Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verdacht auf W32/Brontok-DP

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.08.2008, 14:25   #1
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hallo,

erstmal möchte ich mich dafür entschuldigen das ich in letzter zeit so viele Themen eröffne, aber ich kann nichts dafür das mein Pc spinnt.
Jetzt zum eigentlichen Thema:
ich habe den Verdacht das ich auf meinem Pc den Wurm W32/Brontok-DP habe. Auf diesen Verdacht bin ich gestoßen als ich mit dem integrierten Malware scanner der Comodo Firewall mein System scannen lies. Das erste mal stoppte er bei etwa 9 Minuten Suchzeit (für meinem Pc hat der Scanner normalerweise immer 12 Minuten benötigt). Ich schaute nach wie die Datei hies bei dem der Scanner so abrupt stoppte. Sie hieß Defalut.pif und liegt in C:\WINDOWS. Also ließ ich noch ein 2. mal Scannen diesmal stoppte er nach 6 Minuten wieder bei Default.pif. Genauso beim 3. und 4. aml. Er stoppt immer bei Default.pif. Also googlete ich mal nach _Default.pif da landete ich hier http://www.sophos.de/security/analyses/viruses-and-spyware/w32brontokdp.html . Hab dann mal nach den genannten Dateien: <Stamm>\autorun.inf, <Windows>\SoftWareProtector\smss_out.pr, <Windows>\winxp.inf gesucht. Gefunden wurde nur die autorun.inf allerdings in einem anderen Ordner nämlixh: C:\Dokumente und Einstellungen\mein Benutzername\Downloads\TeamViewerPortable_de. Hab dann mal bei der datei unter Eigenschaften nachgeschaut wann sie erstellt wurde und das irritierte mich dann, da steht nämlich:
Erstellt: Gestern, 2.August 2008, 13:23:47
Geändert am: Freitag, 18.Juli 2008, 11:55:40 (hä?, wusste gar nicht das man dateien ändern kann bevor es sie überhaupt gibt )
Letzter Zugriff: Heute, 3. August 2008, 14:17:46
dann stand unten noch dran: Sicherheit: Die Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell geblockt.
Dann hab ich nach _default.pif gesucht. Sollte ja in C:\Windows liegen (nach dem Scanner der Firewall). da nliegt auch ne datei namens _ default aber nix von .pif. Keine Ahnung was das _default in C:\Windows ist ich tippe mal auf .bat oder so was.
Dan hab ich noch zufällig in C:\Windows eine 2. explorer.exe gefunden (name: explorer(2).exe) daneben lag die explorer.exe diese dateien (_default, explorer.exe, explorer(2).exe) wären alle am Dienstag, 28. februar 2006, 14:00:00 erstellt worden und die 2 explorer.exe wären am Montag, 14 April 2008, 07:52:46 geändert worden. Blos hatte ich diesen Pc 2006 noch gar nicht und zwischen dem 14. April und heute musste ich den schon 2 oder 3 mal wieder neuafsetzen.
Wie wenn das noch nicht alles komisch genung wäre kommen noch mehr mekrwürdige Dinge.
1. Unter C:\Dokumente und Einstellung ist ein Benutzerordner aufgetaucht mit meinem jetzigen benutzernamen aber mit _2 dahinter.
Beispiel: mein Konto: MeinBenutzername
der andere Ordner: MeinBenutzername_2
Achja. Da gabs noch ein Problem mit der Ask Toolbar. Als ich die nämlich deinstallieren wollte hab ich zuerst den Eintrag unter Programmzugriff und-Standards nicht gefunden. Hab dann versucht die .dlls un alees andere so zu löschen. Ging aber nicht bei der AskSBar.dll kam immer zugriff verweigert, auch mit Administrator rechten. im abgesicherten Modus konte ich sie löschen. Danach fand ich aber auch einen Eintrag unter Programmzugriff und-Standards und deinstallierte so die Toolbar.

So das ist oder besser gesagt sind meine Probleme. Ich hoffe ihr könnt mir helfen.

