|
spoolsv.exe im Tempverzeichnis Moin, nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe. Aufgefallen ist mir das vermeintliche Problem, als aus heiterm Himmel Viren/Trojaner (weiß leider nicht mehr welche) im TempVerzeichnis gefunden wurden. Ich dachte mir zunächst nicht viel dabei und rechnete damit, dass diese wohl von irgendeiner Website dorthingelangt sind - aber ja von AVG entdeckt und vernichtet wurden. Misstrauisch wurde ich dann jedoch, als sich die Funde häuften. Ich schaute mir das TempVerzeichnis einmal an und fand dort eine spoolsv.exe und einen Odner "~tmp" welcher als SystemDatei markiert war und somit versteckt wurde. Darin befinden sich Ordner mit kryptischen Namen (zB lvprf07) mit Programmen, die unscheinbare Namen (zB csrss.exe) tragen. Ich machte mich daran alle mir merkwürdig vorkommenden Prozesse zu beenden und löschte das TempVerzeichnis. Außerdem durchsuchte ich den Autostart. Leider tauchte der Ordner (~tmp) und die spoolsv.exe immer wieder auf. Dann überwachte ich den TempOrdner einmal mit dem Sysinternals Filemon und musste feststellen, dass ganz normale Anwendungen von mir (zB RocketDock oder UltraVNC) scheinbar auf den Ordner zugreifen. Habe deswegen noch folgende Tools zur Hilfe genommen, leider hat bis heute nichts an dem Erscheinen vom Ordner geändert:
Nun habe ich auch einmal HijackThis darüberlaufen lassen: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo und :hallo: Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) Mach auch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
Oh klasse ... viel zu tun :lach: ... ich war allerdings in der Zeit nicht untätig und habe Anti-Malware durchlaufen lassen, wobei einige Sachen gefunden wurden (siehe Log, habe bis jetzt noch kein weiteres mal durchlaufen lassen - dauert ja 1 1/2 Stunden je Run) ... außerdem habe ich mir mittels Sysinternals Autoruns einmal den Startup angeschaut und einen Autostart auf die spoolsv.exe im Tempverzeichnis entfernt. Leider habe ich vor deinem Post bereits die fraglichen Dateien gelöscht und konnte sie somit nicht mehr hochladen. Allerdings überwache ich seit dem auch mittels Filemon mein Tempverzeichnis und muss sagen, dass sich dieses, bis jetzt, nicht mit uminösen Dateien gefüllt hat. Allerdings versuchten einige Anwendungen auf die spoolsv.exe im Temp Verzeichnis zuzugreifen. Hier einmal Ausschnitte aus dem Log: Code: 3 18:32:51 procexp.exe:3372 OPEN C:\BENUTZER\LIPPO\LOKALE EINSTELLUNGEN\TEMP\SPOOLSV.EXE NOT FOUND Options: Open Access: 00000081 Aber die angeforderten Logs habe ich natürlich noch gemacht ^^ MBR-Tool Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: 12/05/08 20:16:32 [Info]: BlackLight Engine 2.2.1092 initializedCode: Malwarebytes' Anti-Malware 1.31HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2Ach genau ... danke für die freundliche Begrüßung und vor allem für die schnelle Hilfe! |
Silentrunner Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Zitat:
Code: C:\WINDOWS\sessmgr.exeZitat:
Zitat:
Zitat:
Wir müssen schwerere Geschütze auffahren: 1.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 3.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
Hmmm ... bevor ich mich an ComboFix mache ... ich habe noch einmal einen Anti-Malware-Durchlauf gemacht ... und dieser hat keinen Befund mehr gebracht: Code: Malwarebytes' Anti-Malware 1.31 |
Lass zuerst die Dateien überprüfen und mache die anderen Listings. Wichtig ist auch ein neues HJT-Log. Danach sehen wir weiter. ciao, andreas |
Die Casino.exe ist clean (habe ich auch irgendwann mal installiert, um mir das mal anzuschauen ^^). Die andere ist jedoch scheinbar infiziert: Code: Antivirus Version letzte aktualisierung Ergebnishttp://home.arcor.de/psycho_lippo/listing.txt http://home.arcor.de/psycho_lippo/silentrunner.txt Und zu guter Letzt noch ein einmal das HijackThisLog: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Es gefällt mir nicht, das MAM den nicht erkannt hat. Selbst wenn kein Antivirenprogramm angesprungen wäre, das muss einer sein. Auf die Schnelle hab ich auch nichts dazu gefunden. Starte HJT => Do a system scan only => Markiere: Code: O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)Neustart => Kontrolliere ob sie weg sind. Die Listings schaue ich mir gleich noch an. Mache in der Zwischenzeit mal zwei Onlinescans bei: Kaspersky Online-Scanner und Prevx CSI - FREE Malware Scanner Poste die Logs! ciao, andreas |
