bei dem mir zwei Einträge Kopfschmerzen bereiten, poste ich mal hier. Sollte ich am falschen Ort sein verpasst mir einfach einen symbolischen Arschtritt und verschiebt den Post.

Zum Problem:
Über Neujahr hatte ich mit einem ziemlich hartnäckigen Problem zu kämpfen, welches unter anderem einen neuen User mit vollen Admin-Rechten angelegt hat und diverse manipulierte Dateien eingeschleust hat, die zB das Windows-Remotetool bei Systemstart geladen haben. Ich hatte garnicht die Lust gegen das ?Rootkit? anzugehen, was bei der Schwere der Infektion imho eh keinerlei Erfolg mit sich gebracht hätte. Die seltsamste Datei, die mir beim stöbern durch mein Dateisystem auffiel, war ein passwortgeschütztes ZIP-Archiv mit Namen pinfect. Hierzu habe ich keinerlei Infos finden können, da es aber eine nod32drv.sys oder auch gmer.ini enthält, denke ich mir, dass es nicht sauber ist. Nach der ersten Installition von NOD32 hatte der Scanner noch was gefunden...
Lange Rede kurzer Sinn. System neu aufgesetzt(Vollformatierung), Outpost und NOD32 auf den neusten Stand gebracht, NOD laufen lassen, Gmer durchlaufen lassen (Zeugs von der C`t-Notfall-CD - also vertrauenswürdige Quelle), Spybot installiert(alles sauber), Massenger und Thunderbird zum Laufen gebracht, und mit dem Vorhaben SP2 am nächsten Tag nachzuinstallieren ins Bett gegangen.
Heute habe ich den Rechner angemacht und kurz nach Start sprang meine Maus 2mal ohne erfindlichen Grund. Also dachte ich mir SP2 muss warten und habe das System diverse Male gescannt, gegoogelt usw. Unter eigene DAteien habe ich sowohl beim Admin, als auch beim eingeschränkten User die mir bekannte pinfect.zip wiedergefunden(natürlich mit den NOD-Signaturen...).
Da ich dank Kabel Deutschland eine praktisch statische IP(per DHCP erzeugt, aber einer User-MAC zugewiesen und wird bis zum St. Nimmerleinstag offengehalten) habe, weiß ich nicht, ob ich mein System nochmal sauber kriegen kann.

HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:56, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\*\LOKALE~1\Temp\mexe.com
C:\WINDOWS\system32\wscntfy.exe
C:\security\hijackth.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe

--

eScan(im abgesicherten Modus):

Object "mirar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Object "backdoor (ircbot) trojans Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".part". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pcv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "RivaTuner". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\DOKUME~1\*\LOKALE~1\TEMPOR~1\Content.IE5\45GM7NV3\asktoolbar[1].exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45GM7NV3\asktoolbar[1].exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\Programme\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000401.asw markiert als "not-a-virus:AdTool.Win32.MyWebSearch.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Da ich mich leider Null mit Viren, Bots und Rootkits auskenne hoffe ich, dass mir jemand helfen kann und mir sagen kann, wie ich ab sofort meinen Rechner sicher kriege.
Derzeit gehe ich direkt über ein Modem rein, habe aber noch einen WLAN-Router rumfliegen, weiß aber nicht, ob der einen Sicherheits-Mehrwert mit sich bringt.

Geändert von fogle (05.01.2008 um 21:23 Uhr)

Alt 06.01.2008, 17:00   #2
fogle
 
widerkehrender Plagegeist - Bitte um Analyse - Icon32

widerkehrender Plagegeist - Bitte um Analyse



Ok, da wohl keiner weiterhelfen kann...

Das Problem mit der "statischen" IP lässt sich wohl nicht so einfach lösen. Ich werde also die Hardware-Firewall meines Routers bemühen und erstmal mit dem infizierten System alles dicht machen, um dann mein System neu aufzusetzen und wieder vor dem ersten Netzstart alle relevanten Programme aufspielen.

Sollte das nicht helfen, werde ich zusätzlich versuchen, nachdem ich die MAC gespooft habe und mir so eine neue IP zugelegt habe alles neu aufzusetzen. Mal sehen, wann das pinfect.zip endlich verschwindet.

