Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Lop? Malware? Ich verstehe nur Bahnhof... (https://www.trojaner-board.de/14908-lop-malware-verstehe-nur-bahnhof.html)

Bubu 04.03.2005 23:58
Lop? Malware? Ich verstehe nur Bahnhof...
 
Hallo ihr Lieben!

Mir wurde empfohlen, ein neues Thema zu eröffnen, damit mir geholfen werden kann. Und dieser Empfehlung werde ich nun Folge leisten.
Zu allererst muss ich mich im Voraus entschuldigen, wenn ich mich falsch ausdrücke oder Sachen nicht auf Anhieb verstehe aber der Computer und ich werden wie es scheint nie Freunde...
Nun zu meinem Problem: Ad-Aware gibt nach Scan Folgendes an:

Vendor: Lop
Type: Process
Category: Malware
Object: C:\Windows\TempYXWGURAW.EXE (<-- wobei sich der Name der "Exe-Datei" nach jedem Scan ändert)
Comment: (CSI MATCH)
RiskLevel: HIGH (<-- und genau das macht mich unruhig)

Und jetzt HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 23:14:41, on 04.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\PROGRAMME\WINAMP\winampa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [EachTray] C:\WINDOWS\ANWEND~1\SHIMMI~1\Inter Trust Plan.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab



Ich hoffe, ich habe mich einigermaßen verständlich ausgedrückt und es ist irgendjemand da draußen, der mich versteht und mir helfen kann.
Vielen Dank schon mal.

Bubu

dartus 05.03.2005 00:27
Hallo Bubu,

Dein Iexplorer ist uralt, da bedarf es unbedingt ein update.
Besuche unbedingt diese Seite:
http://windowsupdate.microsoft.com

Downloade Dir auch spybot S&D.
Adaware und spybot updaten.

Wechsel dann in den abgesicherten Modus (http://www.systemwiederherstellung-d...indows-xp.html).
Starte beide Programme nacheinander und lösche alles was gefunden wird.

Neustart in den normalen Modus und nochmal beide Programme laufen lassen.

dartus

P.S. benutze den Firefox zum surfen (http://www.trojaner-board.de/showthread.php?t=8251)

Tom59 05.03.2005 00:28
@Bubu

http://v4.windowsupdate.microsoft.com/de/default.asp

patche dein Betriebssystem erstmal...das ist ja wirklich uralt...

...und dann ein neues hjt-logfile...

lg


Tom59

Bubu 05.03.2005 21:13
Erstmal vielen Dank an euch beide für eure Bemühungen!

Ich habe jetzt alles getan, was ihr mir empfohlen habt. Windows update, dann Spyot - Search & Destroy heruntergeladen.
Im abgesicherten Modus habe ich dann Ad-Aware und Spybot durchlaufen lassen. Das Problem an der ganzen Sache ist, dass im abgesicherten Modus dieses Ding nicht gefunden wird, ich es dementsprechend also auch nicht löschen kann. Im normalen Modus erkennt Spybot nichts, Ad-Aware erkennt es, aber ich kann es nicht löschen.

Hier also nochmal ein HijackThis-Logfile


Logfile of HijackThis v1.99.1
Scan saved at 21:04:06, on 05.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ACD SYSTEMS\DEVDETECT\DEVDETECT.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\PROGRAMME\WINAMP\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [EachTray] C:\WINDOWS\ANWEND~1\SHIMMI~1\Inter Trust Plan.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab


Vielleicht habe ich auch was falsch gemacht?!?! Wäre supernett, wenn ihr euch das nochmal angucken könntet...
Wie immer vielen Dank schonmal,

Bubu

Ach ja, und ich kriege immer so eine Meldung "Änderung des Autostart-Menüs", wo verschiede Programme angezeigt werden. Dabei ist noch die Warnung, dass es sich bei den Programmen um Dialer handeln könnte. Ich habe dann die Option "Übernehmen" oder "Abbrechen" und klicke natürlich auf Abbrechen aber dann erscheint dieses Fenster regelmäßig in 3-minuten Abständen.. Hat wahrscheinlich auch mit dieser Malware zu tun, oder???

dartus 05.03.2005 23:24
Hallo Bubu,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Bubu 08.03.2005 23:05
Ich hoffe, ich habe das alles hingekriegt.

Hier also die Ergebnisse des Scans:

Tue Mar 08 21:28:55 2005 => File C:\WINDOWS\ANWEND~1\SHIMMI~1\INTERT~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken.

Tue Mar 08 21:32:04 2005 => File C:\WINDOWS\TEMP\mecuztqk.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Tue Mar 08 21:37:57 2005 => File C:\WINDOWS\TEMP\mecuztqk.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Tue Mar 08 21:46:18 2005 => File C:\Programme\C2Media\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.


