|
spoolsv.exe im Tempverzeichnis Moin, nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe. Aufgefallen ist mir das vermeintliche Problem, als aus heiterm Himmel Viren/Trojaner (weiß leider nicht mehr welche) im TempVerzeichnis gefunden wurden. Ich dachte mir zunächst nicht viel dabei und rechnete damit, dass diese wohl von irgendeiner Website dorthingelangt sind - aber ja von AVG entdeckt und vernichtet wurden. Misstrauisch wurde ich dann jedoch, als sich die Funde häuften. Ich schaute mir das TempVerzeichnis einmal an und fand dort eine spoolsv.exe und einen Odner "~tmp" welcher als SystemDatei markiert war und somit versteckt wurde. Darin befinden sich Ordner mit kryptischen Namen (zB lvprf07) mit Programmen, die unscheinbare Namen (zB csrss.exe) tragen. Ich machte mich daran alle mir merkwürdig vorkommenden Prozesse zu beenden und löschte das TempVerzeichnis. Außerdem durchsuchte ich den Autostart. Leider tauchte der Ordner (~tmp) und die spoolsv.exe immer wieder auf. Dann überwachte ich den TempOrdner einmal mit dem Sysinternals Filemon und musste feststellen, dass ganz normale Anwendungen von mir (zB RocketDock oder UltraVNC) scheinbar auf den Ordner zugreifen. Habe deswegen noch folgende Tools zur Hilfe genommen, leider hat bis heute nichts an dem Erscheinen vom Ordner geändert:
Nun habe ich auch einmal HijackThis darüberlaufen lassen: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo und :hallo: Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) Mach auch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
Oh klasse ... viel zu tun :lach: ... ich war allerdings in der Zeit nicht untätig und habe Anti-Malware durchlaufen lassen, wobei einige Sachen gefunden wurden (siehe Log, habe bis jetzt noch kein weiteres mal durchlaufen lassen - dauert ja 1 1/2 Stunden je Run) ... außerdem habe ich mir mittels Sysinternals Autoruns einmal den Startup angeschaut und einen Autostart auf die spoolsv.exe im Tempverzeichnis entfernt. Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen. Allerdings überwache ich seit dem auch mittels Filemon mein Tempverzeichnis und muss sagen, dass sich dieses, bis jetzt, nicht mit uminösen Dateien gefüllt hat. Allerdings versuchten einige Anwendungen auf die spoolsv.exe im Temp Verzeichnis zuzugreifen. Hier einmal Ausschnitte aus dem Log: Code: 3 18:32:51 procexp.exe:3372 OPEN C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE NOT FOUND Options: Open Access: 00000081 Aber die angeforderten Logs habe ich natürlich noch gemacht ^^ MBR-Tool Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: 12/05/08 20:16:32 [Info]: BlackLight Engine 2.2.1092 initializedCode: Malwarebytes' Anti-Malware 1.31HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2Ach genau ... danke für die freundliche Begrüßung und vor allem für die schnelle Hilfe! |
Silentrunner Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Zitat:
Code: C:\WINDOWS\sessmgr.exeZitat:
Zitat:
Zitat:
Wir müssen schwerere Geschütze auffahren: 1.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 3.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
Hmmm ... bevor ich mich an ComboFix mache ... ich habe noch einmal einen Anti-Malware-Durchlauf gemacht ... und dieser hat keinen Befund mehr gebracht: Code: Malwarebytes' Anti-Malware 1.31 |
Lass zuerst die Dateien überprüfen und mache die anderen Listings. Wichtig ist auch ein neues HJT-Log. Danach sehen wir weiter. ciao, andreas |
Die Casino.exe ist clean (habe ich auch irgendwann mal installiert, um mir das mal anzuschauen ^^). Die andere ist jedoch scheinbar infiziert: Code: Antivirus Version letzte aktualisierung Ergebnishttp://home.arcor.de/psycho_lippo/listing.txt http://home.arcor.de/psycho_lippo/silentrunner.txt Und zu guter Letzt noch ein einmal das HijackThisLog: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Es gefällt mir nicht, das MAM den nicht erkannt hat. Selbst wenn kein Antivirenprogramm angesprungen wäre, das muss einer sein. Auf die Schnelle hab ich auch nichts dazu gefunden. Starte HJT => Do a system scan only => Markiere: Code: O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)Neustart => Kontrolliere ob sie weg sind. Die Listings schaue ich mir gleich noch an. Mache in der Zwischenzeit mal zwei Onlinescans bei: Kaspersky Online-Scanner und Prevx CSI - FREE Malware Scanner Poste die Logs! ciao, andreas |
Kann es sein, dass du um 18:30 Uhr ein Windowsupdate gefahren hast? Es geht mir um diese Datei: nhcdriver.sys Lass folgende Dateien bei Virustotal überprüfen: Code: C:\Benutzer\lippo\Anwendungsdaten\cmstp.execiao, andreas |
Guten Morgen, ich bin doch ehrlich gesagt etwas schockiert, dass sich diese Biester so tief bei mir eingegraben haben. Sind ja überall ... Erst einmal habe ich mich daran gemacht die sessmgr und die Breadcrumps Adressbar Einträge zu entfernen ... nach einem Neustart sind sie auch nicht wieder aufgetaucht, wie das Log zeigt: Code: Logfile of Trend Micro HijackThis v2.0.2cmstp.exe Code: Antivirus Version letzte aktualisierung ErgebnisAls mir das aufgefallen ist, habe ich natürlich auch die svhost auf einen Virus überprüft (bei Virustotal), habe aber nichts gefunden. Werde mich dann mal daran machen die OnlineScanner zu mobilisieren. |
Halli hallo. @ john.doe: Ist dir eigentlich klar was du hier grade versuchst zu bereinigen? Ich denke nicht oder? Du versuchst einen SdBot zu beseitigen der über IRC Kanäle wahrscheinlich die ganze Zeit munter mit seinem Schöpfer kommuniziert. Ich tippe auf einen W32/Tilebot der mitlerweile fleißig Malware nachgeladen hat. Wenn man sich traut sowas zu bereinigen dann sollte man das ganze etwas anders angehen.. @ lippo: Ich empfehle dir dringend deinen Rechner physikalisch vom Internet zu trennen! Das heisst LAN-Kabel ziehen! Der Schädling spioniert dich nämlich grade fleißig aus... Danach ist die einzig sichere Variante den Rechner platt zu machen. Alles andere wäre ziemlich sinnfrei und mit einem hohen Risiko behaftet. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Bis eben dachte ich, dass ich heute Nachmittag endlich wieder arbeiten könnte. Jetzt klingt es jedoch mehr nach, dass mein WE für die Neuinstallation draufgehen wird. Denn leider habe ich viele wichtige Dateien auf dem Rechner, die ich natürlich erst mal sichern (und laut Anleitung auch noch scannen müsste). Ich habe gerade das MBR-Tool über die Batch-Datei gestartet und folgendes Log herausbekommen: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netAch so ... den Kaspersky Scanner kriege ich nicht zum Laufen, der sagt immer das meine Lizenz abgelaufen sei und beim anderen Link, dort finde ich nur einen Scanner zum Download. Und ich glaube mittlerweile auch nicht, dass ein Rootkit auf dem Rechner ist - immerhin meldet Blacklight nichts. |
Zitat:
Zitat:
Zitat:
Zitat:
Die Schädlinge Tunneln die Überwachung oder arbeiten über eine reverse Connection. Zitat:
Zitat:
Und selbst mächtige Tools wie gmer können hintergangen werden... Übrigens glaube ich auch nicht, dass bei dir ein Rootkit läuft... |
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board