| comicman | 01.07.2008 14:00 |
Win2000 TR/Inject.dfx und seine Freunde
Hallo liebe Helfer,
Seit Freitag kämpfe ich (Windows2000 ServicePack4 5.00.2195) vergebens mit dem Trojaner TR/Inject.dfx der sich wohl in der Datei yayvWOfG.dll versteckt hält (C:WINNT/system32/yayvWOfG.dll)
Antivir kann dieses Problem nicht beheben, Fehler-Nr. 26003 (und ich noob erstrecht nicht.)
Im Umfeld dieses Hartnäckers trollen sich ein paar weitere Kumpanen:
TR/Monderc.A
TR/Vundo.ewz.40
welche aber durch Antivir Personal (vermeintlich) in ihre Schranken verwiesen wurden.
Anbei Hijack Log und Combo Fix Log. (Für mich leider alles nur Kauderwelch).
Hilfe.
comicmarv Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:34, on 01.07.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\lxcgcoms.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\XXXXXXXXXXXX\Desktop\Hijack\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {70447C42-14AF-428C-A99C-ED5AB90D8C50} - C:\WINNT\system32\byXPJyax.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {D62A2513-0A8B-44F8-8479-3AFFAFC5FF82} - C:\WINNT\system32\yayvWOfG.dll
O2 - BHO: {a70146c5-28ef-7039-de54-81af1ec17a6e} - {e6a71ce1-fa18-45ed-9307-fe825c64107a} - C:\WINNT\system32\nlikdn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\ABBYY FineReader 5.0 Sprint\CAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [940f7a48] rundll32.exe "C:\WINNT\system32\tretpria.dll",b
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BM973c49d4] Rundll32.exe "C:\WINNT\system32\msuexosd.dll",s
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{95831481-295E-40DE-970A-FCC1EF60FA7B}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{974C9FCE-FFDA-496B-A25C-2EF70CE60674}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{95831481-295E-40DE-970A-FCC1EF60FA7B}: NameServer = 213.191.74.18 62.109.123.196
O20 - Winlogon Notify: yayvWOfG - C:\WINNT\SYSTEM32\yayvWOfG.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - - C:\WINNT\system32\lxcgcoms.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
--
End of file - 5002 bytes
und hier das Combo Fix Log Code:
ComboFix 08-06-20.4 - XXXXXXXXXXX 01.07.2008 14:10:47.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.524 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXXXXXXXX\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINNT\BM973c49d4.xml
C:\WINNT\cookies.ini
C:\WINNT\pskt.ini
C:\WINNT\system32\airptert.ini
C:\WINNT\system32\byXPJyax.dll
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\urcnafkd.ini
C:\WINNT\system32\xayJPXyb.ini
C:\WINNT\system32\xayJPXyb.ini2
C:\WINNT\Web\default.htt
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.
2008-07-01 12:50 . 08-07-01 12:50 <DIR> d-------- C:\Programme\CCleaner
2008-07-01 10:44 . 08-07-01 10:44 21,392 --a------ C:\WINNT\system32\yayvWOfG.zip
2008-07-01 10:40 . 08-07-01 10:40 103,424 --a------ C:\WINNT\system32\nlikdn.dll
2008-07-01 10:40 . 08-07-01 10:40 103,424 --a------ C:\WINNT\system32\fvwqeqrb.dll
2008-07-01 10:40 . 08-07-01 10:40 81,408 --a------ C:\WINNT\system32\tretpria.dll
2008-07-01 10:37 . 08-07-01 10:37 90,624 --a------ C:\WINNT\system32\msuexosd.dll
2008-07-01 10:22 . 08-07-01 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\AdobeUM
2008-06-30 17:42 . 08-06-30 17:42 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-06-30 17:42 . 08-06-30 17:42 1,409 --a------ C:\WINNT\QTFont.for
2008-06-30 12:47 . 08-06-30 12:47 691,545 --a------ C:\WINNT\unins000.exe
2008-06-30 12:47 . 08-06-30 12:47 2,551 --a------ C:\WINNT\unins000.dat
2008-06-30 10:39 . 08-06-30 10:39 751 --a------ C:\WINNT\system32\jgeacigp.dll
2008-06-28 11:21 . 08-06-28 11:21 25,088 --------- C:\WINNT\system32\yayvWOfG.dll
2008-06-28 10:20 . 07-12-13 19:27 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll
2008-06-28 10:20 . 07-12-13 19:27 75,248 --a------ C:\WINNT\zllsputility.exe
2008-06-28 10:20 . 07-12-13 19:27 42,384 --a------ C:\WINNT\zllsputility_loc0407.dll
2008-06-28 10:20 . 07-12-13 19:27 21,904 --a------ C:\WINNT\system32\imsinstall_loc0407.dll
