Log-Analyse und Auswertung: LOg

[Fear]dot[Com] · 18.10.2004, 20:15

Hallo zusammen,

habe mir bislang keine großen Gedanken über Datensicherheit gemacht. Habe dann hier in diesem Forum zum ersten mal von HijackThis gehört und mir die neueste Version runtergeladen.

Da ich eben ein ziemlicher noob bin, sagt mir der Log leider nichts. Was könt Ihr daraus entnehmen?

Gruß und Dank

Thomas

Logfile of HijackThis v1.98.2
Scan saved at 21:02:13, on 18.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Copy Handler\Copy Handler.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
C:\WINDOWS\System32\cmd.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ebay.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://********/proxyconf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.piper-net.de:80;gopher=proxy.piper-net.de:80;https=proxy.piper-net.de:80
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Copy handler] C:\Programme\Copy Handler\Copy Handler.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ABC] C:\PROGRA~1\JTHABC~1\Keylogger.exe
O4 - HKCU\..\Run: [TransparentIcons] "C:\Programme\Tweak-XP Pro\tranicon.exe" -ex
O4 - HKCU\..\Run: [VirtualDrive-B:] subst.exe B: C:\DOKUME~1\THOMAS~1\Desktop
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5440EBA8-DDDF-4FB0-A7A4-DB19EB5F6FA2}: NameServer = 83.218.32.227,83.218.34.194
O19 - User stylesheet: (file missing)

Wattewuschel · 18.10.2004, 20:46

Hallo!

Dein Windows XP ist nicht gepatcht. Lade dir mal bei Windows die aktuellen updates runter (http://windowsupdate.microsoft.com ).

Dein Internetexplorer ist auch nicht auf den neuesten stand, ich empfehle ein update oder besser die verwendung eines alternativen sichereren browsers (z.b. Mozilla Firefox ).

Starte dein Windows im abgesicherten Modus (Neustart, F8 drücken vor erscheinen des Windows-Logos), deaktiviere die Systemwiederherstellung (Arbeitsplatz, rechte Maustaste, Eigenschaften, Systemwiederherstellung, Häkchen rausnehmen).

Dann fixe folgende Einträge:

O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

O4 - HKLM\..\Run: [ABC] C:\PROGRA~1\JTHABC~1\Keylogger.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

überprüfe folgende einträge und fixe sie, falls du die website/ das programm nicht kennst:

C:\Programme\Copy Handler\Copy Handler.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://********/proxyconf

O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{5440EBA8-DDDF-4FB0-A7A4-DB19EB5F6FA2}: NameServer = 83.218.32.227,83.218.34.194

O19 - User stylesheet: (file missing)

eventuell folgende (weiß ich aber nicht genau):

F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe

F3 - REG:win.ini: run=

folgende Einträge sind überflüssig, können gefixt werden:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)

Danach Neustart, Systemwiederherstellung aktivieren. Benutzt du einen aktuellen virenscanner? ich empfehle dir auch noch folgende programme:Adaware , Spybot Search & Destroy , Spy Sweeper.

Und änder deine passwörter, da es möglich ist, dass jemand per keylogger deine daten ausspioniert hat.

[Fear]dot[Com] · 18.10.2004, 23:29

Sowerit ist alles klar, habe leider nicht verstanden was es bedeutet eintraege zu fixen! was bedeutet das? Ich benutze zudem schon lange nicht mehr den IE, habe Moyzilla Firefox, wie auch von Dir vorgeschlagen, nur eben schon seit geraumer Zeit!

GRUSS UND DANK

Lidius · 18.10.2004, 23:36

Fixen bedeutet im Programm HijackThis ein häkchen vor den betreffenden eintrag zu machen und dann auf Fix checked zu klicken.

Ich würde dir allerdings zuvor folgendes vorschlagen:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Eine Frage noch zum Schluss, warum hat dein System bisher keinerlei Windowsupdates gesehen? Diese sind auch notwendig wenn du nicht den Internet Explorer nutzt.

[Fear]dot[Com] · 20.10.2004, 09:26

Soooo, habe mir e-scan mal runtergeladen und werde im laufe des heutigen Tages mal deine Anweisung befolgen und im Abgesicherten Modus e-scan mal laufen lassen. Bezüglich der Updates. Habe das Service_pack 2 hier liegen und werde nun auch mal dazu übergehen dies aufzuspielen!

