Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.03.2008, 17:33   #1
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Hallo allerseits,

Sophos Antivirus hat nach einem Trojaner-Befall (Troj/Agent-GPY und ein weiterer, dessen Namen ich nicht mehr erinnere, betroffen war die Datei mDNSResponder.exe) auf meiner XP-Pro Maschine die Datei "kdzqj.exe" im Ordner "C:\Windows\System32" entdeckt. Sie kann allerdings nicht gescannt werden, da dies einen Interface-Fehler (0xa0040210) bei Sophos erzeugt.

Auch kann ich die Datei im Explorer nicht sehen und andere Programme können sie nicht finden. Scans mit "Rootkit Hook Analyzer" und "Hijackthis" erbrachten keine Hinweise auf die Datei. Es gibt auch keinen aktiven Prozess mit diesem Namen.

Es existiert jedoch ein Eintrag in der Registry zu dieser Datei:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"="kdzqj.exe"

Und wenn ich irgendeine andere Datei (z.B. txt) mit "kdzqj.exe" im Titel erstelle, verschwindet diese ebanfalls!

Kann mir irgend jemand sagen, was da los ist auf meinem PC? Handelt es sich um Malware, und wenn ja, wie bekomme ich sie weg?

Mit bestem Dank

oelchen

Alt 24.03.2008, 18:09   #2
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Hallo,

wie groß ist die Datei? Kannst du Sie per Mail schicken?

Kannst Sie auch selbst mal bei Virustotal.com hochladen und überprüfen lassen. Dauert ein paar Minuten.
__________________


Alt 24.03.2008, 18:17   #3
raman
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Dem Namen nach ist das ein DNSchanger.
Erstelle einmal ein Combofix Report:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfügen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
__________________
__________________

Alt 24.03.2008, 18:49   #4
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



@ KleinerMarce:

Das war auch meine erste Idee. Aber da ich diese Datei weder sehen noch hochladen kann (habe ich probiert), fällt das wohl erstmal aus.

@ raman:

Seit dem Befall (heute ca. 14h) ist der PC nicht neu gestartet worden. Und das möchte ich erstmal vermeiden, da Malprogramme ja gerne kleine Ostereier verstecken, die dann beim nächsten Systemstart aktiv werden. Ich habe zwar die Registry von allen verdächtigen Einträgen bereinigt (vgl. Sophos-Removal-Anweisungen), allerdings bin ich mir dafür nicht sicher genug. Kann man es daher irgendwie vermeiden, dass ein Neustart passiert?

Und der Name mDNSResponder kommt vom Apple Bonjour-Service:

Bonjour Service mDNSResponder - Forum - CHIP Online

Allerdings war das bei mir möglicherweise eher ein als solcher getarnter Schädling. Jedenfalls ist das Programm entfernt.

Alt 24.03.2008, 18:52   #5
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Sichtbar machen kannst du die über die Ordneroptionen. Dort anklicken, dass du auch versteckte Dateien angezeigt haben möchtest! Aber Vorsicht: Dadurch werden auch Sytemdateien angezeigt, da nichts unbedachtes tun!!!


Alt 24.03.2008, 19:00   #6
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Das ist mir bekannt, selbstverständlich werden bei mir zur Zeit versteckte und Systemdateien angezeigt.

Nur zur Einordnung: ich war mehrere Jahre beruflich als Admin tätig, die gängigen Tricks und Kniffe sind mir bekannt. Das hier ist allerdings neu.

Alt 24.03.2008, 19:05   #7
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Hmmm. Aber wenn Sie in einem Ordner liegt bzw. aktiv ist, muss diese ja auch irgendwo im System zu finden sein.

Alt 24.03.2008, 19:07   #8
raman
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Wenn das ein DNS Changer ist, ist er eh schon aktiv. Das solltest du aber auch an O17 Eintraegen in HijackThis Reporten sehen koennen.Wenn du einen Neustart vermeiden Willst, nutze Catchme und schaue, was es findet.


http://files.thespykiller.co.uk/catchme.exe
Einfach starten und scan druecken. Auf dem Desktop erstellt es dann die Report Datei.
__________________
MfG Ralf

Alt 24.03.2008, 19:52   #9
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Danke für die guten Tips! Hier mal ein HijackThis und ein catchme Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:46, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Switch Off\swoff.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QOELOADER] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe"
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Verknüpfung mit ole_login.lnk = I:\Persoenliche Daten\ole_login.bat
O4 - Startup: Verknüpfung mit Todo.lnk = I:\Aktuell\Todo.txt
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted IP range: http://192.168.1.1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170887453779
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\Software\..\Telephony: DomainName = psychologie.uni-kiel.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD92011-C901-4488-8AA7-DAF90E88D872}: NameServer = 85.255.116.21,85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B19CCF1-CE3A-4266-95B5-79A0ACDD5FDB}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: hpdj3500 - Unknown owner - C:\DOKUME~1\Ole\LOKALE~1\Temp\hpdj3500.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Switch Off - YaSoft - C:\Programme\Switch Off\swoff.exe

--
End of file - 9659 bytes


catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 19:22:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:58ffbc19
"s2"=dword:9962ade5
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,..
"khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e5,dc,24,cb,1b,37,b9,b7,d9,59,1f,fe,df,a4,de,4c,f5,f0,85,34,58,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,..
"khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:37,af,1a,0b,9d,7e,ae,d5,53,b1,89,c6,1d,7c,b4,0a,b5,4c,9a,b8,c1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

C:\WINDOWS\system32\kdzqj.exe 63460 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Die DNS-Einträge im hijackthis-Log sind in der Tat merkwürdig, war mir gar nicht aufgefallen. Allerdings bin ich über meinen Router mit dem Netz verbunden und erhalte diesen als DNS-Server per DHCP.

