Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan? (https://www.trojaner-board.de/80725-services-exe-prozess-offnet-verbindungen-port-80-port-25-trojan.html)

gku 24.12.2009 16:48
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Ich habe bemerkt, dass Services.exe - Prozess öffnet viel Verbindungen zum Port 80 und Port 25.
Zuerst habe ich im Eventlog so was gefunden: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.
Dann mit netstat habe ich das Problem gefunden - Service.exe.
Jetzt habe ich mit Personal - Firewall den Services.exe von TCP getrennt.
Ich habe schon mit Avira, MS Security Essential und etc. versucht, aber nichts gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:22, on 24.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\regedit.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Far\Far.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft Office Outlook starten.lnk = C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY\spy.htm (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196944590671
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ttt.de
O17 - HKLM\Software\..\Telephony: DomainName = ttt.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ttt.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ttt.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe

--
End of file - 7571 bytes

gku 25.12.2009 18:13
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Teil des netstat - Log
TCP 192.168.0.100:1412 64.191.223.42:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1419 64.59.192.8:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1421 72.20.117.160:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1426 72.20.117.160:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1439 195.113.116.7:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

TCP 192.168.0.100:1504 69.2.111.26:25 SYN_GESENDET 1436
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
-- unbekannte Komponente(n) --
C:\WINDOWS\system32\kernel32.dll
[services.exe]

gku 26.12.2009 22:47
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
AVIRA hat letzendlich was gefunden :

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\ykmno.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.aagq
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\ykmno.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.aagq
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.

Dazu

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\of8xn4e7t
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\h8ywd2kd3
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ykmno\p4ropvt
[INFO] Der Registrierungseintrag ist nicht sichtbar.

ykmno.sys kann Avira nur nach Reboot löchen, aber die Detei kommt immer zurück. Die Register-Einräge für ykmno lassen sich nicht löchen.
ich habe mit Regedit.exe und reg.exe schon probiert... es kommt: ein an das System angeschlossenes Gerät funktioniert nicht.

Hat jemand eine Idee was ich machen kann?
Danke im Voraus

gku 26.12.2009 22:59
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
noch einen Log (Attach)

gku 27.12.2009 10:41
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
Ich habe Malwarebytes Anti-Malware ausprobiert.
Die Anwendung hat den Rootkit auch gefunden (dazu noch etwas),
aber sie hat auch geschafft den richtig zu löschen!!!
Jetzt habe ich C:\WINDOWS\system32\drivers\ykmno.sys nicht mehr!!!
Danach konnte ich ein Teil der Register-Einträge mit Regedit zu löschen (scheint Malwarebytes hat dort auch was geändert),
aber leider nicht alle.

Diese sind gelöscht:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ykmno]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
"oF8xN4e7t"=hex:a9,b7,ad,b7,a1,98,c7,66
"h8ywD2kD3"=hex:c6,e9,96,7a,ea,ab,96,bc,40,5a,27,8f,67,0f,92,5c,78,42,7a,68,71,\
98,96,83,da,75,3e,4a,fd,6b,b8,0c,75,95,9c,31,61,8a,9c,07,7b,92,94,00,62,5a,\
dc,ce,ea,bf,13,d6,e9,ef,6b,41,4a,a8,c8,0d,de,89,cb,49,77,c4,cf,82
"p4rOpVt"=hex:4a,22,20,5e

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ykmno\Enum]
"0"="Root\\LEGACY_YKMNO\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Diese sind weiter gelockt:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO\0000]
"Service"="ykmno"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="ykmno"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0038"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YKMNO\0000\LogConf]

Log:

Datenbank Version: 3437
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.12.2009 09:20:07
mbam-log-2009-12-27 (09-19-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 335531
Laufzeit: 2 hour(s), 9 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ykmno.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\musterman\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.

Was jetzt?

gku 27.12.2009 11:22
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
RSIT - Log (Attach)

gku 27.12.2009 22:30
Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
 
So, nach der Veränderung der Berechtigungen habe ich jetzt all Register-Einträge gelöscht...
Von Ykmno kein Spur mehr!
Die Frage nur war es ein Rootkit oder ein Treiber :)
Die Scanners finden jetzt nichts mehr.

Wäre jemand trotzdem RSIT - Log anguckst, wäre ich sehr dankbar...


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55