Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile + cshelper.exe (https://www.trojaner-board.de/69525-logfile-cshelper-exe.html)

Malachyt 03.02.2009 14:23
Logfile + cshelper.exe
 
Hallo zusammen,

hab heut etwas gefunden, dass mich stutzig machte - cshelper.exe.

- Googeln hat mich nicht viel weitergebracht - könnte laut McAfee-Seite* evtl von einem Programm namens CopySafe PDF kommen, von dem ich noch nie was gehört hab und das auch nicht bei mir installiert ist.
*(hxxp://www.siteadvisor.com/sites/artistscope.com/downloads/12982468/)

- Laut Virustotal stuft sie nur Fortinet als 'suspicious' ein:
File size: 266240 bytes
MD5...: aefb8558199bd5212b268b09bfa1d71a
SHA1..: 08dc117fe57fcba4c9078081300854b6a54a6c79
SHA256: 8623c845977ffceca6e90f8b148b05ae8e85cf7c517652be8ed44f597a749bee
SHA512: cdd2435f6f2cb08cf032710794352a5f453aae3d042cf749d6b8eef599443a2f
0d3292ab4af36a5b02695613498f822738c966e886c8bcb8fb03903740a5afa2
ssdeep: 3072:wJjoZd9Lih2vNu8luiNX5gKBrWYGc+voYMcCoPwUGB7eZqmPx2n2l7YrACB
sty:6jo/2muQui/gK9WYIoYMxw2noYrADty
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4e8f
timedatestamp.....: 0x48f46f15 (Tue Oct 14 10:06:13 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1aef4 0x1b000 6.65 eab07101d3812cf5211d2ceb6e3bc0d8
CODE 0x1c000 0x1bafc 0x1c000 6.48 508884a809f9365c1f39fa1aa4f46bfe
.rdata 0x38000 0x4aa4 0x5000 5.23 25fe59cc0204aba1d958946441d7927e
.data 0x3d000 0x1b50 0x1000 2.96 617df622cbcbc5dc816905b102fecef7
DATA 0x3f000 0xf80 0x1000 4.58 18c8970d32d7ab38a958fafab01a5ba6
BSS 0x40000 0x759 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x41000 0xb0 0x1000 3.06 63dd4599aa8fbdfca297181b242bedf2

( 5 imports )
> CSInstru.dll: InitCSP, DoneCSP
> KERNEL32.dll: TlsGetValue, TlsFree, TlsAlloc, lstrlenW, lstrlenA, lstrcpyW, lstrcmpiW, lstrcmpA, lstrcatW, WriteProcessMemory, WaitForMultipleObjects, VirtualQueryEx, VirtualQuery, VirtualProtectEx, VirtualProtect, UnmapViewOfFile, TerminateThread, TerminateProcess, SetThreadPriority, SetLastError, ResumeThread, ReleaseSemaphore, ReleaseMutex, ReadProcessMemory, ReadFile, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MapViewOfFile, LoadLibraryExA, LoadLibraryW, LoadLibraryA, IsBadWritePtr, IsBadReadPtr, GetVersionExW, GetVersionExA, GetTickCount, GetThreadContext, TlsSetValue, GetSystemDirectoryA, GetProcAddress, GetModuleHandleW, GetModuleFileNameW, GetLastError, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryW, GetCurrentDirectoryA, InterlockedExchange, FormatMessageA, DuplicateHandle, DeleteFileW, CreateThread, CreateSemaphoreA, CreateProcessW, CreateProcessA, CreatePipe, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CompareStringW, CompareStringA, GetTimeZoneInformation, GetLocaleInfoW, LCMapStringW, LCMapStringA, GetStringTypeW, MultiByteToWideChar, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStdHandle, RaiseException, RtlUnwind, UnhandledExceptionFilter, WriteFile, ExitProcess, FreeLibrary, GetCommandLineA, GetLocaleInfoA, GetStartupInfoA, GetThreadLocale, WideCharToMultiByte, GetCurrentThreadId, GetVersion, VirtualAlloc, VirtualFree, InitializeCriticalSection, DeleteCriticalSection, OpenProcess, WaitForSingleObject, EnterCriticalSection, LeaveCriticalSection, GetModuleHandleA, GetModuleFileNameA, LocalAlloc, lstrcmpiA, LocalFree, Sleep, lstrcpyA, lstrcatA, SetEvent, CloseHandle, GetSystemDirectoryW, GetDateFormatA, GetTimeFormatA, SetConsoleCtrlHandler, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, HeapFree, HeapAlloc, GetProcessHeap, InterlockedIncrement, InterlockedDecrement, HeapSize, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, QueryPerformanceCounter, GetSystemTimeAsFileTime, FatalAppExitA, HeapReAlloc, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, SetEnvironmentVariableA
> USER32.dll: CloseDesktop, DispatchMessageA, GetSystemMetrics, GetThreadDesktop, MsgWaitForMultipleObjects, OpenInputDesktop, PeekMessageA, TranslateMessage, MessageBoxA, GetKeyboardType, GetUserObjectInformationA
> ADVAPI32.dll: CreateServiceA, StartServiceA, GetKernelObjectSecurity, AdjustTokenPrivileges, AllocateAndInitializeSid, EqualSid, FreeSid, GetLengthSid, GetTokenInformation, InitializeSecurityDescriptor, IsValidSid, LookupPrivilegeValueA, OpenProcessToken, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegSetValueExW, SetSecurityDescriptorDacl, RegCloseKey, RegOpenKeyExA, RegQueryValueExA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, OpenSCManagerA, OpenServiceA, QueryServiceConfigA, ControlService, DeleteService, CloseServiceHandle, ChangeServiceConfigA, SetServiceStatus
> OLEAUT32.dll: -, -