2008-06-28 10:20 . 07-12-13 19:27 17,808 --a------ C:\WINNT\system32\imslsp_install_loc0407.dll
2008-06-28 10:20 . 04-04-27 04:40 11,264 --a------ C:\WINNT\system32\SpOrder.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 11:15 --------- d-----w C:\Programme\Lx_cats
2008-06-30 15:11 --------- d-----w C:\Programme\Artweaver 0.3
2008-06-26 15:46 --------- d-----w C:\Programme\Lexmark 2300 Series
2008-05-24 13:22 --------- d-----w C:\Dokumente und Einstellungen\XXXXXXXXXXXX\Anwendungsdaten\PEERNET
2008-05-24 13:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PEERNET
2008-05-24 13:19 --------- d-----w C:\Programme\PDFCreator
2008-05-24 13:18 --------- d-----w C:\Programme\PDF Creator Plus 4.0
2008-05-24 13:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-13 08:15 --------- d-----w C:\Programme\Java
2006-06-26 11:18 3,932 ----a-w C:\Dokumente und Einstellungen\XXXXXXXXXXX\Anwendungsdaten\LMLayout.dat
2006-06-26 11:18 268 ----a-w C:\Dokumente und Einstellungen\XXXXXXXXXXX\Anwendungsdaten\LMCPaper.dat
2006-01-18 15:22 271 ---h--w C:\Programme\desktop.ini
2006-01-18 15:22 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2008-03-21 20:29 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2008-03-21 20:29 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2008-03-21 20:29 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62A2513-0A8B-44F8-8479-3AFFAFC5FF82}]
08-06-28 11:21 25088 --------- C:\WINNT\system32\yayvWOfG.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a71ce1-fa18-45ed-9307-fe825c64107a}]
08-07-01 10:40 103424 --a------ C:\WINNT\system32\nlikdn.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 112400 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-04-17 10:22 262401]
"ABBYY Community Agent"="C:\Programme\ABBYY FineReader 5.0 Sprint\CAgent.exe" [02-03-20 20:32 253952]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-08-25 14:46 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 04:25 144784]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL,TweakMeUp" []
"lxcgmon.exe"="C:\Programme\Lexmark 2300 Series\lxcgmon.exe" [05-07-21 08:07 200704]
"EzPrint"="C:\Programme\Lexmark 2300 Series\ezprint.exe" [05-08-01 14:05 94208]
"LXCGCATS"="C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [05-07-20 19:48 73728]
"940f7a48"="C:\WINNT\system32\tretpria.dll" [08-07-01 10:40 81408]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [07-12-13 19:27 919016]
"BM973c49d4"="C:\WINNT\system32\msuexosd.dll" [08-07-01 10:37 90624]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D62A2513-0A8B-44F8-8479-3AFFAFC5FF82}"= C:\WINNT\system32\yayvWOfG.dll [08-06-28 11:21 25088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayvWOfG]
yayvWOfG.dll 08-06-28 11:21 25088 C:\WINNT\system32\yayvWOfG.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.ACDV"= ACDV.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-04-17 10:22 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-04-17 10:22 ]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINNT\system32\DRIVERS\RMSPPPOE.SYS [02-10-03 01:09 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINNT\system32\Drivers\Ca533av.sys [02-10-21 12:37 ]
S3 SPGT560xUSB;MS Card_Reader;C:\WINNT\system32\DRIVERS\SP560X2K.SYS [00-09-15 12:23 ]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINNT\system32\Drivers\Bulk533.sys [02-07-25 12:19 ]
S3 viafilter;VIA USB Filter;C:\WINNT\system32\Drivers\viausb.sys [05-03-23 17:56 ]
*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**://www.gmer.net
Rootkit scan 2008-07-01 14:16:51
Windows 5.0.2195 Service Pack 4 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCGCATS = rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\yayvWOfG.dll
PROCESS: C:\WINNT\explorer.exe
-> C:\WINNT\system32\tretpria.dll
.
Zeit der Fertigstellung: 2008-07-01 14:21:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-01 12:21:33
13 Verzeichnis(se), 68,056,952,832 Bytes frei
15 Verzeichnis(se), 69,373,509,632 Bytes frei
129
|
