Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner onboard (https://www.trojaner-board.de/37809-trojaner-onboard.html)

AoR 09.04.2007 12:26
Trojaner onboard
 
So, nachdem ich mich das gesamte Wochenende damit rumgeschlagen habe und selbst ein gebootetes Linux (von CD) keine Abhilfe schaffen konnte versuche ich das mal auf diesem Wege.

Also: Auf dem Rechner meiner Freundin hat sich ein ziemlich hartnäckiges Teil eingenistet, das ich einfach nie vollständig wegbekomme. Es dauert immer unterschiedlich lange, aber irgendwann meldet sich der Virenscanner wieder (AntiVir) und hat wieder eine verdächtige Datei gefunden. Ich hoffe irgendwer kann mir hier mal helfen.

An dieser Stelle mal das Logfile vom HJT:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 13:06:00, on 09.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
F:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
F:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
F:\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HiJack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1106A336-D868-4FF6-8CF1-AEBF65189811} - C:\WINDOWS\System32\jkkjh.dll (file missing)
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\khfeffe.dll
O2 - BHO: (no name) - {1C46C979-2EE6-49C7-9AB8-CB1A8FEF86F4} - (no file)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - (no file)
O2 - BHO: (no name) - {6A87B991-A31F-4130-AE72-6D0C294BF082} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] -C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] -C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] -C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] -"F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] -"F:\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] -"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] -F:\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] -F:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "F:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\bclcfbrx.dll",setvm
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] -"C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: jkkjh - C:\WINDOWS\System32\jkkjh.dll (file missing)
O20 - Winlogon Notify: khfeffe - C:\WINDOWS\SYSTEM32\khfeffe.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Ich danke schon mal im Vorraus für jedwede Unterstützung.

Sunny 09.04.2007 12:34
Hallo. :)

Das System ist voll veraltet, es fehlen alle Service Packs sowie die nachfolgenden Updates! Warum?

Außerdem:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\SYSTEM32\khfeffe.dll
C:\WINDOWS\System32\bclcfbrx.dll
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

AoR 09.04.2007 13:03
Zitat:
Zitat von [Gc]Sunny (Beitrag 261804)
Hallo. :)

Das System ist voll veraltet, es fehlen alle Service Packs sowie die nachfolgenden Updates! Warum?
Das liegt daran, dass sich meine Freundin vor ca. 2 Wochen ein neues Board und CPu gekauft hat und Windows XP wie gewohnt danach nicht mehr sauber startete. Also habe ich eine Reperatur durchgeführt und bin aber noch net dazu gekommen, SP 1 und 2 wieder drauf zu werfen.

So, nun zum Virustotal:

Also, die zweite Datei (bclcfbrx.dll) ist nirgends zu finden, und ja: ich lasse mir die versteckten Dateien anzeigen. Ich hatte mir alle gemeldeten Dateinamen schon am WE mal aufgeschrieben und dann Knoppix gebootet und die Teile gesucht ... es war nur ein Bruchteil zu finden ... was ich schon wieder sehr verdächtig fand.

Nun ja, hier wenigstens die Auswertung der ersten Datei:

Zitat:
Complete scanning result of "khfeffe.dll", received in VirusTotal at 04.09.2007, 13:47:18 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.7.0 04.09.2007 no virus found
AntiVir 7.3.1.48 04.09.2007 TR/Virtumonde.26730
Authentium 4.93.8 04.08.2007 no virus found
Avast 4.7.936.0 04.08.2007 no virus found
AVG 7.5.0.447 04.08.2007 Adware Generic.YGL
BitDefender 7.2 04.09.2007 Adware.Virtumonde.IC
CAT-QuickHeal 9.00 04.09.2007 AdWare.Virtumonde.id (Not a Virus)
ClamAV devel-20070312 04.09.2007 Trojan.Packed-7
DrWeb 4.33 04.09.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.08.2007 no virus found
eTrust-Vet 30.7.3549 04.06.2007 Win32/Chisyne!generic
Ewido 4.0 04.08.2007 no virus found
FileAdvisor 1 04.09.2007 no virus found
Fortinet 2.85.0.0 04.09.2007 no virus found
F-Prot 4.3.1.45 04.08.2007 no virus found
F-Secure 6.70.13030.0 04.09.2007 Vundo.gen14
Ikarus T3.1.1.3 04.09.2007 not-a-virus:AdWare.Win32.Virtumonde.id
Kaspersky 4.0.2.24 04.09.2007 not-a-virus:AdWare.Win32.Virtumonde.id
McAfee 5003 04.06.2007 potentially unwanted program Vundo
Microsoft 1.2405 04.09.2007 no virus found
NOD32v2 2174 04.09.2007 no virus found
Norman 5.80.02 04.09.2007 Vundo.gen14
Panda 9.0.0.4 04.09.2007 Spyware/Virtumonde
Prevx1 V2 04.09.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.09.2007 Trojan.Vundo
TheHacker 6.1.6.088 04.09.2007 Adware/Virtumonde.id
VBA32 3.11.3 04.09.2007 no virus found
VirusBuster 4.3.7:9 04.08.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.09.2007 Trojan.Virtumonde.26730

Aditional Information
File size: 26730 bytes
MD5: a5c45870f37d3349709c85e3f016c4d4
SHA1: 21912e96c74845102a46e72a2b2f974da05229f4
Ich hoffe das hilft was.

AoR 09.04.2007 14:59
So und hier nun das Ergebniss des eScans:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 09 14:34:42 2007 => Version 8.5.1
Mon Apr 09 14:39:43 2007 => Virus-Datenbank Datum: 7/31/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 14:35:55 2007 => Datei C:\Dokumente und Einstellungen\Avarra\Desktop\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.60. Keine Aktion vorgenommen.
Mon Apr 09 14:36:54 2007 => File C:\WINDOWS\mtuninst.exe markiert als "not-a-virus:AdWare.Win32.MediaTickets.u". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 09 14:36:08 2007 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\new.net startup !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 09 14:39:43 2007 => Gefundene Viren: 3
Mon Apr 09 14:39:43 2007 => Anzahl Fehler: 87
Mon Apr 09 14:39:43 2007 => Dauer des Scans bisher: 00:05:01
Mon Apr 09 14:39:43 2007 => Gescannte Dateien: 22308
Mon Apr 09 14:34:42 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 14:34:42 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 14:34:42 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 09 14:34:42 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 14:34:42 2007 => Überprüfung der Dienste: Aktiviert
Ich hoffe das reicht aus ... die Original-Log-Datei ist nämlich "mächtig gewaltig", wie Benny zu sagen pflegte. ^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:13 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129