Melde mich wieder mit Ergebnissen

Gru0 und Dank

[Fear]dot[Com] · 20.10.2004, 12:33

MOin,

habe jetzt mal im abgesicherten Modus escan laufen lassen. Folgendes kam dabei heraus.:

File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\esba-4.exe infected by "Backdoor.Ruledor.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\System32\EGAUTH.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.
File C:\WINDOWS\System32\p2esocks_1014.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vxiewer.ocx infected by "TrojanDownloader.Win32.Holica.b" Virus. Action Taken: No Action Taken.
************++++++++++**************++++++++
Was müsste mir dabei Sorgen machen? Bzw. ist es notwendig dass ich meinen PC neu aufsetze? Habe versucht diese Viren mit aktueller Software zu entfernen, jedoch hat keine rpt keine Software den Virus entdeckt! Was rät mir denn an dieser Stelle der Fachmann?

Wie krieg ich meinen PC denn jetzt wieder sauber? -möglichst ohne Format C:\
Bin für jede antwort dankbar!

Gruß und Dank

Shadowdance · 22.10.2004, 03:23

Hallo [Fear]dot[Com],

ich gebe Dir hier Information zu dem Backdoor, den Du bedauerlicherweise auf Deinem System hast: Backdoor.Ruledor.e.

Dieser Trojaner sammelt Systeminformationen und versendet sie an seinen Auftraggeber. Dein System ist damit kompromittiert. Man könnte diesen Trojaner natürlich löschen, es ist nur fraglich, ob Dir damit geholfen ist. Überlege Dir, was Du tun willst. Ich gebe Dir eine Anleitung, wie Du den Backdoor und die anderen Malware-Dateien löschen kannst, um eine mittelfristige Lösung zu erreichen. Es löst das eigentliche Problem, nämlich, dass Dein System nicht mehr sicher ist, nicht.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Den 'RiskWare.Dialer.E-Group.d.' solltest Du auf Diskette sichern: Dialer-Hinweis.

Nach den Löscharbeiten in den normalen Modus booten und die Systemwiederherstellung aktivieren.

Lass uns wissen, wie Du Dich entscheidest, damit wir Dich beraten können, was zu tun ist, wenn Du Dein System formatieren musst. Es gibt viel, was zu beachten ist, um in Zukunft sicher surfen zu können.

SD

[Fear]dot[Com] · 25.10.2004, 13:26

Habe nun mal Deine Anleitung befolgt und alles im abgesicherten Modus gelöscht. Der aktuelle Log sagt nun "nur" noch folgendes aus.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Was bedeutet das denn? Ist das nun ein Virus oder was?

Wie dem auch sei, bezüglich des Backdoors, ist der nun runter oder net? Muss ich mir jetzt gerade noch irgendwelche Sorgen machen oder ist der PC sauber? Falls Nein, wie bekomme ich Ihn sauber? Ist es derzeitig nötig/angebracht den PC neu aufzusetzen? Was spricht dafür, was dagegen?

Gruß und Dank

NS.: Da ich nicht über die Telefonleitung ins Internet gehe, interessieren mich Dialer nicht die Bohne. Bzw. ich muss mir über solche keine Gedanken machen! Es lebe das Stromnetz

Shadowdance · 26.10.2004, 06:17

Hallo [Fear]dot[Com],

weißt Du was Links sind? Es sind Hinweise auf andere Seiten im Netz, wo sich Fachleute aller Art die Mühe gemacht haben, ihr Können und Wissen an einer Stelle zu versammeln. Wenn ich als einen Link in einen Thread setze, dann weil ich hoffe, dass der oder diejenige sich die Mühe macht, den Link anzuklicken und nachzulesen, was dort geschrieben steht.

Zu meinem grossen Erstaunen bekomme ich dann Fragen dieser Art:

Zitat:

Was bedeutet das denn? Ist das nun ein Virus oder was? Wie dem auch sei, bezüglich des Backdoors, ist der nun runter oder net? Muss ich mir jetzt gerade noch irgendwelche Sorgen machen oder ist der PC sauber? Falls Nein, wie bekomme ich Ihn sauber? Ist es derzeitig nötig/angebracht den PC neu aufzusetzen? Was spricht dafür, was dagegen?

Was der "Backdoor.Ruledor.e." ist, steht in meinem letzten Posting, was er macht, steht auch in meinem letzten Posting. Dass es sehr kompliziert ist, einen Backdoor vom System zu bekommen, hättest Du mit einigem Interesse hier an Board schon x-fach nachlesen können. Du musst Dir einige Sorgen machen, denn Dein System ist kompromittiert --> bitte lesen: www.mathematik.uni-marburg.de.
Solltest Du irgendwelche vertraulichen Angelegenheiten oder online-banking betreiben, kannst Du davon ausgehen, dass vielleicht jemand auf Deinem Rechner mitliest.