Alt 03.08.2008, 15:51   #2
myrtille
/// TB-Ausbilder
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hi,

es gibt eine _default.pif die standardmäßig zu Windows gehört.
Du kannst deine Version ja mal bei virustotalhochladen und das Ergebnis hier posten. (Dasselbe gilt auch für die explorer).

pif Dateien werden nicht standardmäßig angezeigt. Wenn du das unbedingt möchtest, kann man das einstellen, ist aber an sichnicht notwendig.

Die Erstelldaten sind nicht unbedingt das Datum an dem die Datei auf deinem Rechner erstellt wurde. Wenn du noch ein wenig weitersuchst, wirst du auch noch Dateien finden, die bereits 2001 oder 1999 erstellt wurden.

lg myrtille
__________________

__________________

Alt 03.08.2008, 17:12   #3
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



ok

hab die _default datei un die explorer(2).exe bei Jotti hochgeladen, weil bei Virustotal wären sie angeblich schonmal hochgeladen worden. Bei allen Dateien wurde nichts gefunden. Jetzt bleiben mir nur noch die Fragen:
1. Warum stopt der scanner immer bei der _default Datei obwohl er noch gar nicht alles gescannt hat?
2. Warum hab ich 2 mal die Explorer.exe in C:\Windows?
3.Warum ist unter C:\Dokumente und Einstellungen ein Ordner der den gleichen Namen meines Benutzerkontos hat und das -> _2, dahinter steht?

ich hoffe mir kann jemand auch diese Fragen beantworten.

EDIT: Achja, mein Port80 ist auch blockiert durch irgend etwas. Hab mal gehört das könnte mit Backdoors zu tun haben.
__________________

Geändert von Damnek (03.08.2008 um 17:13 Uhr) Grund: Etwas vergessen

Alt 03.08.2008, 17:48   #4
myrtille
/// TB-Ausbilder
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Könnte ich die Ergebnisse sehen? Insbesondere interessiert mich die MD5

Hängt sich der Scanner auf? Oder ist er dann einfach fertig? Woher weißt du, dass der Scan noch nicht fertig ist? Finden andere Onlinescanner etwas?

Ob und wieso die Ordner in doppelter Ausführung vorhanden sind, kann dir wahrscheinlich keiner sagen.
Hat vielleicht mal jemand ein Backup erstellt und es benutzername_2 genannt?

Eventuell hast du/hat jemand mal eine Kopie des explorers erstellt? Sind die Dateien denn identisch?

Port 80 ist der Standard Port für http. Wäre der tatsächlich geblockt würdest du wahrscheinlich nicht online kommen.

Wer sagt denn, dass du geblockt werden würdest?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 03.08.2008, 19:06   #5
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



hallo,

Zitat:
Könnte ich die Ergebnisse sehen? Insbesondere interessiert mich die MD5
von was willst du die Ergebnisse sehen und von wo was willst du die md5?

Zitat:
Hängt sich der Scanner auf? Oder ist er dann einfach fertig? Woher weißt du, dass der Scan noch nicht fertig ist? Finden andere Onlinescanner etwas?
Der Scanner sagt das er feritg sei. Ich weis das der Scan noch nicht fertig ist weil er immer bei einer bestimmten datei aufhörte werde meinen Pc mal vom F-Secure Onlinescanner scannen lassen.

Zitat:
Ob und wieso die Ordner in doppelter Ausführung vorhanden sind, kann dir wahrscheinlich keiner sagen.
Hat vielleicht mal jemand ein Backup erstellt und es benutzername_2 genannt?
Nein ich hab kein anderes Benutzerkonto erstellt. Und wenn dann würde ich es nicht MeinBenutzername_2 nennen.

Zitat:
Eventuell hast du/hat jemand mal eine Kopie des explorers erstellt? Sind die Dateien denn identisch?
es ist nicht der Ordner, der Windows-Explorer heist, der doppelt vorhanden ist, sondern die Explorer.exe.