Kann es sein, dass du um 18:30 Uhr ein Windowsupdate gefahren hast? Es geht mir um diese Datei: nhcdriver.sys Lass folgende Dateien bei Virustotal überprüfen: Code: C:\Benutzer\lippo\Anwendungsdaten\cmstp.execiao, andreas |
Guten Morgen, ich bin doch ehrlich gesagt etwas schockiert, dass sich diese Biester so tief bei mir eingegraben haben. Sind ja überall ... Erst einmal habe ich mich daran gemacht die sessmgr und die Breadcrumps Adressbar Einträge zu entfernen ... nach einem Neustart sind sie auch nicht wieder aufgetaucht, wie das Log zeigt: Code: Logfile of Trend Micro HijackThis v2.0.2cmstp.exe Code: Antivirus Version letzte aktualisierung ErgebnisAls mir das aufgefallen ist, habe ich natürlich auch die svhost auf einen Virus überprüft (bei Virustotal), habe aber nichts gefunden. Werde mich dann mal daran machen die OnlineScanner zu mobilisieren. |
Halli hallo. @ john.doe: Ist dir eigentlich klar was du hier grade versuchst zu bereinigen? Ich denke nicht oder? Du versuchst einen SdBot zu beseitigen der über IRC Kanäle wahrscheinlich die ganze Zeit munter mit seinem Schöpfer kommuniziert. Ich tippe auf einen W32/Tilebot der mitlerweile fleißig Malware nachgeladen hat. Wenn man sich traut sowas zu bereinigen dann sollte man das ganze etwas anders angehen.. @ lippo: Ich empfehle dir dringend deinen Rechner physikalisch vom Internet zu trennen! Das heisst LAN-Kabel ziehen! Der Schädling spioniert dich nämlich grade fleißig aus... Danach ist die einzig sichere Variante den Rechner platt zu machen. Alles andere wäre ziemlich sinnfrei und mit einem hohen Risiko behaftet. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Bis eben dachte ich, dass ich heute Nachmittag endlich wieder arbeiten könnte. Jetzt klingt es jedoch mehr nach, dass mein WE für die Neuinstallation draufgehen wird. Denn leider habe ich viele wichtige Dateien auf dem Rechner, die ich natürlich erst mal sichern (und laut Anleitung auch noch scannen müsste). Ich habe gerade das MBR-Tool über die Batch-Datei gestartet und folgendes Log herausbekommen: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netAch so ... den Kaspersky Scanner kriege ich nicht zum Laufen, der sagt immer das meine Lizenz abgelaufen sei und beim anderen Link, dort finde ich nur einen Scanner zum Download. Und ich glaube mittlerweile auch nicht, dass ein Rootkit auf dem Rechner ist - immerhin meldet Blacklight nichts. |
Zitat:
Zitat:
Zitat:
Zitat:
Die Schädlinge Tunneln die Überwachung oder arbeiten über eine reverse Connection. Zitat:
Zitat:
Und selbst mächtige Tools wie gmer können hintergangen werden... Übrigens glaube ich auch nicht, dass bei dir ein Rootkit läuft... |
Zitat:
Zitat:
|
Zitat:
Sind Netzwerkfreigaben vorhanden? Wenn die Rechner nicht ordentlich gepatcht sind und/oder Netzwerfreigaben vorhanden sind besteht ein extrem großes Risiko!!!! Zitat:
Du könntest einen TestRechner zwischen Router und den infizierten Comp setzten und alles mitloggen. Wie das geht kann dir Karl genauer erleutern aber was bringt das? Das ist 'ne Heiden Arbeit und den TestRechner darfst du danach eh platt machen... Neuaufsetzen geht wesentlich schneller.. ;) Zitat:
|
Zitat:
Zitat:
Ich konnte es mir nicht verkneifen, diese direkt in den Laptop zu stecken und einmal zu schauen was Knoopichillin denn so findet. Der Test läuft gerade noch, allerdings wurden bereits Spuren vom Wurm Netsky.AP und Netsky.P.Expl gefunden. Besonders tragisch ist das wohl in der Hinsicht, dass die Funde aus meiner XAMPP-Installation stammen. Folglich wurde von mir also Spam/Trojaner Mails verschickt :eek: Oh ... ist gerade reingekommen ... im Mülleimer wurde nun der Trojaner TR/Agent.iob gefunden ... in der im Threadtitel erwähnten spoolsv.exe. Na gut ... den Scan werde ich wohl auf jedenfall noch durchlaufen lassen und dann auch meine anderen Systeme einmal durchschauen lassen. Die Befunde würde ich hier natürlich nur alzugerne posten (hoffe ja immer noch mich irgendwie vor der Neuinstallation zu drücken ;) ). Ansonsten werde ich mich morgen wohl mit den Re-Installationstipps näher vertraut machen. Ach so ... außerdem hoffe ich natürlich, dass mein rebellisches Verhalten - bin ja schließlich nicht einfach den Instruktionen gefolgt - in Ordnung ist. Freue mich jedenfalls über die schnellen Antworten und die super Hilfe ^^ |