Also: der "Backdoor.Ruledor.e." löscht Anwendungen, die den Browser unterstützen, zerstört .DAT und.DLL files (Dateien und Funktionen), Adware (Schutz)Programme, enthält Systeminformation, sendet spezifische Systeminformationen per email an einen fremden User (Verursacher des Problems auf Deinem PC). Löschen allein genügt nicht, da diese Sorte Viren eine Vielzahl Einträge im System hinterlassen, in der Registry, im Autostart, sogar im Mailprogramm. Wenn Du Dir zutraust, die Einträge des Backdoors in der Registry zu erkennen und zu entfernen, dann tu's: Du musst nur unter anderem diese Schlüssel entfernen, aber das ist nur ein Teil der Arbeit:

1. Still in Registry Editor, right-click and delete the following registry keys in the left panel:
HKEY_LOCAL_MACHINE>Software>ClrSch
HKEY_LOCAL_MACHINE>Software>ClrSch>Loader
KEY_CLASSES_ROOT>CSIE.CSIECore
HKEY_CLASSES_ROOT>CSIE.CSIECore.1
HKEY_CLASSES_ROOT>CLSID>{00000000-0000-
0000-0000-000000000221}
HKEY_CLASSES_ROOT>Interface>{0F2A4ADC-DABF-
4980-8DB4-19F67D7B1F95}
HKEY_CLASSES_ROOT>TypeLib>{60494593-5408-
447D-BD5E-A16640D6AF99}
HKEY_LOCAL_MACHINE>Software>ClrSch
HKEY_LOCAL_MACHINE>Software>ClrSch>Loader
HKEY_LOCAL_MACHINE>Software>ClrSch>SideBar
HKEY_LOCAL_MACHINE>Software>ClrSch>SideSearch
HKEY_LOCAL_MACHINE>Software>Classes>CSIE.CSIECore
HKEY_LOCAL_MACHINE>Software>Classes>CSIE.CSIECore>CLSID
HKEY_LOCAL_MACHINE>Software>Classes>CSIE.CSIECore>CurVer
HKEY_LOCAL_MACHINE>Software>Classes>CSIE.CSIECore.1
HKEY_LOCAL_MACHINE>Software>Classes>CSIE.CSIECore.1>CLSID
HKEY_LOCAL_MACHINE>Software>Classes>CLSID>{00000000-
0000-0000-0000-000000000221}
HKEY_LOCAL_MACHINE>Software>Classes>Interface>{0F2A4ADC-
DABF-4980-8DB4-19F67D7B1F95}
HKEY_LOCAL_MACHINE>Software>Classes>TypeLib>{60494593-
5408-447D-BD5E-A16640D6AF99}
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>
{00000000-0000-0000-0000-000000000221}
2. Close Registry Editor.

entnommen aus: BKDR_RULEDOR.E

Sollte Dir das nicht allzuviel sagen, empfehle ich Dir die 10 Punkte Lösung, das ist ein Link zu dem zusammengetragenen Wissen von MountainKing und Raman am Protecus.de-Security-Forum.

Ich hab gestern eine Information zusammengestellt, die Anleitung geben soll, wenn man Backdoors dieser Art auf dem System hat, wobei es nichts ausmacht, ob dieser Backdoor nun "Backdoor.Ruledor.e." heisst oder "Backdoor.Win32.Rbot.gen" - der Effekt ist der gleiche. Wenn Du ein Interesse hast, zu erfahren, wie Du Dich verhalten musst und was zu beachten ist, um zum einen die Festplatte zu formatieren und Dich zum anderen zukünftig sicher und geschützt im Netz zu bewegen, solltest Du all diese Links anklicken und lesen. Lesen und lernen mußt Du selbst. Tust Du's nicht, bezahlst Du die Rechnung und die, die ahnunglos mit Dir Kontakt haben:

Hilfestellung und Beratung

SD

18.10.2004, 23:29	#3
[Fear]dot[Com]	LOg Sowerit ist alles klar, habe leider nicht verstanden was es bedeutet eintraege zu fixen! was bedeutet das? Ich benutze zudem schon lange nicht mehr den IE, habe Moyzilla Firefox, wie auch von Dir vorgeschlagen, nur eben schon seit geraumer Zeit! GRUSS UND DANK __________________ __________________

20.10.2004, 09:26	#5
[Fear]dot[Com]	LOg Soooo, habe mir e-scan mal runtergeladen und werde im laufe des heutigen Tages mal deine Anweisung befolgen und im Abgesicherten Modus e-scan mal laufen lassen. Bezüglich der Updates. Habe das Service_pack 2 hier liegen und werde nun auch mal dazu übergehen dies aufzuspielen! Melde mich wieder mit Ergebnissen Gru0 und Dank __________________ KLICK MICH, ICH BIN EIN SIGNATURVIRUS