Trojaner-Board - Bitte um Hilfe bei HJT Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe bei HJT Log (https://www.trojaner-board.de/27698-bitte-um-hilfe-hjt-log.html)

Bitte um Hilfe bei HJT Log

Hallo,

ich habe mir zum ersten mal seit ich denken kann einen schädling eingefangen und ich bin auch noch selber schuld! :koch: (ja, ich habe einen keygen benutzt!)

Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe würde seiten wie w*w.paid2click.com o.ä. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgeführt. Mit unlocker kann ich die datei beim systemstart zwar löschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdächtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht...

Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehörigen prozesse sind aber wohl noch aktiv.

Also hier mal mein HJT Log - - danke für die hilfe schon mal:
-------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 12:15:09, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE
C:\Programme\DirectUpdate v4\DUControl.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\Acronis TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\POP Peeper\POPPeeper.exe
C:\Programme\Skype\Skype.exe
C:\Programme\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\WINDOWS\Config\IEXPLORE.EXE
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\DiskeeperWorkstation\DKService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwst.exe
C:\Programme\Dantz Retrospect 7.0\retrorun.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programme\Mediafour\MacDrive\MacDrive.exe" /runonce
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\Media Center\DMDownload.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E25AB208-F78B-49B1-9672-E665DCF47DE7}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\BlackMoon FTP Server\BMFTPRealTimeStats.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: DirectUpdate engine (DirectUpdate) - http://w*w.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\DiskeeperWorkstation\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Hide Files and Folders (HideFilesAndFolders) - Unknown owner - C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\retrorun.exe
O23 - Service: Retrospect Helper - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\rthlpsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
---------------------------------------------------------------------------

Also nochmals 1000 dank schon mal und grüße aus SH
Matt

Hallo,
überprüfe mal die Datei c:\windows\system32\directx.exe (falls vorhanden) hier und poste das Ergebnis.
Die ldr64.dll (O20 Eintrag?) sollte eine Bagle Variante gewesen sein. Das dick markierte ist der ganz normale Windows Explorer.

Spricht eigentlich irgendetwas dagegen ein sauberes Image von Acronis zurückzuspielen, oder ist das nur aus Spass auf dem System?

Grüße Wildone

Hi,

danke für deine schnelle antwort und deinen tipp. Werd ich gleich mal testen.

Das dick markierte war gar nicht der eintrag, den ich meinte. Ich hab's jetzt geändert...

Gegen Acronis spricht natürlich nix. Geiles tool, nur ist - wie sollte es auch anders sein - mein image nicht wirklich auf einem aktuellen stand. Ich hab lediglich ein recht generisches image, das mir die leidige installation von windows und der grundausstattung der programme erspart.

Ich sach ja, an meiner misere bin ich ganz und gar selber schuld :(

Naja, dank und grüße erstmal
Matt

***UPDATE***

Hier noch das ergebnis von dem online-scan:

AntiVir 6.34.0.53 03.20.2006 PCK/PESpin
Avast 4.6.695.0 03.20.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 PCK/PESpin
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 suspicious
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.17.2006 no virus found
Panda 9.0.0.4 03.19.2006 Suspicious file
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found

Hallo,
ja, die hätte ich tatsächlich fast übersehen. Beende mal den Prozess C:\WINDOWS\Config\IEXPLORE.EXE im Taskmanager und überprüfe die zugehörige Datei ebenfalls bei virustotal.

Wenn es dumm läuft musst du trotzdem auf das alte Image zurückgreifen oder komplett platt machen.
Edit
Jetzt sind wir schon soweit,wenn Ikarus recht hat war es das mit deinem System, da komplette Fernsteuerung von dritten möglich. Aber da bisher nur ein Virenscanner darauf anschlägt wird es etwas sehr neues sein, schicke die Datei mal wie hier beschrieben ein paar AV Herstellern (Kaspersky, Symantec, F-Secure (der bei dir ja, neben dir, auch versagt hat) usw.) Leider wird die Antwort ein/zwei tage dauern, deswegen sollten wir mit der Bereinuigung noch kurz weitermachen, da du ev. gerade andere auch ansteckst und das muss ja nicht unbedingt noch tagelang der Fall sein.