Zitat:
Zitat:
ciao, andreas |
wie kannst du das Zitat:
Zitat:
Nun mach den Rechner endlich platt! Sonst wird das 'ne Katastrophe! Ich sag's dir! _Und setzte den Rechner um den es in diesem Thread geht nach Anleitung neu auf! ;) |
@ Andreas: Du musst dich nicht gleich so angegriffen fühlen! :bussi: Ich wollte lediglich Schlimmeres verhindern denn der TO folgt dir wenn du ihm Hilfestellung gibst. Daher sollte man das nur tun wenn man absolut fit ist. (Übrigens hast du fixen lassen, das gehört nicht zur Analyse. Aber lasse wir diese Haarspallterei..) Der Rechner gehörte dringend vom Netz!!! Der TO verliert seine persönlichen Daten wenn du ihm nicht sagst, dass er ausspioniert wird. Und das war aus dem ersten log ersichtlich.. Zweitens musst du mal zusammen rechnen wieviel Zeit der TO jetzt schon für die "Analyse" vergeudet hat... Da hätte er dreimal neuaufsetzen können; was er eh tun muss. Zusätzlich habe ich es jetzt schwer ihn dazu zu bewegen weil er natürlich Blut geleckt hat und denkt den Rechner so bereinigen zu könnnen.. ;) Und dass dir meine Art stinkt überrascht mich nicht.. Allerdings müssen solche Töne ab und an angeschlagen werden um dem TO klare Anweisungen geben zu können die zum Ziel führen. Wir haben hier einen "Board-Standard" der sehr wichtig für eine professionelle Hilfeleistung hier im Board ist. Leider haben wir zur Weinachtszeit nicht genug kompetente Leute um alle Posts mitzulesen, dafür aber viele neue, unerfahrene User die den TOs mehr schlecht als Recht Hilfe geben können... Übrigens mische ich mich ganz allgemein erst sehr spät ein und lange nicht immer obwohl es nötig wäre... Wenn du helfen möchtest dann kannst du das nur wenn du lernst. Die erste Zeit nur mitlesen ist da die beste Möglichkeit. Und das eine ganze Weile! Wenn du dann Fragen hast schreib die älteren Hasen per PN an und lass dir einzelne Sachen erklären. Wenn wir Zeit haben und die Fragen gut gestellt sind werden die meisten hier sich gerne die Zeit nehmen sie zu beantworten! Und wenn du dann Hilfestellung gibst trau dich erstmal nur an die "einfachen" Sachen und bitte uns bei Unsicherheiten um Rat. Wir lesen hier leider im Moment zu viele unsichere Hilfeleistungen und müssen daher mal wieder ein bischen eingreifen.. lieben Gruß |
Hmmm ... das Logfile vom Scan sollte eigentlich irgendwo auf meiner Platte sein ... habe aber nichts gefunden - egal! Bin gerade dabei alle mir wichtigen Daten zu kopieren. Allerdings habe ich dich direkt noch ein paar Fragen. 1) Ich sichere die Dateien gerade auf eine externe Festplatte, soll ich diese dann mit MWAV/eScan auf einem anderen Rechner durchsuchen? Und wenn ich das auf einem anderen Rechner mache. Muss ich diesen dann auch im abgesicherten Modus starten, wie in der Anleitung angegeben? *sich nicht vorstellen kann, wozu das gut sein soll* 2) Arbeitet ihr auch alle mit eingeschränkten Benutzerrechten, habe mir hierzu mal nen Artikel in der c't angeschaut. Mich überzeugte das nicht so, soll ja an allen Enden und Ecken zu Problemen führen. 3) Wie meinst du das mit dem KnoppixScan? Geht auch Knoopicillin? ^^ Da weiß ich wenigstens mit um ;). Bzw. wie kriegt man denn nun raus, dass mein Rechner zu einem Botnetzwerk gehört - kriegt man das nur durch abhören der Netzwerkverbindung raus? 4) Kann man jetzt eigentlich ruhigen Gewissens die WindowsUpdates nach der Neuinstallation aus dem Internet beziehen oder soll ich die lieber mit einem anderen Rechner herunterladen und dann via USBstick kopieren? |
1) Ich würde die Platte von einer live CD aus scannen oder im abgesicherten Modus. 2) Also das Arbeiten mit eingeschränkten Rechten macht durchaus Sinn. Mehr als jedes AntiViren Programm... ;) 3) Zitat:
4) Also wenn du das Service Pack 3 offline aufspielst kannst du die anderen Updates danach ruhig automatisch einspielen lassen.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board