Zitat:
Port 80 ist der Standard Port für http. Wäre der tatsächlich geblockt würdest du wahrscheinlich nicht online kommen.
Hab ich im nachhinein auch gemerkt (siehe nächster punkt)

Zitat:
Wer sagt denn, dass du geblockt werden würdest?
Der clipinc4 player, mir ist aber gerade eingefallen das ich den selber geblockt habe

Jetzt hab ich noch eine Kleinigkeit. Weis jetzt aber nicht wie ich das erklären soll. Ich versuchs einfach mal. Wenn ich im Internet bin, dann ist der Firefox manchmal nicht mehr das Fenster im Vordergrund. Also die Titelleiste wird hellblau und ich kannnciht mehr scrollen. Es öffnet sich aber kein Fenster meistens ist das auch nur 1 oder 2 Sekunden lang dann kann ich wieder scrollen manchmal bleibt das aber so und ich muss in das Firefox Fenster klicken, dass ich weiter scrollen kann. Manche Spiele minimieren sich auch von alleine obwohl kein Fenster geöffnet wurde.

Die ergebnisse vom F-Secure Scan poste ich wenn er fertig gescannt hat.

Mit freundlichen Grüßen
Damnek


Alt 03.08.2008, 19:21   #6
myrtille
/// TB-Ausbilder
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hi,
sorry da hab ich wohl zu schnell geantwortet.
Zitat:
Zitat von Damnek Beitrag anzeigen
von was willst du die Ergebnisse sehen und von wo was willst du die md5?
Ich hätte gern die Auswertungen von den 3 Dateien gesehen, die du bei virustotal/jotti hochgeladen hast.
Eigentlich interessieren mich hauptsächlich die md5-Hashes.
Zitat:
Der Scanner sagt das er feritg sei. Ich weis das der Scan noch nicht fertig ist weil er immer bei einer bestimmten datei aufhörte werde meinen Pc mal vom F-Secure Onlinescanner scannen lassen.
Liegt es vielleicht an einem Update des Programms, das bewirkt, dass der Scanner jetzt anders scannt?
Was scannt Comodo denn genau? Alle Dateien? Laufende Prozesse? Noch was anderes?
Ich kenn den Scanner von Comodo nicht, kann daher auch nicht viel dazu sagen.

Wenn die anderen Scans aber sauber sind, würde ich sagen, dass das kein Anzeichen für einen Befall ist.
Erstell vielleicht auch mal ein HijackThis Log und poste es hier.

Zitat:
Nein ich hab kein anderes Benutzerkonto erstellt. Und wenn dann würde ich es nicht MeinBenutzername_2 nennen.
Nein, ich meinte auch nicht, dass ein weiteres Benutzerkonto erstellt wurde, sondern das du ein Backup erstellt hast.
Ich hatte zum Beispiel bei einer Installation mal ein Backup des Ordners C:\Dokumente und Einstellungen\Benutzer gemacht. Da hatte ich dann auch einen Ordner Benutzer_backup zusätzlich zu dem normalen Benutzerordner unter C:\Dokumente und Einstellungen.
Vielleicht lief es bei dir ja ähnlich?

Zitat:
es ist nicht der Ordner, der Windows-Explorer heist, der doppelt vorhanden ist, sondern die Explorer.exe.
Sorry, auch hier bin ich zu schnell gesprungen.
Ich hatte verstanden, dass die Datei doppelt vorhanden ist. Deswegen würd ich gern auch die MD5-Hashes der Dateien haben (siehe oben) um festzustellen ob es sich um legitime explorer.exe Varianten handelt und ob explorer.exe und explorer(2).exe identishc sind.


Zitat:
Also die Titelleiste wird hellblau und ich kannnciht mehr scrollen. Es öffnet sich aber kein Fenster meistens ist das auch nur 1 oder 2 Sekunden lang dann kann ich wieder scrollen manchmal bleibt das aber so und ich muss in das Firefox Fenster klicken, dass ich weiter scrollen kann. Manche Spiele minimieren sich auch von alleine obwohl kein Fenster geöffnet wurde.
Da kann ich auf die schnelle auch nicht viel sagen.
Einfach ins blaue geraten: Es könnte sich zb um ein Updateprogramm handeln, dass sich startet und so andere Programme lahmlegt.
Etwa das Antivirenprogramm oder Windowsupdates (würde mich wundern) oder Java, oder Adobe, oder...

Vielleicht hilft es wenn du beim nächsten Stocken mal schaust ob im Taskmanager ein Programm besonders viel Last verursacht.

lg myrtille
__________________
--> Verdacht auf W32/Brontok-DP

Alt 03.08.2008, 21:21   #7
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Guten Abend,

Zitat:
Ich hätte gern die Auswertungen von den 3 Dateien gesehen, die du bei virustotal/jotti hochgeladen hast.
Eigentlich interessieren mich hauptsächlich die md5-Hashes.
Von wo krieg ich die?