Grüße Wildone

Hi nochmal...

so, hab jetzt die iexplore.exe nochmal testen lassen:

This is a report processed by VirusTotal on 03/20/2006 at 13:52:28 (CET) after scanning the file "IEXPLORE.EXE" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 PCK/PESpin
Avast 4.6.695.0 03.20.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 PCK/PESpin
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 suspicious
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.17.2006 no virus found
Panda 9.0.0.4 03.19.2006 Suspicious file
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found

und was sagt uns das?

Ich kann den netzwerkverkehr mit der Sygate FW unterbinden oder ist das nicht alles?

Grüße
Matt

Hallo,
Softwarefirewalls können recht simple getunnelt werden, wenn mal etwas unter Adminrechten auf dem System ist, ist das Kind im Brunnen.
Und außerdem kann Mytob (falls sich der Verdacht bestätigt) auch Systemdateien verändern, und ich, und auch sonst niemand, weiß nicht welche Veränderungen vorgenommen wurden.
Wenn du die Dateien abgeschickt hast, löschst du mal deine Temp Dateien mit Cleanup! und untersuchst dann dein System mit datfind.bat und postest die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren!

Grüße Wildone

Huhu...

ich habe nun auch die datfindbat ausgeführt. Folgende log-einträge von diesem jahr sind vorhanden (sehr wenige eigentlich!):
-------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS\system32

20.03.2006 12:13 22.116 OODBS.lor
20.03.2006 11:33 0 edlm.exe
20.03.2006 11:33 347 edlm2.exe
20.03.2006 10:40 22 ati64hlp.stb
20.03.2006 10:40 2.206 wpa.dbl
11.01.2006 15:23 128.000 Dsslji.dat
10.01.2006 17:50 7.168 ddvdd.dll
05.01.2006 11:47 252.928 ati2dvag.dll
05.01.2006 11:41 110.592 atipdlxx.dll
05.01.2006 11:41 77.824 Oemdspif.dll
05.01.2006 11:41 26.112 Ati2mdxx.exe
05.01.2006 11:41 40.960 ati2edxx.dll
05.01.2006 11:41 61.440 ati2evxx.dll
05.01.2006 11:39 405.504 ati2evxx.exe
05.01.2006 11:39 53.248 ATIDDC.DLL
05.01.2006 11:31 2.518.176 ati3duag.dll
05.01.2006 11:25 862.336 ativvaxx.dll
05.01.2006 11:20 6.684.672 atioglx1.dll
05.01.2006 11:19 307.200 atiiiexx.dll
05.01.2006 11:11 151.552 atikvmag.dll
05.01.2006 11:10 17.408 atitvo32.dll
05.01.2006 11:05 237.568 ati2cqag.dll
05.01.2006 11:01 4.968.448 atioglxx.dll
05.01.2006 10:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
03.01.2006 16:41 133.280 FNTCACHE.DAT
-----------------------------------------------------------------------

Mann, würde ich mich freuen, wenn ich irgendwie um eine systemwiederherstellung drumherum käme...

Grüße
Matt

Hallo,

Zitat:

Mann, würde ich mich freuen, wenn ich irgendwie um eine systemwiederherstellung drumherum käme...

Wie gesagt, das hängt davon ab was die Angeschriebenen AV Hersteller meinen, wenn sich der Verdacht bestätigt ist tabula rasa angesagt.
Das was wir jetzt machen soll nur die Zeit bis wir das Ergebnis bekommen überbrücken.

