Trojaner-Board - Trojaner: drop.delf.MQ

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner: drop.delf.MQ (https://www.trojaner-board.de/21809-trojaner-drop-delf-mq.html)

Trojaner: drop.delf.MQ

Hallo, habe den trojaner drop.delf.MQ.

finde keinerlei Informationen darüber. Meine Fragen sind:

1. Was genau macht das Ding? Und wie macht es das? Auf welche Daten kann man mit diesem Trojaner zugreifen?
2. Gibt es bei der Entfernung etwas, das man unbedingt beachten muss. Die Datei wurde mit AntiVir gelöscht. Seitdem zeigt zumindest AntiVir keine Infektion mehr an.

Danke und Grüsse
Piratenbraut

Hallo, piratenbraut!

Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
Cu, stupormundi

Wo hat Antivir den die entsprechende Malware gefunden(Pfadangabe)?
Poste zusätzlich einen Hijackthis-Log.

Hallo, hier der LoFile.

Logfile of HijackThis v1.99.1
Scan saved at 14:07:44, on 14.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Security\LAN\LookATLAN\LookAtLan.exe
C:\PROGRA~1\WINZIP\winzip32.exe
D:\Programme\Browsers\Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - ***security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - ***security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Grüsse und danke für die Hilfe
Piratenbraut

[edit]
links editiert]
[/edit]

...
den Pfad habe ich leider nicht mehr, da ich dumme Nuss den Report nicht gespeichert habe...

Grüsse
Piratenbraut

Hallo,
ich kann bei dem Log soweit keine Auffälligkeiten erkennen. Jetzt müssten wir natürlich wirklich wissen wo AntiVir die Datei gefunden hat, du kannst doch dein System einfach nochmal scannen dann müsste es dir Antivir doch wieder anzeigen.

Grüße Wildone

Ich kann in Deinem Log-File nicht entdecken!

Lass´mal dieses script http://www.silentrunners.org/Silent%20Runners.vbs
laufen und poste dann das Ergebnis
cu, stupormundi

Hier sind noch mal 2 Einträge von hjt. Sind die i.o.?

O17 - HKLM\System\CCS\Services\Tcpip\..\{9389B7E6-C4FE-48A0-BA94-C7B37982302B}: Domain = xxx.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{9389B7E6-C4FE-48A0-BA94-C7B37982302B}: Domain = xxx.net

Der Scan mit AntiVir läuft gerade...

Hallo, piratenbraut!

Zitat:

Hier sind noch mal 2 Einträge von hjt. Sind die i.o.?

Wo kommen die jetzt her? Waren die nicht im ursprünglichen Log? In Ordnung sind die nicht!
stupormundi

Hier das Ergebnis des anderen Skripts (komplett)

*******************

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"pcwKillMRU" = "D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 29 seconds, including 18 seconds for message boxes)

hallo stupormundi, Ich hatte nicht den Report auf zweimal kopiert und dann nochmal den Zweiten Teil. Dabei ist mir O17 durch die Lappen....

Servus nochmal!

Also silentrunners zeigt auch nichts, was nicht laufen sollte!
Zu den beiden O17 Einträgen: Wenn Dir die Einträge unbekannt sind, fixe sie mit HJT (sprich Check die IP Adressen mit zB http://www.whois.net/ oder http://www.internic.net/whois.html )

Zitat:

Was zu unternehmen ist:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.

Poste anschließend noch einmal ein komplettes HJT-Logfile
cu, stupormundi

Hallo, hatte zwischenzeitlich den Symantec Online Scan gemacht. Der zeigt mir an, dass folgende Datei infiziert ist.
D:\Programme\Security\aport\aports.exe is infected with SecurityRisk.Aports

Den Pfad der Datei, die mit AntiVir gelöscht wurde habe ich nicht mehr. AntiVir zeigt keine Infektion mehr an und findet nichts.