Zitat:
Liegt es vielleicht an einem Update des Programms, das bewirkt, dass der Scanner jetzt anders scannt?
Was scannt Comodo denn genau? Alle Dateien? Laufende Prozesse? Noch was anderes?
Ich kenn den Scanner von Comodo nicht, kann daher auch nicht viel dazu sagen.
Im Menü von Comodo steht ,,Scan my System". ich denek mal das das alles scannt. Ich schaute bei den Scans zu, und dabei viel mir auf das ein paar Sachen fehlten (komplette Systemwiederherstellung das weis ich was noch fehlt weis ich nicht). Das der Scanner durch ein Update anderst Scannt bezweifel ich, denn er scannt ja alles auch nur 6 Minuten anstatt der üblichen 12 Minuten.

Zitat:
Wenn die anderen Scans aber sauber sind, würde ich sagen, dass das kein Anzeichen für einen Befall ist.
Erstell vielleicht auch mal ein HijackThis Log und poste es hier.
Hab mit dem Kaspersky Online Scanner scannen lassen (der F-Secure hate immer irgend etwas mit Netztwerk fehler und konnte so die nötigen dateien nicht runterlade. Ich denk aber mal das es da keine großen Unterschiede bei den Scannern gibt). Kaspersky fand nichts. Mein Installiertes Avira Antivir fand auch nichts. Der HijackThis Log steht unten ebenso wie die Reporte von Kaspersky.

Zitat:
Nein, ich meinte auch nicht, dass ein weiteres Benutzerkonto erstellt wurde, sondern das du ein Backup erstellt hast.
Ich hatte zum Beispiel bei einer Installation mal ein Backup des Ordners C:\Dokumente und Einstellungen\Benutzer gemacht. Da hatte ich dann auch einen Ordner Benutzer_backup zusätzlich zu dem normalen Benutzerordner unter C:\Dokumente und Einstellungen.
Vielleicht lief es bei dir ja ähnlich?
Kann mich nicht daran erinnern diesen Ordner kopiert zu haben. Er wurde am 22. Juli 2008 erstellt. An diesem tag hatte ich die Zonealarm Firewall installiert und die Administratorrechte auf ein anderes Konto verschoben. Dann hat Zonealaram aber Probleme gemacht, also hab ich es deinstalliert und aus einem unerklärlichen Grund hab ich halt wieder die Adminrechte auf dem ursprünglichen Adminrechte Konto haben wollen, und einfach eine Systemwiederherstellung gemacht. War ne Blöde idee denn danach waren unter Programmzugriff und Standards nur noch die Programme die auf C: installiert waren aufgelistet und ich konte sie nicht deinstallieren. Hab dazu auch ein Thema eröffnet (finde es leider nicht mehr). Durch eine weiter Systemwiederherstellung konnte ich das Problem beheben.

Zitat:
Sorry, auch hier bin ich zu schnell gesprungen.
Ich hatte verstanden, dass die Datei doppelt vorhanden ist. Deswegen würd ich gern auch die MD5-Hashes der Dateien haben (siehe oben) um festzustellen ob es sich um legitime explorer.exe Varianten handelt und ob explorer.exe und explorer(2).exe identishc sind.
Nun ich weis ja nicht wo ich diese Md5 Hashes herkriege.

Zitat:
Da kann ich auf die schnelle auch nicht viel sagen.
Einfach ins blaue geraten: Es könnte sich zb um ein Updateprogramm handeln, dass sich startet und so andere Programme lahmlegt.
Etwa das Antivirenprogramm oder Windowsupdates (würde mich wundern) oder Java, oder Adobe, oder...
Nun, so oft wie das manchmal passiert kann das kein Updateprogramm sein. Antivir sieht man ja wen es updatet, Windowsupdates benachrichtigt einen, Adobe habe ich nicht, und Java ist glaub ich noch aktuell.