Es sind vier Logs die ich brauche, lies dir noch mal die Beschreibung durch, sie erscheinen nacheinander wenn du im cmd Feld immerwieder eine beliebige Taste drückst.
Hast du die directx.exe schon gelöscht oder verschoben?

Grüße Wildone

Gerade suche ich mal nach dieser edlm.exe gesucht, die am 20.03 aufgeführt ist, und siehe da:

Fundstelle bei ZoneLabs

Das stimmt so ziemlich mit meinem problem überein...

Grüße
Matt

Hallo,
habe ich auch schon gesehen, könnte aber auch eine weiterer Brandherd sein, Malware lädt gerne andere Malware nach.

Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
Es sind vier Logs die ich brauche, lies dir noch mal die Beschreibung durch, sie erscheinen nacheinander wenn du im cmd Feld immerwieder eine beliebige Taste drückst.
Hast du die directx.exe schon gelöscht oder verschoben?

oh, ja natürlich... ich poste die anderen drei logs auch gleich noch...

Mit der directx.exe habe ich noch nichts weiter gemacht.

Grüße
Matt

Hallo,
dann poste mir auch mal noch das Erstellungsdatum von der directx.exe die kommt nämlich erstaunlicherweise in dem obigen Log nicht vor.

Grüße Wildone

Also nochmal:

system32:
-------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS\system32

20.03.2006 12:13 22.116 OODBS.lor
20.03.2006 10:40 22 ati64hlp.stb
20.03.2006 10:40 2.206 wpa.dbl
11.01.2006 15:23 128.000 Dsslji.dat
10.01.2006 17:50 7.168 ddvdd.dll
05.01.2006 11:47 252.928 ati2dvag.dll
05.01.2006 11:41 110.592 atipdlxx.dll
05.01.2006 11:41 77.824 Oemdspif.dll
05.01.2006 11:41 26.112 Ati2mdxx.exe
05.01.2006 11:41 40.960 ati2edxx.dll
05.01.2006 11:41 61.440 ati2evxx.dll
05.01.2006 11:39 405.504 ati2evxx.exe
05.01.2006 11:39 53.248 ATIDDC.DLL
05.01.2006 11:31 2.518.176 ati3duag.dll
05.01.2006 11:25 862.336 ativvaxx.dll
05.01.2006 11:20 6.684.672 atioglx1.dll
05.01.2006 11:19 307.200 atiiiexx.dll
05.01.2006 11:11 151.552 atikvmag.dll
05.01.2006 11:10 17.408 atitvo32.dll
05.01.2006 11:05 237.568 ati2cqag.dll
05.01.2006 11:01 4.968.448 atioglxx.dll
05.01.2006 10:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
03.01.2006 16:41 133.280 FNTCACHE.DAT
-------------------------------------------

systemtemp:
-------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

20.03.2006 14:52 16.384 ~DFA70D.tmp
20.03.2006 14:50 16.384 Perflib_Perfdata_15c.dat
09.05.2005 18:07 24.613 IadHide5.dll
-------------------------------------------

