|
HJT Log-File nach Trojaner Entfernung!? Hallo Zusammen! Bin beim Googlen auf Euer Board gestossen und wie mir scheint, sind hier ein paar echt erfahrene Leute. Hab mir vor ein paar Tagen nen Trojaner eingefangen, bzw. mehrere. Unter anderem so ein Antiviren Tool, daß mich ständig mit Pop-up Meldungen nervte. Dürfte recht bekannt sein, leider hab ich den Namen vergessen, glaub es war WinAntiVirus2006 Hab mit Kaspersky und Counterspy im abgesichteten Modus Scans laufen lassen und etliche unschöne Dinge gefunden. Konnten laut den Progs aber alle entfernt werden. Weis leider nur noch, daß dieser Kerl hier dabei war: packed.win32.klone.g Also laut Kaspersky und Co ist das System wieder sauber, allerdings hätt ich da noch gerne, wenn möglich ne Expertenmeinung dazu. System läuft auf WinXP SP2. Hab Adaware, Counterspy und Kaspersky drauf, nachdem ich von Norton umgestiegen bin. Logfile of HijackThis v1.99.1 Scan saved at 17:12:48, on 03.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\DriveCrypt\DcrServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Free Desktop Clock\DesktopClock.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Installationsprogramme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/Home WU :: WU Wien R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\odokjqfg.dll O2 - BHO: (no name) - {748E6C81-DC7D-4974-BE84-016C7A71A0D2} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0774C1-7766-4D77-B485-A3C91E8ABFBE}: NameServer = 195.34.133.21 195.34.133.22 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing) O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
Anscheinend war deine Bereinigung nicht gründlich genug: Zitat:
Zitat:
Ich weiß nicht wieviel Zeit du schon in die Bereinigung investiert hast, aber lass dir sagen, dass das zu unsicher und nicht selten zeitaufwendiger als ein Neuaufsetzen ist. Werte doch mal bitte die Datei C:\WINDOWS\system32\odokjqfg.dll bei Virustotal oder Jotti aus. |
Also viel Zeit hab ich nicht wirklich investiert. Kenn mich auch nicht wirklich aus. Mein Horizont endet beim einsetzen von Antivirentools im abgesichteren Modus. Mehr hab ich bis dato nicht gemacht. Neu aufsetzen is kein problem, dauert ja nicht lange, aber ich würds halt gern mal so versuchen. Reizt mich irgendwie ;-) zu odokjqfg.dll sagt jotti folgendes: Datei: odokjqfg.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Juan gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden während des scans bei jotti, wollte sich laut kaspersky ne datei namens openports.dll in einen prozess integrieren, klingt auch phööse. habs mal verboten *g* |
Hast du beim Jotti-Scan auf die Dateigröße geachtet? Null Bytes deuten darauf hin, dass der Schädling den zugriff darauf verweigern will. Besorg dir mal bitte Killbox. Kopier die Adresse der Datei also C:\WINDOWS\system32\odokjqfg.dll in das Adressfeld von killbox hinein. Aktivier unten die Option "delete on reboot" und klick anschließend auf das rote Schild mit dem weißen X. Folgende Abfrage ruhig bejahen, dann startet Windows neu. Anschließend müsste o.g. Datei verschoben sein nach C:\!killbox\odokjqfg.dll Werte diese Datei im killbox-Ordner aus. |
Hab die Datei wie angegeben mit Killbox bearbeitet. Mit auswerten meinst du schätz ich mal, nochmal mit Jotti Scannen!? Jotti sagt, daß gleich wie zuvor. Die Datei ist 65 Kb groß. Datei: odokjqfg.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Juan gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Hab das File dann noch bei Virustotal durchlaufen lassen. Der sagt folgendes: STATUS: FINISHEDComplete scanning result of "odokjqfg.dll", received in VirusTotal at 07.03.2007, 18:37:57 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.2.0 07.03.2007 no virus found AntiVir 7.4.0.37 07.03.2007 no virus found Authentium 4.93.8 07.03.2007 no virus found Avast 4.7.997.0 07.03.2007 no virus found AVG 7.5.0.476 07.03.2007 no virus found BitDefender 7.2 07.03.2007 no virus found CAT-QuickHeal 9.00 07.03.2007 no virus found ClamAV devel-20070416 07.03.2007 no virus found DrWeb 4.33 07.03.2007 Trojan.Juan eSafe 7.0.15.0 07.03.2007 Suspicious Trojan/Worm eTrust-Vet 30.8.3760 07.03.2007 no virus found Ewido 4.0 07.03.2007 no virus found FileAdvisor 1 07.03.2007 no virus found Fortinet 2.91.0.0 07.03.2007 no virus found F-Prot 4.3.2.48 07.02.2007 no virus found F-Secure 6.70.13030.0 07.03.2007 no virus found Ikarus T3.1.1.8 07.03.2007 Backdoor.Win32.Elfrit.12 Kaspersky 4.0.2.24 07.03.2007 no