Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   WIN2K-SP4: SERVICES.EXE bei 99% ca. alle 10 sek/min. (https://www.trojaner-board.de/90630-win2k-sp4-services-exe-99-ca-alle-10-sek-min.html)

PirateAndy 10.09.2010 20:14
WIN2K-SP4: SERVICES.EXE bei 99% ca. alle 10 sek/min.
 
Hallo zusammen,

da ich jetzt nicht selber weiter weiß, hoffe ich mal auf die Community: Ich schlage mich seit mitte August mit einem Virus rum: Aufgefallen durch 99%-Auslastung des ITX-PC's der SERVICES.EXE für ca. 10 sec. pro Minute. Hierdurch wird natürlich jegliche Medienwiedergabe zur Qual. "netstat -a" auf der Konsole ergab dann hunderte von Verbindungen zu diversen I-net-Adressen.

Seit Tagen googlen und durchforsten der Foren, und bin nun hier hängen geblieben und weiß nicht mehr weiter.

Meine bisherige Vorgehensweise:

1. HiJackthis ausgeführt (vor 2 Tagen)
2. Malwarbytes`Anti Malware ausgeführt (mehrmals)
3. ComboFix ausgeführt (heute)

zu 1:HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:33:06, on 08.09.2010
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINNT\system32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\VMware\VMware Converter\vmware-ufad.exe
C:\WINNT\System32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINNT\system32\vmnetdhcp.exe
C:\WINNT\Explorer.EXE
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\sistray.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\VLC\VLCPortable\App\vlc\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe
C:\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.178.3.44:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Tango - {434D68A9-C928-44B8-860D-25976730C30A} - C:\WINNT\system32\7a78.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O3 - Toolbar: Tango - {434D68A8-C928-44B8-860D-25976730C30A} - C:\WINNT\system32\7a78.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [lkfnnc] RUNDLL32.EXE C:\WINNT\system32\msnpwbcf.dll,w
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [GabPath] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GabPath\GabPath.exe
O4 - HKCU\..\Run: [SfKg6wIPuSp] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\jnipmo.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINNT\system32\sistray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4270250-056B-433F-8979-943A6B444E09}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ResultDns Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns112.exe
O23 - Service: VMware Converter Service (ufad-p2v) - VMware, Inc. - C:\Programme\VMware\VMware Converter\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe
O23 - Service: soft Xpansion Print2Document (WPEServ) - soft Xpansion - C:\Programme\Gemeinsame Dateien\WPE\wpeserv.exe

--
End of file - 5787 bytes
--- --- ---
zu 2:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4573

Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000

09.09.2010 18:41:26
mbam-log-2010-09-09 (18-41-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104277
Laufzeit: 7 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\10DPP6O2VE (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\GabPath (Adware.Adparatus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\IEBarProperties (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\GabPath (Adware.GabPath) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ZE18MW23GY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RESULTDNS_SERVICE (Adware.ResultDns) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ResultDns Service (Adware.ResultDns) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gabpath (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipusp (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\Components\gpff.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ewcwp.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINNT\system32\iwcwp.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINNT\system32\msnpwbcf.dll (Trojan.GamesThief) -> Quarantined and deleted successfully.
C:\WINNT\system32\sshnas21x.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\WINNT\system32\updata.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINNT\system32\vwcwp.exe (Trojan.Adware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mkcxhunr.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrmocwsxea.tmp (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsxrewacmo.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\oencwrxsam.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\onewxacrms.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wtpvaae.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsi40.tmp\resultdns.dll (Adware.Agent.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsi40.tmp\resultdns.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\Temp\setupthlp.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns112.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns\resultdns.dll (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns\resultdns.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINNT\system32\comsats.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\service.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINNT\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


zu 3:Combofix Logfile:
Code:
ComboFix 10-09-09.04 - Administrator 10.09.2010  19:35:05.1.1 - x86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.49.1031.18.477.288 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Recent\1007706030_38120_gal_b.jpg.url
c:\dokumente und einstellungen\Administrator\Recent\1007706030_47698_gal_b.jpg.url
c:\dokumente und einstellungen\Administrator\Recent\1201271925.H864687P11027.inmar.idns8.pif
c:\dokumente und einstellungen\Administrator\Recent\1201305836.H102107P9243.inmar.idns8.pif
c:\dokumente und einstellungen\Administrator\Recent\SYS.pif
c:\winnt\Debug\dcpromo.log
c:\winnt\system32\drivers\70538308.sys
c:\winnt\system32\Install.txt
c:\winnt\Web\default.htt

.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Legacy_70538308
-------\Service_70538308


(((((((((((((((((((((((  Dateien erstellt von 2010-08-10 bis 2010-09-10  ))))))))))))))))))))))))))))))
.

