Hallo,

Zitat:

Norton warnte mich zwischenzeitlich mit hunderten von Nachrichten, dass meine Mails (ich hatte keine geschrieben) nicht zugestellt werden könnten. Einmal wurde in so einer Meldung auch eine Adresse angezeigt - diese hatte ich sicherlich noch nie angemailt.

nach Spam-Versand sieht das eigentlich ( ) nicht aus, denn es werden Verbindungen zu HTTP-Ports hergestellt, nicht zu SMTP-Ports. Zu sehen ist das z. B. hier:

Zitat:

TCP h*****:4429 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196

Ich frage mich daher: Hast du zufällig einen Netstat-Eintrag gelöscht, der eine smtp-Verbindung anzeigte (also "smtp" statt "http" in der von mir zitierten Zeile)?

Ich sehe, du hast dir den Process Explorer heruntergeladen. Die vielen mysteriösen HTTP-Verbindungen werden von einem Prozess mit der PID 1196 hergestellt. Zeigt der Process Explorer einen Eintrag zu dieser PID? (Beachte, dass nach einem Reboot evtl. eine neue PID vergeben wird.)

Versuche, auf Virustotal die folgende Datei prüfen zu lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\SYSTEM32\deskmon32.dll
         

Poste im Anschluss die Ergebnisse.

Scanne deinen Rechner auch mit Blacklight und poste das Logfile.

Zitat:

Zitat von Franz1968

Hallo,
nach Spam-Versand sieht das eigentlich ( ) nicht aus, denn es werden Verbindungen zu HTTP-Ports hergestellt, nicht zu SMTP-Ports. Zu sehen ist das z. B. hier:

Ich frage mich daher: Hast du zufällig einen Netstat-Eintrag gelöscht, der eine smtp-Verbindung anzeigte (also "smtp" statt "http" in der von mir zitierten Zeile)?

Ich sehe, du hast dir den Process Explorer heruntergeladen. Die vielen mysteriösen HTTP-Verbindungen werden von einem Prozess mit der PID 1196 hergestellt. Zeigt der Process Explorer einen Eintrag zu dieser PID? (Beachte, dass nach einem Reboot evtl. eine neue PID vergeben wird.)

Versuche, auf Virustotal die folgende Datei prüfen zu lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\SYSTEM32\deskmon32.dll
         

Poste im Anschluss die Ergebnisse.

Scanne deinen Rechner auch mit Blacklight und poste das Logfile.

Hallo Franz1968,

erst mal ein ganz großes Dankeschön für die prompte Reaktion.

1.
Nur http's, keine smtp's.

2.
Habe seither rebootet, die PID hat sich geändert. Im neuen netstat -o ist es 1244. Hierunter findet sich im Process Explorer ein "svchost"-Eintrag. Klickt man das Pluszeichen davor an, öffnen sich

rapimgr.exe (ActiveSync RAPI Manager) (1 TCP/IP-Eintrag)
BTSTAC~1.exe (Bluetooth Stack COM Server) (kein TCP/IP-Eintrag)

Der Haupteintrag dieses "svchost" zeigt aber zusätzlich unter TCP/IP jede Menge sonstige http-Verbindungen mit Adressen, wie sie in netstat protokolliert sind, auf.

3.
Blacklight hat nichts gefunden.

4.
Virustotal hat siebenmal die Datei deskmon32.dll als Virus geoutet:

Datei deskmon32.dll empfangen 2008.03.18 22:18:50 (CET)
Status: Beendet

Ergebnis: 7/32 (21.88%)
Formularende
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.1 2008.03.18 -
AntiVir 7.6.0.75 2008.03.18 TR/Hijacker.Gen
Authentium 4.93.8 2008.03.18 -
Avast 4.7.1098.0 2008.03.18 Win32:Small-IKB
AVG 7.5.0.516 2008.03.18 Downloader.Small.60.AO
BitDefender 7.2 2008.03.18 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.18 -
DrWeb 4.44.0.09170 2008.03.18 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5623 2008.03.17 -
Ewido 4.0 2008.03.18 -
F-Prot 4.4.2.54 2008.03.18 -
F-Secure 6.70.13260.0 2008.03.18 -
FileAdvisor 1 2008.03.18 -
Fortinet 3.14.0.0 2008.03.18 -
Ikarus T3.1.1.20 2008.03.18 Virus.Win32.Small.IKB
Kaspersky 7.0.0.125 2008.03.18 -
McAfee 5254 2008.03.18 -
Microsoft 1.3301 2008.03.18 VirTool:Win32/Obfuscator.L
NOD32v2 2958 2008.03.18 -
Norman 5.80.02 2008.03.18 -
Panda 9.0.0.4 2008.03.17 -
Prevx1 V2 2008.03.18 -
Rising 20.36.12.00 2008.03.18 -
Sophos 4.27.0 2008.03.18 Sus/Behav-1021
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.18 -
TheHacker 6.2.92.249 2008.03.18 -
VBA32 3.12.6.3 2008.03.17 -
VirusBuster 4.3.26:9 2008.03.18 -
Webwasher-Gateway 6.6.2 2008.03.18 Trojan.Hijacker.Gen