system:
-------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS

20.03.2006 14:50 116 NeroDigital.ini
20.03.2006 12:14 0 0.log
20.03.2006 12:14 159 wiadebug.log
20.03.2006 12:14 50 wiaservc.log
20.03.2006 12:13 2.048 bootstat.dat
20.03.2006 11:34 227 system.ini
20.03.2006 11:34 660 win.ini
17.03.2006 11:00 107.132 UninstallThunderbird.exe
17.03.2006 11:00 8.756 mozver.dat
16.03.2006 10:48 954.971 setupapi.log
14.03.2006 13:45 0 [none]
17.02.2006 18:03 128.930 ntbtlog.txt
17.02.2006 17:56 7.926 KB913446.log
17.02.2006 17:56 54.669 iis6.log
17.02.2006 17:56 17.971 comsetup.log
17.02.2006 17:56 9.211 ntdtcsetup.log
17.02.2006 17:56 1.374 imsins.log
17.02.2006 17:56 1.227 ocmsn.log
17.02.2006 17:56 13.008 tsoc.log
17.02.2006 17:56 1.563 tabletoc.log
17.02.2006 17:55 3.873 netfxocm.log
17.02.2006 17:55 1.174 msgsocm.log
17.02.2006 17:55 172.488 ocgen.log
17.02.2006 17:55 1.912 MedCtrOC.log
17.02.2006 17:55 44.544 FaxSetup.log
17.02.2006 17:55 12.010 msmqinst.log
15.02.2006 11:39 987 ARPR.INI
14.02.2006 13:05 185.157 setupact.log
12.02.2006 19:37 54.156 QTFont.qfn
26.01.2006 12:52 67 DVDRegionFree.INI
19.01.2006 11:51 15.358 fsiuupd.log
12.01.2006 09:19 1.409 QTFont.for
11.01.2006 13:08 3.286 tm.ini
03.01.2006 16:39 27 BRPP2KA.INI
03.01.2006 16:39 827 BRWMARK.INI
-------------------------------------------

sys:
-------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\

20.03.2006 15:22 0 sys.txt
20.03.2006 15:22 7.188 system.txt
20.03.2006 15:20 396 systemtemp.txt
20.03.2006 15:20 108.618 system32.txt
20.03.2006 12:13 1.073.315.840 hiberfil.sys
20.03.2006 12:13 1.610.612.736 pagefile.sys
20.03.2006 11:34 211 boot.ini
22.07.2005 09:33 63 avone.ini
10.05.2005 13:09 36.563 embed6.ttf
06.05.2005 16:29 0 MSDOS.SYS
06.05.2005 16:29 0 IO.SYS
06.05.2005 16:29 0 CONFIG.SYS
06.05.2005 16:29 0 AUTOEXEC.BAT
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
-------------------------------------------

das waren alle 4

Grüße
Matt (und 1000 dank an dieser stelle für deinen prompten und netten einsatz :aplaus: )

Hallo,

die directx.exe trägt als erstellungs- und letztes änderungsdatum den 19.09.2005...

Grüße
Matt

Hallo,
wo sind den jetzt die Dateien:
C:\Windows\System32\edlm.exe
C:\Windows\System32\edlm2.exe

abgeblieben?

Edit
Hallo,
hmm, dann kopiere mal in den Logfiles alles bis 18.09.2005 ab, und poste sie nochmal, ist es möglich das du schon seit dieser Zeit infiziert bist?
Grüße Wildone

die hab ich schon gelöscht...

Soll ich mal aufhören, selber dazwischenzufunken?

Sorry, aber bin etwas eifrig bei der sache :o

Grüße
Matt

ps: skype id wackawacka124

Zitat:

Zitat von Wildone

ist es möglich das du schon seit dieser Zeit infiziert bist?
Grüße Wildone

Das kann ich nicht genau sagen. Das phänomen mit dieser nach hause funkenden iexplore.exe hab ich erst seit ein paar tagen...

Ich mach die logs nochmal ab dem 18.9. Geht gleich los...

Grüße
Matt

Hallo,
sage es zumindest wenn du etwas machst.
Sorry, habe kein skype.