Zum ersten Post:
Ich hatte SP2 noch installiert. Die Einträge im HJT-Logfile, die mir Kopfschmerzen gemacht haben, haben sich für mich DAU zumindest als harmlos herausgestellt. Die eScan-Meldungen werden für mich immer kryptisch bleiben. Die IRC-Backdoor neheme ich erstmal ernst, da ich nichtmal nen Client installiert habe.

An das Board-Team:
Ich weiß eure Bemühungen im Allgemeinen wirklich zu schätzen. Dennoch finde ich es erschreckend, dass vielen Usern, die nichteinmal einen Satz geradeaus schreiben können geholfen wird, und ich keinen einzigen Kommentar bekomme, warum mir nicht geholfen wurde. Ganz groß!
Mir ist durchaus bewusst, dass ich mich in dem Post verhaspelt habe, weil ich versuchte ein Problem aus einem Themengebiet zu schildern, welches für mich Neuland ist.
__________________


Alt 16.01.2008, 14:09   #3
nova-s
 
widerkehrender Plagegeist - Bitte um Analyse - Standard

widerkehrender Plagegeist - Bitte um Analyse



hi,

hab auch so ne verschlüsselte pinfect.zip in eigene dateien und folgendes herausgefunden:

wird von escan (mwav.exe) beim start angelegt

passwort: infected

enthält die unveränderten originaldateien, bei mir
bootfont.bin
NTHANDLE.SYS
diverse *.ini dateien


was soll das?
__________________

Antwort

Themen zu widerkehrender Plagegeist - Bitte um Analyse
abgesicherten modus, antispyware, appinit_dlls, asktoolbar, auswertung, backdoor, bho, content.ie5, dateisystem, diverse, einstellungen, explorer, feedback, firewall, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, maus, maßnahme, microsoft, nach start, neu aufgesetzt, problem, programme, quara, rootkit, rootkit?, rundll, rundll32, s-1-5-18, scan, security, software, system neu, temp, verschiebt, viren, windows xp



Ähnliche Themen: widerkehrender Plagegeist - Bitte um Analyse


  1. (Trojaner/Plagegeist Extrem) Bitte Helft mir
    Plagegeister aller Art und deren Bekämpfung - 03.05.2009 (0)
  2. Bitte um Analyse
    Log-Analyse und Auswertung - 30.04.2009 (6)
  3. bitte um analyse
    Mülltonne - 20.04.2008 (1)
  4. Bitte um Log Analyse
    Mülltonne - 04.01.2008 (0)
  5. Bitte um Analyse von HJT-Log
    Log-Analyse und Auswertung - 30.12.2007 (3)
  6. Bitte Um Analyse
    Log-Analyse und Auswertung - 28.12.2007 (0)
  7. Bitte um HJT analyse - Danke!
    Log-Analyse und Auswertung - 08.12.2007 (1)
  8. Bitte um Log-Analyse!
    Log-Analyse und Auswertung - 07.09.2007 (23)
  9. Log-Analyse - BITTE
    Log-Analyse und Auswertung - 06.09.2007 (4)
  10. bitte um Logfile Analyse
    Log-Analyse und Auswertung - 30.03.2007 (1)
  11. Bitte Hilfe bei Log-Analyse!
    Mülltonne - 07.03.2007 (2)
  12. bitte um analyse und lösungsvorschläge
    Mülltonne - 09.11.2006 (1)
  13. Bitte um analyse
    Log-Analyse und Auswertung - 07.08.2006 (2)
  14. Bitte um HiJackThis Log analyse
    Log-Analyse und Auswertung - 02.11.2005 (2)
  15. bitte um analyse
    Log-Analyse und Auswertung - 21.09.2005 (2)
  16. Bitte um Logfile-Analyse...
    Log-Analyse und Auswertung - 13.03.2005 (6)
  17. Bitte um Analyse von Log-File
    Log-Analyse und Auswertung - 11.01.2005 (1)

Zum Thema widerkehrender Plagegeist - Bitte um Analyse - Hallo Board-Team, ich hoffe, dass ihr mir bei meinem Problem weiterhelfen könnt. Da ich auch ein Hijack-Log zur Auswertung zur Hand habe, bei dem mir zwei Einträge Kopfschmerzen bereiten, poste - widerkehrender Plagegeist - Bitte um Analyse...
Archiv
Du betrachtest: widerkehrender Plagegeist - Bitte um Analyse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.