Trojaner-Board - Rechner sendet / empfängt, aber scheinbar ohne Grund!?!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Rechner sendet / empfängt, aber scheinbar ohne Grund!?! (https://www.trojaner-board.de/58273-rechner-sendet-empfaengt-scheinbar-ohne-grund.html)

Rechner sendet / empfängt, aber scheinbar ohne Grund!?!

Hi zusammen,
habe schon öfters mal verdächtige Dateien gecheckt und bin hier häufig fündig geworden.
Jetzt hoffe ich, daß Ihr mir mit meinem Problem helfen könnt.
Der Status der LAN-Verbindung sendet und empfängt kontinuierlich, ohne daß ich einen Grund sehen kann. (Kein Programm geöffnet wie zB Outlook etc)
Habe mal unten das HiJack Logfile angehängt.
Könnt Ihr da was verdächtiges ausmachen?
Über Hilfe wäre ich echt dankbar.
Alex

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:32, on 19.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Zubehör\espmain.exe
C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\software\RunScanner.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\software\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINNT\system32\diskperff.dll - {A82BE883-EE51-4FAB-85B4-9432C6056673} - C:\WINNT\system32\diskperff.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = ?
O4 - Global Startup: talk&surf 5.1 Monitor.lnk = C:\Programme\Gigaset\talk&surf 5.1\SEMon21.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - h**p://tdserver.bitstream.com/tdserver.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - h**p://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - h**p://www.cabeagent.com/netagent/objects/custappx3.CAB
O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - h**p://www.tradesignalonline.com/gallery/components/axts5we.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - h**p://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.2.1.cab
O20 - Winlogon Notify: disk - C:\WINNT\system32\diskperff.dll (file missing)
O22 - SharedTaskScheduler: style 3 - {6AC3806F-8B39-4746-9C38-6B01CB7331FF} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe

--
End of file - 8220 bytes

Hallo und :hallo:

Ich hab da einige unschöne Sachen im Hijackthis-Logfile gesehen:

Code:

O2 - BHO: C:\WINNT\system32\diskperff.dll - {A82BE883-EE51-4FAB-85B4-9432C6056673} - C:\WINNT\system32\diskperff.dll (file missing)

O20 - Winlogon Notify: disk - C:\WINNT\system32\diskperff.dll (file missing)

O22 - SharedTaskScheduler: style 3 - {6AC3806F-8B39-4746-9C38-6B01CB7331FF} - (no file)

O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)

Ob das fixen/Bereinigen überhaupt noch was bringt, wird sich zeigen.
Im Logfile geht hervor, daß Du wohl munter mit dem IE6 surfst - tu das nicht, das Teil ist eines der größten Einfallstore, nimm lieber Firefox oder Opera.

Acker diese Punkte für weitere Analysen ab:

1.) Führe dieses MBR-Tool aus und poste die Ausgabe

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

4.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hi,
danke für das Willkommen und die Anleitung.
Dann will ich mich mal dranmachen:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Code:

08/21/08 10:53:33 [Info]: BlackLight Engine 1.0.70 initialized

08/21/08 10:53:33 [Info]: OS: 5.0 build 2195 (Service Pack 4)

08/21/08 10:53:34 [Note]: 7019 4

08/21/08 10:53:34 [Note]: 7005 0

08/21/08 10:53:37 [Note]: 7006 0

08/21/08 10:53:37 [Note]: 7011 1528

08/21/08 10:53:37 [Note]: 7035 0

08/21/08 10:53:37 [Note]: 7026 0

08/21/08 10:53:37 [Note]: 7026 0

08/21/08 10:53:43 [Note]: FSRAW library version 1.7.1024

08/21/08 10:54:06 [Note]: 2000 1012

08/21/08 10:56:21 [Note]: 7007 0

Code:

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1075

Windows 5.0.2195 Service Pack 4
 

12:01:42 21.08.2008

mbam-log-08-21-2008 (12-01-29).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 177885

Laufzeit: 57 minute(s), 8 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\LIBRICD.BAT (Trojan.Agent) -> No action taken.

Der Rest folgt noch.

Wie sieht es soweit aus?

Danke
Alex

Das sieht an sich ok aus - MBR okay, Blacklight-Log okay, MBAM hat nur eine Datei angemeckert.

Für den Traffic kann übrigens dieser Prozess verantwortlich sein:

Code:

C:\WINNT\system32\wuauclt.exe

Ist für die automatischen Updates verantwortlich. Spiel mal alle Updates für Windows ein. Benutz dazu notfalls den IE und besuch die Windows-Updateseite. Aber nur dafür den IE nutzen, zum normalen Surfen besser Alternativen wie Firefox oder Opera, zum Mailen statt Outlook Express besser Thunderbird.

Mach das mit Combofix und dem Filelisting bitte noch.

Hi,
dann besuch ich gleich mal die MS-Seite für die Updates.

File-Upload.net - listing1.txt

Combofix folgt.

Danke
Alex

PS Mir ist vorhin der Rechner abgestürzt. Bildschirm blau, ein paar weiße Zeilen, ziemlich schnell und sofort Neustart!? Das hatte ich noch nie...

Hi,
combo-Fix muß etwas warten. Hab da ne wichtige Sache zu erledigen und kann nicht riskieren, daß mir vorher der Rechner nen Abflug macht.

Wie sieht es denn bisher aus?

Danke

Alex

Das listing.txt dient eigentlich nur dazu, um Deine Ordner und Dateien in ausgewählten Systemverzeichnissen zu sehen, viele Malwaredateien, die sich nicht von Virenscannern erkennen lassen, kann man denn mit geschicktem Auge so noch rausfischen. Ich hab dort aber erstmal nix Verdächtiges gesehen.

Combofix an sich ist so ne Sache, es kann das System beschädigen, aber wenn Du haargenau den Anweisungen folgst, minimierst Du das Risiko doch sehr deutlich.

Wenn Du zu sehr auf Deinen Rechner angewiesen bis, solltest Du vorher ein Systemimage machen um notfalls zu diesem Stnd zurückzukommen - falls denn was passiert.