Grüße Wildone

system32:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS\system32

20.03.2006 12:13 22.116 OODBS.lor
20.03.2006 10:40 22 ati64hlp.stb
20.03.2006 10:40 2.206 wpa.dbl
11.01.2006 15:23 128.000 Dsslji.dat
10.01.2006 17:50 7.168 ddvdd.dll
05.01.2006 11:47 252.928 ati2dvag.dll
05.01.2006 11:41 110.592 atipdlxx.dll
05.01.2006 11:41 77.824 Oemdspif.dll
05.01.2006 11:41 26.112 Ati2mdxx.exe
05.01.2006 11:41 40.960 ati2edxx.dll
05.01.2006 11:41 61.440 ati2evxx.dll
05.01.2006 11:39 405.504 ati2evxx.exe
05.01.2006 11:39 53.248 ATIDDC.DLL
05.01.2006 11:31 2.518.176 ati3duag.dll
05.01.2006 11:25 862.336 ativvaxx.dll
05.01.2006 11:20 6.684.672 atioglx1.dll
05.01.2006 11:19 307.200 atiiiexx.dll
05.01.2006 11:11 151.552 atikvmag.dll
05.01.2006 11:10 17.408 atitvo32.dll
05.01.2006 11:05 237.568 ati2cqag.dll
05.01.2006 11:01 4.968.448 atioglxx.dll
05.01.2006 10:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
03.01.2006 16:41 133.280 FNTCACHE.DAT
23.12.2005 06:44 112.425 atiicdxx.dat
21.12.2005 15:35 23.694 win32k2.sys
21.12.2005 15:34 69.632 realbap1.dll
21.12.2005 15:34 45.568 realbsf1.dll
07.12.2005 14:27 30 brss01a.ini
07.12.2005 14:27 184 brsvc01a.bsi
07.12.2005 14:05 50 bridf05a.dat
01.12.2005 18:02 584 MAL-PC.scr.lnk
28.11.2005 23:43 6.024 atifglpf.xml
16.11.2005 12:35 380.350 perfh009.dat
16.11.2005 12:35 391.000 perfh007.dat
16.11.2005 12:35 52.764 perfc009.dat
16.11.2005 12:35 897.954 PerfStringBackup.INI
16.11.2005 12:35 63.580 perfc007.dat
10.11.2005 13:28 34.308 BASSMOD.dll
07.11.2005 09:17 5.618 jupdate-1.5.0_05-b05.log
05.10.2005 10:45 130.048 SpoonUninstall.exe
05.10.2005 10:45 1.363 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
05.10.2005 10:45 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp
19.09.2005 08:14 84.480 directx.exe
---------------------------------------------------------

systemtemp:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

20.03.2006 14:50 16.384 Perflib_Perfdata_15c.dat
09.05.2005 18:07 24.613 IadHide5.dll
---------------------------------------------------------

system:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS

20.03.2006 14:50 116 NeroDigital.ini
20.03.2006 12:14 0 0.log
20.03.2006 12:14 159 wiadebug.log
20.03.2006 12:14 50 wiaservc.log
20.03.2006 12:13 2.048 bootstat.dat
20.03.2006 11:34 227 system.ini
20.03.2006 11:34 660 win.ini
17.03.2006 11:00 107.132 UninstallThunderbird.exe
17.03.2006 11:00 8.756 mozver.dat
16.03.2006 10:48 954.971 setupapi.log
14.03.2006 13:45 0 [none]
17.02.2006 18:03 128.930 ntbtlog.txt
17.02.2006 17:56 7.926 KB913446.log
17.02.2006 17:56 54.669 iis6.log
17.02.2006 17:56 17.971 comsetup.log
17.02.2006 17:56 9.211 ntdtcsetup.log
17.02.2006 17:56 1.374 imsins.log
17.02.2006 17:56 1.227 ocmsn.log
17.02.2006 17:56 13.008 tsoc.log
17.02.2006 17:56 1.563 tabletoc.log
17.02.2006 17:55 3.873 netfxocm.log
17.02.2006 17:55 1.174 msgsocm.log
17.02.2006 17:55 172.488 ocgen.log
17.02.2006 17:55 1.912 MedCtrOC.log
17.02.2006 17:55 44.544 FaxSetup.log
17.02.2006 17:55 12.010 msmqinst.log
15.02.2006 11:39 987 ARPR.INI
14.02.2006 13:05 185.157 setupact.log
12.02.2006 19:37 54.156 QTFont.qfn
26.01.2006 12:52 67 DVDRegionFree.INI
19.01.2006 11:51 15.358 fsiuupd.log
12.01.2006 09:19 1.409 QTFont.for
11.01.2006 13:08 3.286 tm.ini
03.01.2006 16:39 27 BRPP2KA.INI
03.01.2006 16:39 827 BRWMARK.INI
30.12.2005 12:48 674 EventSystem.log
16.12.2005 12:10 316.640 WMSysPr9.prx
14.12.2005 13:57 737.280 iun6002.exe
13.12.2005 11:54 108 tdf.dii
08.12.2005 10:10 92 cdplayer.ini
30.11.2005 17:15 107.132 UninstallFirefox.exe
30.11.2005 15:44 37 iltwain.ini
29.11.2005 13:57 7 jwprimej.nom
05.10.2005 10:46 70.628 wmsetup.log
---------------------------------------------------------

