Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojanische Pferd TR/Rootkit.Age.af.1 (https://www.trojaner-board.de/24675-trojanische-pferd-tr-rootkit-age-af-1-a.html)

Jean24de 19.12.2005 12:28
Trojanische Pferd TR/Rootkit.Age.af.1
 
Hallo,

mein Frauchen hat sich oben genannten Trojaner eingefangen :(

Anbei die Logdatei:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:20, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\ZoneAlarm\zlclient.exe
C:\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\AVPERSONAL\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\FlashGet\JetCar.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Zone Labs Client] C:\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ZKPAV4J\WinFixer2005ScannerInstallDE[1].exe" -nag
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game18.zylom.lycos.de/activex/zylomloader.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AVPersonal\AVWUPSRV.EXE
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wie bekomme ich das teil wieder los, der Programmordner C:\PROGRAMME\WINFIXER 2005 ist bereits gelöscht worden. Kann der Trojaner auf andere XP Systeme übergreifen? Also ist 1 Rechner mit 2 Festplatten und jeweils eigenem aufgesetztem XP.

Danke für die Hilfe!

Mfg Jean24de

Wildone 19.12.2005 12:39
Hallo,
wenn sich das oben genannte Rootkit bestätigt, sollte das System neu aufgesetzt werden. Scanne mal mit F-Secure Blacklight und poste das Log, wird im selben Pfad nach dem Scan erstellt (falls es zu lang ist bitte die Meldungen mit Cache löschen).


Grüße Wildone

Jean24de 19.12.2005 15:24
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo WildOne,

danke für die schnelle Antwort, in der erstellten *.txt datei steht folgendes:
/19/05 15:03:13 [Info]: BlackLight Engine 1.0.30 initialized
12/19/05 15:03:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/19/05 15:03:13 [Note]: 7019 4
12/19/05 15:03:13 [Note]: 7005 0
12/19/05 15:03:16 [Note]: 7006 0
12/19/05 15:03:16 [Note]: 7011 1416
12/19/05 15:03:16 [Note]: FSRAW library version 1.7.1014

Einzig fragt er nur beim Start vom XP ob diese WinFixer2005ScannerInstallDE.exe ausgeführt werden soll. Allerdings wenn ich nach dieser Datei suche finde ich diese mit der XP Suche nicht. Der gelöschte Ordner C:\Programme\winFixer 2005 ist wieder da, der Inhalt sind Internetverknüpfungen die 1. heißt support Ziel URL ist http://de.winfixer.com/pages/contact-scanner/ die 2. heißt wf5x Ziel URL ist http://de.winfixer.com/ und eine Datei Updater.dat mit einer Größe von 174 Byte. Und es sind noch 2 Cookies vorhanden *Edit* Cookies gelöscht

Mfg Jean24de

MightyMarc 19.12.2005 15:39
Bitte unter Auslassung von Punkt 1 abarbeiten:

http://www.trojaner-board.de/showpost.php?p=183556&postcount=10

Jean24de 22.12.2005 12:08
Hallo,

Logdatei KrocCheck:

KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F75A7000 - ACPI.sys
F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7596000 - pci.sys
F75F7000 - isapnp.sys
F7607000 - ohci1394.sys
F7617000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7627000 - MountMgr.sys
F74D7000 - ftdisk.sys
F770F000 - PartMgr.sys
F7637000 - VolSnap.sys
F74BF000 - atapi.sys
F74A7000 - si3112r.sys
F748F000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
F7647000 - disk.sys
F7657000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7470000 - fltMgr.sys
F745E000 - sr.sys
F789B000 - SiWinAcc.sys
F7447000 - KSecDD.sys
F798B000 - TwkMs.sys
F7B52000 - Ntfs.sys
F741A000 - NDIS.sys
F789F000 - nv_agp.sys
F787C000 - Mup.sys
F7697000 - \SystemRoot\system32\DRIVERS\amdk7.sys
F773F000 - \SystemRoot\system32\DRIVERS\usbohci.sys
BAECC000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7747000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F791B000 - \SystemRoot\system32\drivers\nvax.sys
F76A7000 - \SystemRoot\system32\DRIVERS\imapi.sys
BAEBB000 - \SystemRoot\System32\Drivers\Cdr4_XP.SYS
F76B7000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F76C7000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAE98000 - \SystemRoot\system32\DRIVERS\ks.sys
F7767000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS
BAE86000 - \SystemRoot\system32\DRIVERS\el90Xbc5.SYS
F76D7000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BAD46000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
BAD32000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F777F000 - \SystemRoot\system32\DRIVERS\fdc.sys
BAD21000 - \SystemRoot\system32\DRIVERS\serial.sys
F793F000 - \SystemRoot\system32\DRIVERS\serenum.sys
BAD0D000 - \SystemRoot\system32\DRIVERS\parport.sys
F76E7000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F778F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7A6D000 - \SystemRoot\system32\drivers\msmpu401.sys
BACC1000 - \SystemRoot\system32\drivers\portcls.sys
F76F7000 - \SystemRoot\system32\drivers\drmk.sys
F794B000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F7A71000 - \SystemRoot\system32\DRIVERS\audstub.sys
F7586000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAFF8000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
BACAA000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F7576000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7566000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F77B7000 - \SystemRoot\system32\DRIVERS\TDI.SYS
BABF9000 - \SystemRoot\system32\DRIVERS\psched.sys
F7556000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F77C7000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F77D7000 - \SystemRoot\system32\DRIVERS\raspti.sys
F7546000 - \SystemRoot\system32\DRIVERS\termdd.sys
F77DF000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7991000 - \SystemRoot\system32\DRIVERS\swenum.sys
BABC5000 - \SystemRoot\system32\DRIVERS\update.sys
BAFE4000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7536000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7995000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7526000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAB58000 - \SystemRoot\system32\drivers\nvapu.sys
BAA8F000 - \SystemRoot\system32\drivers\nvmcp.sys
F7516000 - \SystemRoot\system32\drivers\nvarm.sys
F77F7000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F799B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7AB8000 - \SystemRoot\System32\Drivers\Null.SYS
F799F000 - \SystemRoot\System32\Drivers\Beep.SYS
F780F000 - \SystemRoot\System32\drivers\vga.sys
F79A3000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79A7000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F781F000 - \SystemRoot\System32\Drivers\Msfs.SYS
F774F000 - \SystemRoot\System32\Drivers\Npfs.SYS
F791F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B294C000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B28F4000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B28CC000 - \SystemRoot\system32\DRIVERS\netbt.sys
B28AB000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B2868000 - \SystemRoot\System32\vsdatant.sys
BAD05000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BAF90000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F7777000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BAF80000 - \SystemRoot\system32\DRIVERS\wanarp.sys
BAF70000 - \SystemRoot\system32\DRIVERS\arp1394.sys
BACF9000 - \SystemRoot\system32\DRIVERS\mouhid.sys
B277E000 - \SystemRoot\System32\drivers\afd.sys
BAF60000 - \SystemRoot\system32\DRIVERS\netbios.sys
B2753000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B26E4000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BAF50000 - \SystemRoot\System32\Drivers\Fips.SYS
F79AD000 - \SystemRoot\system32\DRIVERS\TWKPNP.SYS
BAF30000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B26D3000 - \SystemRoot\System32\Drivers\Udfs.SYS
B26BB000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79B9000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
BABB7000 - \SystemRoot\System32\drivers\Dxapi.sys
F77E7000 - \SystemRoot\System32\watchdog.sys
BF9C2000 - \SystemRoot\System32\drivers\dxg.sys
BABC2000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D4000 - \SystemRoot\System32\ati2dvag.dll
BFA11000 - \SystemRoot\System32\ati2cqag.dll
BFA44000 - \SystemRoot\System32\atikvmag.dll
BFA78000 - \SystemRoot\System32\ati3duag.dll
BFCB9000 - \SystemRoot\System32\ativvaxx.dll
B058F000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B032C000 - \SystemRoot\system32\drivers\wdmaud.sys
B042B000 - \SystemRoot\system32\drivers\sysaudio.sys
B0052000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F79C1000 - \SystemRoot\System32\Drivers\ParVdm.SYS
B0447000 - \SystemRoot\System32\Drivers\TwkPCSC.SYS
AFEAC000 - \SystemRoot\system32\DRIVERS\srv.sys
AFD6A000 - \SystemRoot\system32\drivers\kmixer.sys
AFC52000 - \??\C:\AVPERSONAL\AVGNTDW.SYS
AF9E1000 - \SystemRoot\System32\Drivers\HTTP.sys
F7A99000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 129
KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks SDT for Hooked Native APIs

KeServiceDescriptorTable 80559480
KeServiceDescriptorTable.ServiceTable 804E26A8
KeServiceDescriptorTable.ServiceLimit 284

ZwClose 19 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC547FC]
ZwConnectPort 1F \SystemRoot\System32\vsdatant.sys [B287736D]
ZwCreateFile 25 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC54B6A]
ZwDeleteKey 3F \SystemRoot\System32\vsdatant.sys [B288AE90]
ZwDeleteValueKey 41 \SystemRoot\System32\vsdatant.sys [B288ADC0]
ZwLoadKey 62 \SystemRoot\System32\vsdatant.sys [B288AF10]
ZwOpenFile 74 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC5519E]
ZwOpenProcess 7A \SystemRoot\System32\vsdatant.sys [B288A7B0]
ZwReplaceKey C1 \SystemRoot\System32\vsdatant.sys [B288B080]
ZwRestoreKey CC \SystemRoot\System32\vsdatant.sys [B288B1C0]
ZwSetValueKey F7 \SystemRoot\System32\vsdatant.sys [B288ACE0]
ZwWriteFile 112 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC5490E]

Number of Service Table entries hooked = 12
KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks Shadow SDT for Hooked Native GDI APIs

KeServiceDescriptorTableShadow 80559440
KeServiceDescriptorTableShadow.SDE[1].ServiceTable BF998300
KeServiceDescriptorTableShadow.SDE[1].ServiceLimit 667

Entry 1CC Hooked - \systemroot\system32\vsdatant.sys [B2876E30]
Entry 1DB Hooked - \systemroot\system32\vsdatant.sys [B2876E80]
Entry 1F6 Hooked - \systemroot\system32\vsdatant.sys [B2877060]

Number of GDI Service Table entries hooked = 3

Logdatei RootkitReveal

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 04.08.2005 19:49 0 bytes Key name contains embedded nulls (*)
C:\System Volume Information\_restore{1ADD5C2E-167B-4E12-8957-4BDA03F9AE04}\RP31\A0025065.ini 03.09.2005 17:45 42 bytes Hidden from Windows API.


Mfg Jean24de


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131