2010-09-10 17:42 . 2010-09-10 17:42    16384    ----atw-    c:\winnt\system32\Perflib_Perfdata_284.dat
2010-09-09 15:06 . 2010-09-09 15:06    16384    ----atw-    c:\winnt\system32\Perflib_Perfdata_408.dat
2010-09-08 19:04 . 2010-09-08 19:04    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-08 19:04 . 2010-09-08 19:04    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-09-08 18:33 . 2010-09-08 18:33    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-08 18:32 . 2010-04-29 10:19    38224    ----a-w-    c:\winnt\system32\drivers\mbamswissarmy.sys
2010-09-08 18:32 . 2010-09-08 18:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-08 18:32 . 2010-04-29 10:19    19288    ----a-w-    c:\winnt\system32\drivers\mbam.sys
2010-09-08 18:32 . 2010-09-08 18:50    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-08 15:11 . 2010-09-08 15:11    --------    d-----w-    C:\scans
2010-09-04 07:15 . 2010-09-04 08:03    --------    d-----w-    C:\montessori_abschluss
2010-08-26 16:46 . 2010-08-26 16:46    --------    d-----w-    c:\winnt\system32\Windows Media
2010-08-26 16:45 . 2010-08-26 16:45    --------    dc-h--w-    c:\winnt\$NtUpdateRollupPackUninstall$
2010-08-26 16:45 . 2010-08-26 16:45    --------    d-----w-    c:\winnt\msiinst.tmp
2010-08-15 15:13 . 2010-08-15 15:23    --------    d-----w-    C:\athen_2010

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 17:42 . 2007-10-09 20:16    --------    d-----w-    c:\dokumente und einstellungen\Default User\Anwendungsdaten\VMware
2010-09-10 17:42 . 2007-10-09 20:15    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2010-09-10 13:44 . 2009-08-07 18:24    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2010-09-09 16:01 . 2008-03-18 20:02    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2010-09-09 15:08 . 2007-12-29 13:15    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2010-09-08 13:51 . 2009-07-11 20:17    1    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-06 19:35 . 2008-07-09 18:12    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-26 13:02 . 2009-02-09 21:23    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-08-26 13:02 . 2009-02-09 21:23    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird
2010-08-24 19:42 . 2009-02-06 21:16    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2010-08-17 19:17 . 2007-09-18 19:31    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-06-03 17:07 . 2009-06-03 17:01    12519424    ----a-w-    c:\programme\gs864w32.exe
2007-11-28 14:38 . 2007-11-28 14:36    8628    ---ha-w-    c:\programme\GMouse.GID
2007-11-28 14:34 . 2007-11-28 14:34    1677    ----a-w-    c:\programme\DeIsL1.isu
2007-09-18 19:09 . 2007-09-18 19:10    10277808    ----a-w-    c:\programme\VLC_Portable_0.8.6c.paf.exe
2007-09-18 15:51 . 2007-09-18 15:51    22080    ---h--w-    c:\programme\folder.htt
1997-01-04 11:23 . 2007-11-28 14:34    246272    ----a-w-    c:\programme\Gmouse.exe
1997-01-04 11:20 . 2007-11-28 14:34    6909    ----a-w-    c:\programme\GMOUSE.HLP
1996-02-07 07:07 . 2007-11-28 14:34    24576    ----a-w-    c:\programme\_ISREG32.DLL
.

------- Sigcheck -------

[-] 2002-11-26 17:03 . 36678803A8030EE9A771935CFC1848BD . 52224 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll

[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"SiSPower"="SiSPower.dll" [2007-04-13 53248]
"PWRISOVM.EXE"="c:\programme\PowerISO\PWRISOVM.EXE" [2007-08-07 200704]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"VMware hqtray"="c:\programme\VMware\VMware Player\hqtray.exe" [2008-05-15 55856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Utility Tray.lnk - c:\winnt\system32\sistray.exe [2007-9-18 262144]