Hier das hjt-log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:21, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\CSHelper.exe
C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgttry.exe
C:\Marion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"
O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: hxxp://*.mcafee.com
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - hxxp://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - hxxp://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - hxxps://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115
O23 - Service: CopySafe Helper Service (CSHelper) - Unknown owner - C:\WINDOWS\system32\CSHelper.exe
O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

--
End of file - 6207 bytes


Hab auch mal malwarebytes über den PC laufen lassen, der hat keine infizierten Objekte gefunden.


Wie lautet die Diagnose?

Vielen lieben Dank im voraus!
Marion

nochdigger 03.02.2009 17:23
Hallo

hast du die Datei
C:\WINDOWS\system32\CSHelper.exe
mal mit der rechten Maustaste angeklickt und dich durch die "Eigenschaften" geackert (Hersteller usw.)?

Du kannst die Datei ja mal hier
Send a Sample to the Security Labs
oder hier
Submit your sample
hochladen und das Ergebnis hier posten.

MFG

Malachyt 03.02.2009 17:40
Hallo & danke für die Antwort! :)

Bei Rechtsklick/Eigenschaften steht leider gar nix zu Hersteller etc. - nur leere Felder, bzw. der header "Version" fehlt vollständig.

Hab die Datei an F-Secure geschickt. Gibt es da Erfahrungswerte, wie lange es dauern kann?

Sieht der Rest des logfiles für dich sauber aus?

Fragen über Fragen ... :)

nochdigger 03.02.2009 18:16
Hallo

Zitat:
Hab die Datei an F-Secure geschickt. Gibt es da Erfahrungswerte, wie lange es dauern kann?
bei F-Secure kann ich es dir nicht sagen, bei Antivir ca. 2 Tage.

Zitat:
Sieht der Rest des logfiles für dich sauber aus?
Ich sehe nix was mich in Aufregung versetzen würde;)

Du kannst für die Dauer bis ein Ergebnis vorliegt versuchen, die Datei umzubenennen.
Mit einem rechtsklick auf die Datei --> Umbenennen --> hängst du einfach ein .vir hinten dran.

MFG

Malachyt 03.02.2009 18:27
Zitat:
...bei Antivir ca. 2 Tage.
Okay, werd mich dann mit dem Ergebnis wieder melden.

Zitat:
Ich sehe nix was mich in Aufregung versetzen würde
Uff, da bin ich aber erleichtert! :Boogie:

Okay, werd das ganze umbenennen. Hoffentlich ist es nix schlimmes. :(

Bis die Tage!

Malachyt 04.02.2009 08:57
So, F-Secure war aber schnell! Und hat auch noch das gewünsche Ergebnis geliefert: :Boogie:

"The file you submitted is clean. It is not malicious."

Werd das Ding jetzt wieder rück-umbenennen, und mit hjt fixen. Mal schaun, ob es sich nochmal meldet...

Vielen lieben Dank für die Hilfe!

Marion

nochdigger 04.02.2009 17:34
Hallo

Zitat:
Werd das Ding jetzt wieder rück-umbenennen, und mit hjt fixen. Mal schaun, ob es sich nochmal meldet...
Ich denke ich habe dich verstanden:)

Zitat:
Vielen lieben Dank für die Hilfe!
bitte gern;)

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:31 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129