sys:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\

20.03.2006 15:35 0 sys.txt
20.03.2006 15:34 7.188 system.txt
20.03.2006 15:34 347 systemtemp.txt
20.03.2006 15:33 108.618 system32.txt
20.03.2006 12:13 1.073.315.840 hiberfil.sys
20.03.2006 12:13 1.610.612.736 pagefile.sys
20.03.2006 11:34 211 boot.ini
22.07.2005 09:33 63 avone.ini
---------------------------------------------------------

bis gleich
Matt

Zitat:

Zitat von Wildone

Hallo,
sage es zumindest wenn du etwas machst.

gut, ab jetzt nur noch auf zuruf :party:

Grüße
Matt

Hallo,
untersuche mal die Dateien
C:\Windows\System32\win32k2.sys (glaube zwar das es ein Treiber ist, aber sicher ist sicher)
C:\Windows\iun6002.exe

bei virustotal und poste das Ergebnis.

Grüße Wildone

Hallo,

hier die ergebnisse von virustotal. Wie du schon vermutet hast, kein verdacht:
----------------------------------------------------------------------
This is a report processed by VirusTotal on 03/20/2006 at 16:04:19 (CET) after scanning the file "win32k2.sys" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.19.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found
----------------------------------------------------------------------
This is a report processed by VirusTotal on 03/20/2006 at 16:09:19 (CET) after scanning the file "iun6002.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.19.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found
----------------------------------------------------------------------

Was sagst du zu der meldung von ZoneLabs über den Win32/Glieder.DE. Ich denke, die beschreibung mit ldr64.dll und den ganzen verzeichnissen stimmt ziemlich genau mit meinem hergang überein. Wie wird man sowas denn wieder los? Reicht es, die ganzen aufgeführten dateien und reg-einträge zu löschen?

Grüße
Matt

Hallo,
in diesem Fall sollte das löschen der jeweiligen Dateien(hast du ja schon gemacht, und cleanup! sollte die Datei im temp gelöscht haben) ausreichen.

Aber das du jetzt nichts durcheinander bringst, ich denke es sind zwei unterschiedliche Infektionen auf deinem Rechner, einmal die von Zonealarm beschriebene und einmal die directx/ Config\IEXPLORE.EXE.

Von der ersten sollte quasi nichts mehr übrig sein, von der zweiten brauchen wir noch die Beschreibung von den AVs.

Lösche jetzt auch noch folgende Dateien mit killbox on reboot:
c:\windows\system32\directx.exe
C:\WINDOWS\Config\IEXPLORE.EXE

Und poste danach ein neues HijackThis Logfile.

Grüße Wildone

Hi nochmal...

ich habe die beiden von dir erwähnten dateien mit killbox gelöscht und nach einem reboot war das problem behoben. Zumindest will jetzt keine iexplore.exe mehr telefonieren und auch F-Secure ist wieder wie gewohnt zu sehen...