Zitat:
Vielleicht hilft es wenn du beim nächsten Stocken mal schaust ob im Taskmanager ein Programm besonders viel Last verursacht.
Beim nächsten längeren Stocken werde ich es mal versuchen. Manchmal ist das (wie schon erwähnt) sehr schnell wieder weg.

So hier ein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:25, on 03.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
e:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Comodo\Css\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\Programme\ICQ 6\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [css] C:\Programme\Comodo\Css\cssurf.exe /s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "e:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\PROGRA~1\Comodo\Css\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - e:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 6895 bytes

Kaspersky Report

Critical Areas

Sunday, August 3, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, August 03, 2008 19:07:07
Records in database: 1048708
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area Critical Areas
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
C:\Dokumente und Einstellungen\Dominik\Startmenü\Programme\Autostart
C:\Program Files
C:\Programme
C:\WINDOWS
Scan statistics
Files scanned 19153
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:11:55

No malware has been detected. The scan area is clean.
The selected area was scanned.

My computer

Sunday, August 3, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, August 03, 2008 19:07:07
Records in database: 1048708
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Files scanned 120564
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:50:27

No malware has been detected. The scan area is clean.
The selected area was scanned.

Wo ich die Md5 Sachen herkriege weis ich nicht. Aber ich hoffe jemand kann mit dem was ich bis jetzt geliefert habe etwas anfangen.

Schönen Abend noch
Damnek

Alt 03.08.2008, 22:13   #8
myrtille
/// TB-Ausbilder
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hi,

die MD5 Summen werden bei virustotal mit angegeben, wenn du die Datei auswerten lässt bzw das Ergebnis anzeigen lässt.
Beispiel bei virustotal (MD5, Dateigröße etc, stehen unter "Weitere Informationen")


Ich kann nur wenig finden zum Scanner von Comodo. Daher kann ich auch nicht wirklich was zu seiner Funktionsweise sagen.

Dein Kasperskylog ist sauber, wenn Antivir auch nichts findet, würde ich denken du bist sauber.
Das Hijackthislog ist auch sauber. Man sieht doch allerdings ein paar Updater, die immer im Hintergrund laufen:
[quote
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
[/quote]

Das sind jetzt nur ein paar Beispiele. Antivir und Comodo werden zum Beispiel sicherlich auch Updater im Hintergrund am laufen haben.

Zitat:
Kann mich nicht daran erinnern diesen Ordner kopiert zu haben. Er wurde am 22. Juli 2008 erstellt. An diesem tag hatte ich die Zonealarm Firewall installiert und die Administratorrechte auf ein anderes Konto verschoben. Dann hat Zonealaram aber Probleme gemacht, also hab ich es deinstalliert und aus einem unerklärlichen Grund hab ich halt wieder die Adminrechte auf dem ursprünglichen Adminrechte Konto haben wollen, und einfach eine Systemwiederherstellung gemacht. War ne Blöde idee denn danach waren unter Programmzugriff und Standards nur noch die Programme die auf C: installiert waren aufgelistet und ich konte sie nicht deinstallieren. Hab dazu auch ein Thema eröffnet (finde es leider nicht mehr). Durch eine weiter Systemwiederherstellung konnte ich das Problem beheben.
Schwer zu sagen, mit welcher Aktion der Ordner erstellt worden ist. Aber ich denke man kann ausschließen, dass der Ordner mit bösartigen Absichten erstellt worden ist.

Zitat:
Nun, so oft wie das manchmal passiert kann das kein Updateprogramm sein. Antivir sieht man ja wen es updatet, Windowsupdates benachrichtigt einen, Adobe habe ich nicht, und Java ist glaub ich noch aktue
Updater laufen immer mit wenn der Rechner an ist und überprüfen in regelmäßigen Abständen ob Updates verfügbar sind. Der Updater von Java läuft bei dir zum Beispiel. (fettmarkiert im Beispiel)
Wenn das jedoch nicht der Fall ist gibt es auch andere Möglichkeiten.

Es kann sich zb auch um Softwareprobleme handeln, es gab vor Monaten mal Probleme mit Comodo und Antivir, die das Hochfahren sehr in die Länge gezogen haben.
Eventuell verweigert Windows Defender auch Zugriff auf bestimmte Dateien und löst so die Symptome aus.