Und catchme findet sogar zwei versteckte Dateien:

"C:\Windows\system32\kdzqj.exe"
"Re_ Diss.:Zone.Identifier" in den temporären IE-Files

Mit catchme konnte ich die Dateien Zippen und könnte sie nun ggf. auch verschicken oder hochladen.

Alt 24.03.2008, 20:00   #10
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Dein Log hat schon einige Einträe, die nicht okey sind, aber jetzt nicht so, dass man aufschreien müsste.

Alt 24.03.2008, 20:58   #11
raman
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Wenn du dir die Muehe des Reihnigen machen willst, aber ich wuerde sauberes Backup zurueckspielen...

Fixwareout waere hier eine Moeglichkeit. Du kannst die Datei C:\WINDOWS\system32\kdzqj.exe aber auch loeschen, indem du bei catchme bei Script folgendes hineinkopierst:

files to delete:
C:\WINDOWS\system32\kdzqj.exe

Dann Run und Restart und die Datei ist weg, bzw in die catchme.zip auf deinem Desktop gepackt. Du kannst sie ja bei Virustotal.com pruefen lassen. Das Ergebniss wuerde mich interessieren.

Aber der Rest der von der Malware verursachten Aenderungen musst du auch noch rueckgaengig machen...

Re_ Diss.:Zone.Identifier wird nur wegen ADS gemeldet. Das ist zu vernachlaessigen, bzw gewollt...
__________________
MfG Ralf

Alt 24.03.2008, 21:13   #12
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Habe die Datei zur Verfügung. Enthält Schadroutine und lädt weiteren Code aus dem Internet nach.

AV-Scanner deklarieren Sie als Trojan.Win32.DNSChanger.ih

Alt 24.03.2008, 21:30   #13
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Ok, mein System scheint wieder sauber zu sein. Habe mit der BartPE gebootet und konnte von dort die "kdzqj.exe" löschen.

Allerdings ließ sich "Re_ Diss.:Zone.Identifier" auch so nicht löschen. Raman, du schriebst, das Programm ist harmlos bzw. seine Anwesenheit sogar erwünscht? Was ist denn das für ein Ding? Oder habe ich dich missverstanden?

Was mir noch zu denken gibt, ist der Registry-Eintrag für die "kdzqj.exe". Weiß jemand wofür der Eintrag "System" unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

zuständig ist? Google war da nicht so erfolgreich. Ich habe den nun erstmal leer gelassen.

Und schließlich sind da noch die DNS-Einträge im hijackthis-Log, die bisher nicht verschwunden sind. Ist das irgendwie kritisch?

Da lernt man ja noch mal richtig was, herzlichen Dank Jungs!

Alt 24.03.2008, 21:31   #14
oelchen
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



@ KleinerMarce:

Ist die Datei bei dir eigentlich auch versteckt, oder ist das nur in meinem System der Fall?

Alt 24.03.2008, 21:39   #15
KleinerMarce
Gast
 
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Standard

Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon



Also bei mir ist so eingestellt, dass es ausnahmslos alles anzeigt.

Nur habe ich hier Windows 98 laufen und die Datei gibt es nicht.

Ansonsten:
Winlogon ist ein Anmeldedienst von Windows. Also so harmlos wie Windows selbst ^^

Re_ Diss.:Zone.Identifier gehört tatsächlich zum ADS Alternate Data Streams – Wikipedia

Antwort

Themen zu Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
aktive, antivirus, c:\windows, confused, datei, entdeck, explorer, handel, hijack, hijackthis, hook, malware, microsoft, namen, nicht mehr, ordner, programme, prozess, registry, rootkit, software, system, system32, version, versteckte, windows, winlogon



Ähnliche Themen: Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows7: Datei "dwm.exe" im Ordner "iswizard05" lässt sich nicht löschen
    Log-Analyse und Auswertung - 20.02.2014 (19)
  3. Unbekannter Eintrag unter "Dienste"
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (3)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Infektion "Internet Security Pro"/ "wmdefender.exe" unter Vista; Keine Erkennung mit MBAM
    Log-Analyse und Auswertung - 22.08.2013 (19)
  6. Notebook bootet nicht, Fehlermeldung "windows\system 32\drivers\aswRvrt.sys" "status: 0Xc0000221"
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (17)
  7. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  8. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  9. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  10. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  11. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  12. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  13. "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (39)
  14. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  17. Was bedeutet der Eintrag unter "O 20" ?
    Log-Analyse und Auswertung - 24.04.2006 (23)

Zum Thema Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon - Hallo allerseits, Sophos Antivirus hat nach einem Trojaner-Befall (Troj/Agent-GPY und ein weiterer, dessen Namen ich nicht mehr erinnere, betroffen war die Datei mDNSResponder.exe) auf meiner XP-Pro Maschine die Datei "kdzqj.exe" - Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon...
Archiv
Du betrachtest: Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.