PC sendet unkontrolliert: Logfile innen
 

Hallo liebe Forengemeinde!

Seit gestern abend sendet mein PC binnen kürzester Zeit MBytes in rauhen Mengen in die weite Welt hinaus. Das geht so weit, daß nahezu kein gewollter Trafic mehr möglich ist. Nachdem ich dann auf dieses Board gestoßen bin, habe ich mal ein HiJackLog erstellt, das so aussieht:

Logfile of HijackThis v1.99.0
Scan saved at 16:17:30, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panasonic\Panasonic-DMS\MFP Utilities\MfpDtMng.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\LOGI_MWX.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programme\Panasonic\Panasonic-DMS\Port Controller\MgcsLoad.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Nokia\PC Suite for Nokia 7650\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 7650\ectaskscheduler.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Vorname Nachname\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Business PDF Writer] C:\WINDOWS\colorgs\busiPDF.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PCSuiteForNokia7650 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia7650 TS.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://max-stats.com/partner/jpg+chm//x.chm::/open.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programme\AutoCAD LT 2002 Deu\SysVerChk.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{59573356-6F44-4C16-BCEE-F62D606A0641}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service - Unknown - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: MFP Data Manage - Matsushita Graphic Communication Systems, Inc. - C:\Programme\Panasonic\Panasonic-DMS\MFP Utilities\MfpDtMng.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Port Controller - Unknown - C:\Programme\Panasonic\Panasonic-DMS\Port Controller\MgcsLoad.exe
O23 - Service: IBM PSA Access Driver Control - Unknown - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service - Unknown - C:\WINDOWS\system32\TpKmpSVC.exe


NEIN, ich habe keine Angst vor dem Neuaufsetzen. Ich stehe sozusagen schon Gewehr bei Fuß :snyper: Aber vorher hätte ich gerne gewußt, wer der Ar... ist und wie er heißt und wie ich auf meinen anderen Rechnern erkenne, ob er sich da auch schon eingenistet hat.

Und noch eine Frage: Kann man "Eigene Dateien" bedenkenlos wiederverwenden?

Vielen Dank schon mal für Eure Hilfe vom
Techniker

PS: System-Info: Win XP SP1

hi,
probiers doch mal hier:

klick



da gibts ne automatische auswertung...

mfg jake

Hallo,
überprüfe mal folgende Datei bei http://virusscan.jotti.dhs.org
C:\WINDOWS\System32\desktop.exe

Hallo Techniker,

scanne bitte mal diese Datei:

C:\WINDOWS\System32\desktop.exe

hier:
http://virusscan.jotti.dhs.org

und teile hier das Ergebnis mit (besteht aus 10 Zeilen).

dartus

Hallo,

die automatische Logfile-Auswertung hat was gefunden:

O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
Böse Trojan-Downloader.Win32.Ieser.a
Trefferquote: 77 % (Resultate) Unbedingt fixen!
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
Böse Trojan-Downloader.Win32.Ieser.a
Trefferquote: 77 % (Resultate) Unbedingt fixen!

Bei jotti dagegen Fehlanzeige:

AntiVir No viruses found (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.77 seconds taken)
BitDefender No viruses found (0.48 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web No viruses found (0.82 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus No viruses found (0.99 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)

Kann das daran liegen, daß ich mit einem anderen Rechner im Netz bin und die Datei ohne zu starten auf CD rübergeholt habe? Oder ist die so neu daß sie keiner kennt? (Ganz wenige Treffer bei google für "win32.ieser.a")

Viele Grüße vom
Techniker

Poste mal das ganze Ergebnis von Jotti:
btw: es kann auch ein ganz anderer Schädling sein.

Hallo haui45,

so ok.?

Service load: 0% 100%

File: desktop.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.77 seconds taken)
BitDefender No viruses found (0.48 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web No viruses found (0.82 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus No viruses found (0.99 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)

Techniker

Ja danke.

Die Datei ist imo trotzdem Malware ;)

Schick die Datei bitte gepackt und mit Passwort versehen an: newvirus@kaspersky.com und warte natürlich die Antwort ab. (Passwort in der Mail angeben ;))

Den befallenen PC hast du ja schon vom Netz genommen, oder?

Führe auf deinem Pc eScan im abgesicherten Modus (Anleitung genau befolgen!) aus und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Melde dich mit dem Ergebnis wieder.

Hier das Ergebnis von eScan:

File C:\WINDOWS\System32\prefc230.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.
File C:\IBMTOOLS\APPS\RRPC\RRPC\superinstall.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIPBU1T6\X[1].exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\prefc230.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.

Da wurde also "dialer.gd" gefunden, dafür der "ieser.a" aus der automatischen HiJackThis-Auswertung nicht. Ist das eine "Kompromittierung"?

Viele Grüße vom
Techniker

Ach ja, die automatische Auswertung hatte ja noch was zu Tage gefördert:

O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://max-stats.com/partner/jpg+chm//x.chm::/ope n.exe
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!


??????????

Viele Grüße
Techniker

Dialer-Hinweis
d.h. Dialer evtl. auf Diskette sichern und dann im abgesicherten Modus löschen.
Internet Cache leeren.

Antwort von Kaspersky abwarten!

Streng genommen ist jedes System, auf dem Malware aktiv war/ist kompromittiert. Wenn, dann zusätzlich, wobei ich glaube, dass die Desktop.exe was anderes ist als der "ieser.a".


Ja fixen.


PS: bist du mit einem anderen PC "unterwegs"?

Jaja, bin mit dem Stand-PC unterwegs, das Problem hat der Laptop. Dialer auf dem Laptop sind eigentlich kein Problem, da gibt es mangels ISDN-Modem Internet nur über LAN/DSL.
Der Laptop hat so eine komische Recovery-Funktion, da wird über eine besondere Partition der Auslieferungszustand wieder hergestellt. Wäre das im Falle des Neuaufsetzens ausreichend sicher? Eine original XP-CD wurde nämlich nicht mitgeliefert.
Ich bin gerade am überlegen, ob den nicht doch gleich platt mache, denn eigentlich bräuchte ich ihn morgen wieder ...
Und noch eine Frage: Kann ich den Ordner "Eigene Dateien" sichern und wiederverwenden?

Vielen Dank schon mal vom
Techniker

Du kannst ihn natürlich auch gleich formatieren, ohne zu wissen um was es sich handelt. Anleitung
Wenn du keine Original XP-CD hast, bleibt dir wohl nur die Recovery-Funktion ;)

Datensicherung
Auf ausführbare Dateien würde ich ganz verzichten. Word-Dokumente (u.ä.) solltest du jedoch "relativ" gefahrlos sichern können. Da eScan bei dir aber "nur" ein paar Dialer und nichts anderes bemängelt hat, kannst du dir natürlich nicht sicher sein, dass die Dateien dann wirklich "clean" sind.

PS: Das Ergebnis wäre trotzdem interessant...

Welches? Das von den Kasperskys?

Genau :daumenhoc