Oder es ist etwas viel Banaleres und es klemmt eine Taste an deiner Maus oder die Treiber sind nicht richtig installiert und es kommt dadurch zu den von dir beschriebenen Problemen.

Wie gesagt, bei so "wagen" Problemen ist eine Diagnose sehr schwierig.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 03.08.2008, 23:05   #9
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hallo,

hab die Dateien bei Virustotal hochgeladen (weis jetzt auch warum es vorher nicht ging. Noscript hatte scripte verboten und somit ging es nicht)
Hier die Auswerungen:

_default.pif: File size: 707 bytes
MD5...: b317b33694bac49d492dd3f23e374899
SHA1..: c2bca58b30bcf543ff648e4653258422ebc2f364
SHA256: 75caf5aca5b155afbd4ce7effe825fe1bf4767a0afee64a8d726c5e9694fa33a
SHA512: 403be96fcc862cc3814a0aa20ccbfa3a7ea946877beb7b4e0da81fb75616669f
0fba3acac3a066a9187a677f45c15329a24e1c40dc5094217dcf2b2386488df7
PEiD..: -
PEInfo: -

explorer.exe: File size: 1036800 bytes
MD5...: 418045a93cd87a352098ab7dabe1b53e
SHA1..: 98b9ad668e0727be888b861f49aac0f72725e634
SHA256: 81419093ccb985da284931fa3df41c4cfe25350db1c366792903411819371664
SHA512: 15aed88028fb4dcd35ffc4191356ee3d81298761ed1ee12f418bae01e769657f
79751c80b02ef01d088334f003c017f7866dc169e34f75b8a112a92a6e36ee44
PEiD..: -

explorer(2).exe: File size: 1036800 bytes
MD5...: 418045a93cd87a352098ab7dabe1b53e
SHA1..: 98b9ad668e0727be888b861f49aac0f72725e634
SHA256: 81419093ccb985da284931fa3df41c4cfe25350db1c366792903411819371664
SHA512: 15aed88028fb4dcd35ffc4191356ee3d81298761ed1ee12f418bae01e769657f
79751c80b02ef01d088334f003c017f7866dc169e34f75b8a112a92a6e36ee44
PEiD..: -

Hab gerade gemerkt das da noch ein sehr langer log unter allen datein drunter stand den hab ich jetzt mal nicht kopiert.
Hab nun auch den Lionk zu meinemj Problem mit Zonealarm gefunden:
http://www.trojaner-board.de/56618-i...tup-virus.html
ab diesem Problem hat nämlich irgendwie alles angefangen. Danach kam nämlich das: http://www.trojaner-board.de/56949-t...patched-m.html

Ich glaube ich werde wieder Kaspersky 7 benutzen, ist zwar die Computerbild Edition aber einen großen unterschied gibt es ,glaub ich, nicht, denn meiner Meinung nach sollte eine Firewall nicht nach Malware suchen sondern meine Verbindungen überprüfen.
Jetzt ist mir eins immernoch nicht klar. Warum stoppt der Scanner bei der _default.pif?

Mit freundlichen Grüßen
Damnek

EDIT: Für mich sehen die 2 explorer.exe identisch aus

Geändert von Damnek (03.08.2008 um 23:07 Uhr) Grund: was verdessen

Alt 04.08.2008, 10:41   #10
myrtille
/// TB-Ausbilder
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hi,
warum Comodo jetzt da stoppt kann ich dir nicht sagen. Eventuell hilft man dir im Comodoforum damit weiter.

Du hast bereits ein Antivirus auf deinem Rechner: AntiVir
Installiere bitte kein weiteres.
Das Problem bei den Antivirenprogrammen ist der Hintergrundwächter. 2 Programme mit Hintergrundwächter werden sich gegenseitig behindern und so die Sicherheit deines Rechners behindern.

Wenn du also Kaspersky installieren möchtest, dann deinstalliere bitte vorher Antivir.