R0 SISAGP2K;SiS AGP win2K Filter;c:\winnt\system32\drivers\SISAGP2K.SYS [18.09.2007 18:01 24832]
R0 stcp2v30;stcp2v30 Driver;c:\winnt\system32\drivers\stcp2v30.sys [19.04.2007 17:40 58256]
R2 ufad-p2v;VMware Converter Service;c:\programme\VMware\VMware Converter\vmware-ufad.exe -d "c:\programme\VMware\VMware Converter\\" -s ufad-p2v.xml --> c:\programme\VMware\VMware Converter\vmware-ufad.exe -d c:\programme\VMware\VMware Converter\\ [?]
R2 vstor2-p2v30;Vstor2 P2V30 Virtual Storage Driver;c:\programme\VMware\VMware Converter\vstor2-p2v30.sys [19.04.2007 17:38 19504]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 14:00 24784]
R3 SISNIC2K;SiS PCI Fast Ethernet Adapter Driver for NDIS5;c:\winnt\system32\drivers\sisnic2k.sys [18.09.2007 18:07 32768]
R3 usbhub20;USB 2.0-Root-Hub-Support;c:\winnt\system32\drivers\usbhub20.sys [18.09.2007 18:53 49776]
S2 SSPORT;SSPORT;\??\c:\winnt\system32\Drivers\SSPORT.sys --> c:\winnt\system32\Drivers\SSPORT.sys [?]
S3 GNCT511;Genius VideoCAM NB;c:\winnt\system32\drivers\gnct511.sys [19.03.2008 18:56 229376]
S3 PAC207;Trust WB-1200p Mini Webcam;c:\winnt\system32\drivers\pfc027.sys [24.02.2005 12:29 162176]
S3 VcomPort1;%VcomPort1.SVCDESC%;c:\winnt\system32\DRIVERS\vcomric1.sys --> c:\winnt\system32\DRIVERS\vcomric1.sys [?]
S3 WPEServ;soft Xpansion Print2Document;c:\programme\Gemeinsame Dateien\wpe\wpeserv.exe [12.03.2008 22:37 323584]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
TCP: {F4270250-056B-433F-8979-943A6B444E09} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\md88l3ew.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.contratom.de/
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\programme\Picasa2\npPicasa2.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{434D68A8-C928-44B8-860D-25976730C30A} - c:\winnt\system32\7a78.dll
AddRemove-Metin2_is1 - c:\programme\Metin2\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-10 19:43
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x84A1778A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf2022ac3
\Driver\ACPI -> ACPI.sys @ 0xbffde554
\Driver\atapi -> ntoskrnl.exe @ 0x804a5a6d
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x804c05a8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x804c05a8
copy of MBR has been found in sector 5 !

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(228)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(268)
c:\winnt\system32\mpr.dll

- - - - - - - > 'explorer.exe'(1136)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\system32\stisvc.exe
c:\programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
c:\winnt\system32\vmnat.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\vmnetdhcp.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\programme\VMware\VMware Converter\vmware-ufad.exe
c:\winnt\system32\internat.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-10  19:49:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-10 17:49

Vor Suchlauf: 8.040.022.016 Bytes frei
Nach Suchlauf: 8.045.932.544 Bytes frei

- - End Of File - - 0922E39525D62CCFE189CA74FE287BD2
--- --- ---
Vielleicht WICHTIG: Während des ComboFix Durchlaufes kam folgende Meldung:

"The Master Boot Record is infected"
und
"ComboFix hat die Anwesenheit von Rootkitaktivitäten festgestellt...PC neu starten"

Zusammenfassend: Mein lieber PC scheint jetzt Malware-frei zu sein, auch netstat -a auf der Konsole zeigt keine ungwöhnlichen internet-aktivitäten an, aber die SERVICES.EXE legt leiterhin den ganzen Rechner lahm (Zur Info: Verhältniss CPU-Zeit: Leerlaufprozess / SERVICES.EXE: 60Min / 20 Min!)

Ok, da ich nix unüberlegtes unternehmen möchte und mit meinem Latein am ende bin, warte ich hier mal geduldig ab.

Danke schon mal für`s durchlesen und gedanken machen bzgl. dieses posts... schönes WoEnde allen!

P.A.

cosinus 11.09.2010 15:18
Hallo und :hallo:

Zitat:
2. Malwarbytes`Anti Malware ausgeführt (mehrmals)
Poste dann bitte auch alle Logs von malwarebytes!

PirateAndy 11.09.2010 16:33
Hallo,

danke für die Antwort!

Zitat:
Zitat von cosinus (Beitrag 566862)
Poste dann bitte auch alle Logs von malwarebytes!
Habe dann am selben Tag gleich nochmal einen Scan gemacht, da ich ausversehen ein "Häckchen" in der Liste deaktiviert hatte. Diesen "rootkit agent" hat mbam nach reboot wohl auch gelöscht. Hier der Log also vom zweiten Durchgang:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4573

Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000

09.09.2010 18:57:48
mbam-log-2010-09-09 (18-57-48).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104579
Laufzeit: 9 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\system32\drivers\70538308.sys (Rootkit.Agent) -> Delete on reboot.


Den 3. Durchgang habe ich dann gestern gefahren, und siehe da das Ding war wieder da:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4573

Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000

10.09.2010 16:18:18
mbam-log-2010-09-10 (16-18-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104416
Laufzeit: 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\system32\drivers\70538308.sys (Rootkit.Agent) -> Delete on reboot.


Ein vierter Scan etwa 3 Stunden später sah ganz gut aus:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4590

Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000

10.09.2010 19:10:07
mbam-log-2010-09-10 (19-10-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104623
Laufzeit: 9 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich habe heute keinen weiteren Scan durchgeführt.

Soweit der Stand der Dinge!
Pirate Andy

cosinus 12.09.2010 20:19
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:13 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130