Anbei dennoch nochmal das aktuelle HJT Log:
-------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:46:24, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE
C:\Programme\DirectUpdate v4\DUControl.exe
C:\Programme\Acronis TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\POP Peeper\POPPeeper.exe
C:\Programme\Skype\Skype.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\DiskeeperWorkstation\DKService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\Dantz Retrospect 7.0\retrorun.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programme\Mediafour\MacDrive\MacDrive.exe" /runonce
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\Media Center\DMDownload.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E25AB208-F78B-49B1-9672-E665DCF47DE7}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\BlackMoon FTP Server\BMFTPRealTimeStats.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: DirectUpdate engine (DirectUpdate) - http://w*w.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\DiskeeperWorkstation\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Hide Files and Folders (HideFilesAndFolders) - Unknown owner - C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\retrorun.exe
O23 - Service: Retrospect Helper - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\rthlpsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
-------------------------------------------------------------------

Soviel mal zu der einen baustelle. Die andere von ZoneLabs beschriebene baustelle habe ich anscheinend vorhin schon gelöst, indem ich die ldr64.dll sowie die in der meldung aufgeführten reg-einträge gelöscht habe.

Na, anscheinend habe ich das dank deiner tatkräftigen und schnellen hilfe in den griff bekommen... http://bilder22.parsimony.net/forum43054/hey.gif :aplaus: :bussi:

Wenn ich mich irgendwie revanchieren kann, lasst es mich wissen :party:

Grüße und 10000000000 http://bilder22.parsimony.net/forum43054/merci.gif nochmal (hoffentlich nicht zu früh gefreut)
Matt

Hallo,
ich sage es jetzt noch mal, die "Reinigung" ist nur für die Zeit bis die AVs dir das Ergebnis per E-Mail mitteilen, wenn es ein Wurm ist der dritten auf das System Zugriff gewährt wirst du trotzdem neuaufsetzen bzw. das letzte saubere Image zurückspielen müssen.

Für die Zukunft, ausführbare Dateien aus unseriösen Quellen haben nichts auf deinem System zu suchen, und davor wird dich auch keine Firewall oder AV schützen können, das kann nur dein Verstand, setze ihn ein.

Du kannst übrigens noch folgendes machen;
Start>>Ausführen services.msc dort rechtsklick auf DirectX Service>>Eigenschaften und dort auf "deaktiviert" setzen.

Grüße Wildone

Hi nochmal,

Zitat:

Zitat von Wildone

Hallo,
ich sage es jetzt noch mal, die "Reinigung" ist nur für die Zeit bis die AVs dir das Ergebnis per E-Mail mitteilen

ich habe die datei an alle aufgeführten adressen gemailt.

Zitat:

Zitat von Wildone

Für die Zukunft, ausführbare Dateien aus unseriösen Quellen haben nichts auf deinem System zu suchen, und davor wird dich auch keine Firewall oder AV schützen können, das kann nur dein Verstand, setze ihn ein.

du hast ja recht! Asche auf mein haupt... mach ich bestimmt so schnell nicht wieder! :heilig:

Ich meld mich wieder, sobald ich was von den AVs gehört habe...

Also erstmal grüße
Matt

Rückmeldung von AV

Hi nochmal,

Dr. Web war am schnellsten:
----------------------------------------------------------------
Dear XXX,

Your request has been analyzed. New virus record has been added.
BackDoor.Zani

Thank you for the cooperation.

-- Yours sincerely, Virus Monitoring Service Doctor Web Ltd.
----------------------------------------------------------------

Bin ja mal gespannt, was da noch bei rauskommt...

Grüße - bis morgen wahrscheinlich mit mehr rückmeldungen
Matt

Noch mehr Rückmeldungen

Moin!