(Das Problem besteht bei Comodo und Onlinescannern nicht, weil sie eben keine Hintergrundwächter haben. Sondern nur scannen, wenn du sie explizit ausführst)

Die _default.pif ist die Standardwindowsdatei. Die Explorer.exe ist identisch mit der Explorer(2).exe und scheint auch eine legitime Windowsvariante zu sein.
Ich würd die Explorer(2).exe löschen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 04.08.2008, 13:59   #11
Damnek
 
Verdacht auf W32/Brontok-DP - Standard

Verdacht auf W32/Brontok-DP



Hallo,

Zitat:
Du hast bereits ein Antivirus auf deinem Rechner: AntiVir
Installiere bitte kein weiteres.
Das Problem bei den Antivirenprogrammen ist der Hintergrundwächter. 2 Programme mit Hintergrundwächter werden sich gegenseitig behindern und so die Sicherheit deines Rechners behindern.
Das weis ich ich bin doch nicht blöd

Zitat:
Wenn du also Kaspersky installieren möchtest, dann deinstalliere bitte vorher Antivir.
Hab ich ja auch vor und dann noch die Registry reinigen lassen das nichts mehr von Antivir, Spybot und Comodo übrig bleibt.

Die Explorer(2).exe werde ich löschen. Den MeinBenutzername_2 Ordner werde ich auch löschen denn, da ist ja nichts drin auser den Standard Ordnern.
Dann scheint mein Pc ja in Ordnung zu sein.

Ich danke dir vielmals für deine Hilfe und hoffe das ich jetzt mal eine weile keine Hilfe mehr benötigen werde.
Danke nochmals.

Mit freundlichen Grüßen
Damnek

Antwort

Themen zu Verdacht auf W32/Brontok-DP
abgesicherten modus, administrator, aus sicherheitsgründen, autorun.inf, besser, comodo, datei, dateien, einstellungen, erste mal, erstellt, explorer.exe, firewall, google, helfen, keine ahnung, lag, malware, ordner, problem, scan, scanner, sicherheit, sicherheitsgründe, sicherheitsgründen, system, verdacht, wurm, zufällig, zugriff, zugriff verweigert, ändern



Ähnliche Themen: Verdacht auf W32/Brontok-DP


  1. W7: Worm.Brontok u.v.m. lässt sich nicht entfernen
    Log-Analyse und Auswertung - 03.02.2015 (10)
  2. brontok.q lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.08.2014 (6)
  3. WORM/Brontok.659874
    Plagegeister aller Art und deren Bekämpfung - 24.02.2014 (6)
  4. Verdacht auf Malware
    Log-Analyse und Auswertung - 08.01.2014 (140)
  5. Verdacht auf Keylogger
    Log-Analyse und Auswertung - 07.05.2011 (16)
  6. Verdacht auf Botnetz
    Antiviren-, Firewall- und andere Schutzprogramme - 07.04.2011 (19)
  7. Verdacht auf Virenbefall
    Log-Analyse und Auswertung - 21.02.2010 (4)
  8. Verdacht auf KeyLogger
    Log-Analyse und Auswertung - 21.02.2010 (2)
  9. gefakter Virus Win32.Brontok
    Log-Analyse und Auswertung - 18.07.2009 (5)
  10. Allgemeiner Verdacht
    Mülltonne - 01.07.2008 (1)
  11. zlob und Win32.Brontok.ct auf dem PC
    Log-Analyse und Auswertung - 28.06.2008 (6)
  12. Verdacht auf Schadsoftware
    Log-Analyse und Auswertung - 21.06.2008 (7)
  13. Verdacht auf Spyware
    Log-Analyse und Auswertung - 16.06.2008 (2)
  14. conime.exe*32 Verdacht
    Plagegeister aller Art und deren Bekämpfung - 14.06.2008 (1)
  15. verdacht auf spys
    Log-Analyse und Auswertung - 12.06.2008 (1)
  16. Verdacht !
    Log-Analyse und Auswertung - 01.11.2005 (1)
  17. Verdacht !!!!
    Log-Analyse und Auswertung - 25.09.2005 (2)

Zum Thema Verdacht auf W32/Brontok-DP - Hallo, erstmal möchte ich mich dafür entschuldigen das ich in letzter zeit so viele Themen eröffne, aber ich kann nichts dafür das mein Pc spinnt. Jetzt zum eigentlichen Thema: ich - Verdacht auf W32/Brontok-DP...
Archiv
Du betrachtest: Verdacht auf W32/Brontok-DP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.