weitere Informationen
File size: 8192 bytes
MD5: 6878efaa757812ed78c25ec4124f1682
SHA1: bb6d10fdca312f4139fc846b45ced74fd57ade39
PEiD: -
packers: UPX
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Liegt hier drin die Wurzel allen Übels ?!

Greg

Hallo Franz, hallo Ihr anderen,

kann mir einer helfen ?

Soll ich deskmon32.dll einfach mal löschen (nach Sicherung auf USB-Stick für alle Fälle)?

Greg

Zitat:

Zitat von 280340

(nach Sicherung auf USB-Stick für alle Fälle)

Sicherung ist gut, für den Fall, dass mit deinem Rechner bereits kriminelle Handlungen vorgenommen worden sein sollten. Am besten wäre für den Fall der Fälle ein Image der Systempartition.

Ich muss meine leichtfertige Vermutung, es sei kein Spam-Versand im Spiel, nämlich zurücknehmen. Die Schädlings-Bezeichnungen, die Virustotal geliefert hat, finden sich in Foren immer wieder im Zusammenhang mit Spam-Versand.

Die deskmon32.dll kannst du zu löschen versuchen, ich nehme aber an, dass sie wiederhergestellt werden wird. Sie wird wohl nicht die Wurzel des Übels, sondern die Spitze des Eisbergs sein. Versuche daher zunächst einen Scan mit Combofix und poste natürlich im Anschluss das Logfile.

Nach der Anwendung von Combofix erstelle bitte ein neues Logfile von HijackThis und poste es.

Aus deinem HijackThis-Logfile entnehme ich, dass du den Rootkit-Revealer hast scannen lassen. Was ist dabei herausgekommen?

Bevor wir aber weitere Analysen mit zweifelhafter Perspektive durchführen, frage dich auch, ob du das Verfahren nicht abkürzen und deinen Rechner neu aufsetzen willst. Wenn er Teil eines Bot-Netzes ist, ist das die einzige Möglichkeit, ein vertrauenswürdiges System wiederherzustellen.

Und bis auf Weiteres solltest du den Rechner natürlich möglichst vom Netz trennen.

Hallo Franz,

Rootkit-Revealer-Scan (nochmals frisch) in drei Teilen im Anhang

Combofix-Log im Anhang

HijackTis-Log (danach) folgt in nächstem Posting im Anhang.

Neuaufsetzen des infizierten Rechners wollte ich eigentlich vermeiden, da ich einen neuen Rechner aufsetzen will. Da die gewünschte CPU (E8400 bzw. 8500) aufgrund Intels Politik voraussichtlich frühestens im April verfügbar (und erschwinglich) sein wird, ich meinen Rechner aber auch beruflich benötige (keine Angst: keine vertraulichen Fremddaten auf diesem Rechner), brauche ich für die nächsten Wochen einen DSL- bzw. Internet-fähigen Rechner. Daher wäre eine "Desinfektion" des aktuellen Rechners - wenn möglich - schon sehr schön ...


Grüße
Greg

Hier die HijackThis-Logdatei nach Combofix-Ausführung.
KOnnte sie als fünfte Datei nicht mehr an das Vor-Posting anhängen.

Greg

Die böse deskmon32.dll ist noch da. Lade dir also The Avenger, um sie loszuwerden.

Beachte bitte die Anleitung. Das einzukopierende Skript, von dem dort die Rede ist, ist

Zitat:

Files to delete:
C:\WINDOWS\SYSTEM32\deskmon32.dll

Poste auch in diesem Fall das Logfile und ein weiteres HijackThis-Logfile, das du nach der Anwendung von The Avenger und dem sich anschließenden Neustart erstellst. Ich werde morgen versuchen, mir alle Logfiles genauer anzusehen.