Hier noch einige antworten von verschiedenen AVs:
-------------------------------------------------
Avert Labs:
A.V.E.R.T. Sample Analysis
Issue Number: 2261163
Virus Research Engineer: Joel Spurlock
Identified: Generic BackDoor.l
-------------------------------------------------

CA:
FILE
--------------------------------
iexplore.exe
--------------------------------
The Windows PE (I386,EXE) file "iexplore.exe" has been determined to be
malicious. Our researchers have analyzed the file and confirmed the
result.
With regards to the file "iexplore.exe" submitted by you on 21 Mar
04:41:29 (Australian Eastern Standard Time), we have added detection
for Win32/Kewk.7tx!Trojan to the signature files for the InoculateIT
engine.
-------------------------------------------------

AV Lab:
Thank you for submitting your sample to Fortinet. We have analyzed the sample and have verified that it is indeed malicious. It will be detected as W32/Zani.A!bdr in the next update.

Regards,

AV Lab - Marga
-------------------------------------------------

Soviel erstmal dazu - schönen frühlingsanfang
Matt

Hallo,

da Wildone nicht on ist werde ich dir kurz Antwort geben.
Ich rate dir dein System schnell vom Netz zu nehmen und nach Anleitung in meiner Signatur komplett neu aufzusetzen.
Da ein Backdoor Trojaner dritten Zugriff auf deinen Rechner gewährt.
Ich nehme an Wildone würde dir nix anderes raten.

Zurück mit neuem System und mehr Rückmeldungen

Hi nochmal,

nach eindringlicher warnung habe ich nun mein system mit einem sauberen image wiederhergestellt.

Währenddessen kam noch eine rückmeldung von Sophos:
------------------------------------------------------
Hi XXX

thank you for your email. The file iexplore.exe that you sent to us
for analysis was a Trojan, Troj/Clicker-CL, further details of which
can be found on our web site at

h**p://w*w.sophos.com/virusinfo/analyses/trojclickercl.html

and an IDE file that will allow Sophos to detect this is now available
on the Databank and from

h**p://w*w.sophos.com/downloads/ide/

Please do not hesitate to contact me if I can be of any further
assistance.

Regards

--
Martin James Elliott
Technical Support Specialist, Sophos
------------------------------------------------------

Grüße
Matt

Hallo,
schön das du noch mal Feedback gegeben hast, ich glaube die Sophos links mußt du nicht unkenntlich machen, dies ist nur bei potenziell gefährlichen Seiten von Nöten.

Zitat:

nach eindringlicher warnung habe ich nun mein system mit einem sauberen image wiederhergestellt.

Wie auch schon Hoerni gepostet hat die einzig sinnvolle Entscheidung, da schon in der Sophos Beschreibung din steht:

Zitat:

Zitat von Sophos

Troj/Clicker-CL includes functionality to access the internet and communicate with a remote server via HTTP.

Was nichts anders heißt, als das dein PC ferngesteuert wurde.

Eins muss man Sophos wirklich lassen ihre Suchengine mag nicht die allerbeste sein aber ihre Datenbank ist unschlagbar, daran könnte sich z.B. Kaspersky eine Scheibe abschneiden.
Die Geschwindigkeit finde ich wirklich überzeugend, gestern Datei geschickt, heute die Beschreibung ins Internet gestellt.

Was du zukünftig zu unterlassen hast weißt du ja jetzt, und mußtest jetzt doch gleich die Konsequenzen kennen lernen wenn man es dennoch macht. Allgemeines zum Thema Absicherung noch hier, allgemein kannst du auf der Seite etwas querlesen.

Grüße Wildone

Hi Wildone,

das bisschen feedback ist das mindeste, was ich tun kann, um mich für eure tatkräftige hilfe zu bedanken.

Ich werd jetzt mein system wieder auf den neuesten stand bringen (zum glück nur kleinkram) und mir dann ein neues image anlegen (und dieses dann auch regelmäßig pflegen).

Nach dem schrecken habe ich sicher einiges gelernt, aber wie das so ist: jahrelang geht's gut und dann wird man nachlässig, obwohl man es ja eigentlich besser weiß.

Naja, wie dem auch sei - 1000 dank nochmal an euch und chapeau für euren tollen einsatz!

Grüße aus SH
Matt