Und jetzt das Gesamtergebnis:


Tue Mar 08 21:55:47 2005 => Total Files Scanned: 19583
Tue Mar 08 21:55:47 2005 => Total Virus(es) Found: 10
Tue Mar 08 21:55:47 2005 => Total Disinfected Files: 0
Tue Mar 08 21:55:47 2005 => Total Files Renamed: 0
Tue Mar 08 21:55:47 2005 => Total Deleted Files: 0
Tue Mar 08 21:55:47 2005 => Total Errors: 4
Tue Mar 08 21:55:47 2005 => Time Elapsed: 00:25:55
Tue Mar 08 21:55:47 2005 => Virus Database Date: 2005/03/04
Tue Mar 08 21:55:47 2005 => Virus Database Count: 120198

Tue Mar 08 21:55:47 2005 => Scan Completed.


Ich muss sagen, ich bin unsicher, ob ich das mit dem Update von eScan ganz richtig gemacht habe, aber ich hoffe es mal...
Und ich habe keine von den gefundenen Dateien gelöscht. Ich dachte, ich poste alles erstmal hier herein, bevor ich auf eigene Faust etwas falsch mache..
Wie immer vielen Dank schonmal,

Bubu

dartus 08.03.2005 23:40
Hallo Bubu,

wenn Du die mwav.exe in ordner C:\bases entpackt hast und dann auf kavupd.exe geklickt hast, wäre das i.O.

Hast Du auch im abgesicherten Modus gescannt?
Falls nein, bitte noch einmal.

Lade Dir clearprog 1.4.1 final.

Wechsel in den abgesicherten Modus

Starte das Tool.
- Klicke auf Internet Explorer, dann bei Temporary Internet Fils "Häckchen"
- Klicke auf Windows, "Häckchen" bei WindowsTemp-Verzeichnis

nun auf Löschen klicken

Diesen Ordner löschen:
C:\Programme\C2Media


Neustart

Du kannst ja dann adaware und spybot noch mal laufen lassen. Klick mal bei spybot auf "Immunizieren".

dartus

Bubu 10.03.2005 23:36
Hallo dartus,

vorab mal wieder DANKE :)

Also ich habe eScan jetzt komplett nochmal ausgeführt, am Ergebnis hat sich aber soweit nichts geändert außer Folgendes:

Thu Mar 10 22:34:28 2005 => File C:\WINDOWS\TEMP\jspbsuiy.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Thu Mar 10 22:40:23 2005 => File C:\WINDOWS\TEMP\jspbsuiy.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.


Die Datei, die vorher also noch "mecuztqk.exe" hieß, heißt jetzt jspbsuiy.exe". Ich glaube, da liegt auch mein eigentliches Problem. Dass sich nämlich der Datei-Name ständig ändert... Oder meinst du nicht?

Jetzt habe ich leider keine Zeit mehr, um die anderen Tipps von dir in die Tat umzusetzen aber das mache ich dann morgen.
Also dann danke vielmals.
Bis dann,

Bubu

dartus 10.03.2005 23:42
Hallo Bubu,

die Namensänderung ist egal, wenn Du das Tool "clearprog" anwendest.
Damit wird der gesamte Inhalt des Ordners "temp" gelöscht.

dartus

Bubu 11.03.2005 12:54
Hallo dartus,

ich habe ClearProg jetzt so ausgeführt, wie Du es beschrieben hattest, aber als ich nach dem Neustart Spybot und Adaware durchlaufen lassen habe, war leider keine Veränderung festzustellen. Adaware findet die Malware und kann sie nach wie vor nicht löschen... :(
Jetzt bin ich völlig ratlos. Ich dachte, es würde klappen, aber ich habe mich wohl zu früh gefreut. Das Ding ist hartnäckiger als ich gedacht habe.
Weißt Du denn, was man jetzt noch tun könnte?
Bis dann,

Bubu

cacatoa 11.03.2005 12:59
Mal dazwischen:
Clearprog: Alle Häkchen bei Windows und IE, Einstellungen speichern (zweiter button oben links), dann auf löschen. Oder gleich unten links auf "alles löschen".
Dann sind alle temp-Verzeichnisse leer.
cacatoa

Bubu 11.03.2005 18:45
Du, kannst du mir vielleicht nochmal erklären, was der Unterschied ist, wenn ich die Einstellungen vor dem Löschen speichere oder direkt lösche ohne zu speichern? Also warum sollte ich die Dateien denn speichern? Oder kann beim Nichtspeichern und Sofortlöschen irgendetwas passieren? An den Einstellungen vielleicht?
Wäre nett, wenn du mir das noch beantworten könntest.
Danke und bis dann,

Bubu

dartus 11.03.2005 19:08
Hallo Bubu,

Was genau hat Adaware identifiziert und was "sagt" spybot?

dartus

cacatoa 11.03.2005 19:27
Na ja,
wenn du die Einstellungen von clearprog speicherst, dann kannst du es - wie es auch sinnvoll ist - nach jeder INet-Sitzung einfach einsetzen, ohne wieder überall die Häkchen machen zu müssen.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55