Hier jetzt das hjt-log nachdem ich O17 mit hjt gefixt habe.

*******************

Logfile of HijackThis v1.99.1
Scan saved at 15:21:54, on 14.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Imonc\Imonc.exe
D:\Programme\Browsers\Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Nochmal vielen Dank für Eure Hilfe.

Hier auch noch ein seltsamer Systemprozess, den mir TCPView anzeigt:

[System Process]:0 TCP client-01.meinnnetz.net:1648 dd5628.kasserver.com:http TIME_WAIT

kasserver.com kenne ich nicht, habe es nie besucht...

*********
Die whois Abfrage bringt mir das hier...

[whois.psi-usa.info]
%
% =============
% PSI-USA, Inc.
% =============
%
% This is the PSI-USA, Inc. WHOIS server.
%
% All requests are logged.
%
% Requesting IP: 128.121.95.55
% Requesting URL:
% Requesting Object: domain kasserver.com
% Timestamp: 2005-09-14 15:34:28
%
% You can see the policy that you agree by submitting a query to this server:
% whois -h whois.psi-usa.info POLICY

domain: kasserver.com
status: LOCK
owner-c: LULU-171318
admin-c: LULU-171318
tech-c: LULU-171318
zone-c: LULU-171318
nserver: NS3.KASSERVER.COM
nserver: NS4.KASSERVER.COM
created: 2002-02-18 15:34:24
expire: 2006-02-18 15:34:24 (registry time)
changed: 2005-07-07 16:31:12

[owner-c] handle: 171318
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Werner
[owner-c] lname: Kaltofen
[owner-c] org:
[owner-c] address: Hauptstrasse 68
[owner-c] city: Friedersdorf
[owner-c] pcode: D-02742
[owner-c] country: DE
[owner-c] state: DE
[owner-c] phone: +49-35872-209209
[owner-c] fax: +49-35872-209208
[owner-c] email:
[owner-c] protection: B
[owner-c] updated: 2003-02-21 16:22:20

[admin-c] handle: 171318
[admin-c] type: PERSON
[admin-c] title:
[admin-c] fname: Werner
[admin-c] lname: Kaltofen
[admin-c] org:
[admin-c] address: Hauptstrasse 68
[admin-c] city: Friedersdorf
[admin-c] pcode: D-02742
[admin-c] country: DE
[admin-c] state: DE
[admin-c] phone: +49-35872-209209
[admin-c] fax: +49-35872-209208
[admin-c] email:
[admin-c] protection: B
[admin-c] updated: 2003-02-21 16:22:20

[tech-c] handle: 171318
[tech-c] type: PERSON
[tech-c] title:
[tech-c] fname: Werner
[tech-c] lname: Kaltofen
[tech-c] org:
[tech-c] address: Hauptstrasse 68
[tech-c] city: Friedersdorf
[tech-c] pcode: D-02742
[tech-c] country: DE
[tech-c] state: DE
[tech-c] phone: +49-35872-209209
[tech-c] fax: +49-35872-209208
[tech-c] email:
[tech-c] protection: B
[tech-c] updated: 2003-02-21 16:22:20

[zone-c] handle: 171318
[zone-c] type: PERSON
[zone-c] title:
[zone-c] fname: Werner
[zone-c] lname: Kaltofen
[zone-c] org:
[zone-c] address: Hauptstrasse 68
[zone-c] city: Friedersdorf
[zone-c] pcode: D-02742
[zone-c] country: DE
[zone-c] state: DE
[zone-c] phone: +49-35872-209209
[zone-c] fax: +49-35872-209208
[zone-c] email:
[zone-c] protection: B
[zone-c] updated: 2003-02-21 16:22:20

hallo piratenbraut

editiere bitte deine postings und mache die links in deinen beiträgen unkenntlich
z.b. ***security.symantec.com/sscv6/...bin/AvSniff.cab

danke und schönen tag noch
GUA