virus found McAfee 5066 07.03.2007 no virus found Microsoft 1.2701 07.02.2007 no virus found NOD32v2 2374 07.03.2007 no virus found Norman 5.80.02 07.03.2007 no virus found Panda 9.0.0.4 07.03.2007 Suspicious file Sophos 4.19.0 06.24.2007 no virus found Sunbelt 2.2.907.0 07.02.2007 VIPRE.Suspicious Symantec 10 07.03.2007 no virus found TheHacker 6.1.6.141 07.02.2007 no virus found VBA32 3.12.0.2 07.03.2007 no virus found VirusBuster 4.3.23:9 07.03.2007 no virus found Webwasher-Gateway 6.0.1 07.03.2007 Virus.Win32.FileInfector.gen (suspicious) Aditional Information File size: 66112 bytes MD5: 4461a35abae90599ba234268a7d8e182 SHA1: 9fa50d38c4ab037e92f6084f41dedc981124b6ed Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Ah, den Fund im ersten Scan hab ich übersehen. So wie es ausschaut scheint es recht unbekannte odergar brandneue Malware zu sein. Die Aussichten auf einen Erfolg einer Bereinigung schätze ich eher gering ein. Außerdem wer weiß was danoch alles vorher drauf war. ich schätze du bist mit einem Neuaufsetzen besser beraten, danach hast du die Gewissheit, sauber zu sein ;) |
Danke mal für die Hilfe. Wie gesagt, neu aufsetzen is kein Ding. Mich würd einfach mal interessieren ob man die Dinge nicht auch so loswerden kann. Als ich mir den Virus eingefangen habe, hatte Norton sofort angeschlagen, konnte die Datei allderdings nicht löschen. Hab dann im Offlinemodus Norton gegen Kaspersky getauscht und der konnte dann löschen. Der Pc läuft auch im Prinzip "einwandfrei". Nur unmerklich langsamer beim Surfen, aber das hätte ich auf Kaspersky und die active protection zurückgeführt. Wie würde man jetzt weiter vorgehen? Einfaches per Hand löschen der .dll Datei? |
Zitat:
Und die Zeit der Spaßviren ist längst vorbei. |
Hallo, vielleicht wäre diese Datei für die AV-Hersteller von Intresse ? Datei einpacken,mit Kennwort versehen,als Anhang einer Mail und im Begleittext das Kennwort nennen mit einem Verweis auf diesen Thread. Leider habe ich keinen passenden Link zur Hand...:mad: Kennt jemand die EMail Addy von Klaffke oder so... ? (Gedankennotiz für mich : schreib dir auf ,was du nicht im Kopf behalten kannst !) Irrlicht |
Von Markus ist die Adresse: virus@sicher-ins-netz.info |
Moin oder hier findet man ne Menge AV-Hersteller --> http://www.trojaner-board.de/19273-v...einsenden.html MFG Moin cosinus Moin irrlicht |
Habs mal an "Markus" gesendet. Bin ja mal gespannt ob wir hier ne Rückmeldung zu diesem Ding erhalten. Würd mich interessieren. |
Guten Morgen! Mail ist raus - es handelt sich wirklich um eine neue Malware (einer allerdings bekannten Schädlingsfamilie - hier: "Vundo" zuzuordnen). Was ist mit der anderen Datei, die von Kaspersky gemeldet wurde? Konntest Du die auch isolieren? |
War ja klar, was neues und ich habs zuerst *lol*. Ne spaß, is eigentlich der erste Virus den ich mir eingefangen habe, bin sonst immer extrem vorsichtig. Kaspersky konnte eigentlich alles bereinigen, einzig die Files vom HJT-Logfile waren noch übrig. Welche Datei meinst du jetzt genau, die von Kaspersky gemeldet wurde? O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing) O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing) Die beiden waren aus dem HJT, sind aber nicht mehr auffindbar. Zumindest nicht mit Kaspersky, bzw. mit ner normalen Suche nach diesen Dateien. Ich poste noch mal ein aktuelles HJT-Log, vielleicht fällt ja jemandem von Euch noch was auf, das ich versuchen kann zu isolieren und zu scannen. Logfile of HijackThis v1.99.1 Scan saved at 02:31:35, on 04.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\DriveCrypt\DcrServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Free Desktop Clock\DesktopClock.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\TBPANEL.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Installationsprogramme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {748E6C81-DC7D-4974-BE84-016C7A71A0D2} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0774C1-7766-4D77-B485-A3C91E8ABFBE}: NameServer = 195.34.133.21 195.34.133.22 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing) O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
Kaspersky, F-Secure und Avira haben sehr schnell mit passenden Signaturen reagiert; Sophos war aber auch recht schnell, eine kleine Beschreibung zum Schädling steht hier zur Verfügung: Troj/BHO-CQ - Trojan - Sophos threat analysis |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:23 Uhr. |
Copyright ©2000-2024, Trojaner-Board