Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit in Browser?! (https://www.trojaner-board.de/40712-rootkit-browser.html)

MzzM 08.07.2007 09:14
Rootkit in Browser?!
 
Seit gestern abend kommt immer im 30 Sekunden Takt die Anzeige IExplorer oder Mozilla Firefox (je nach dem, wer als Standardbrowser eingerichtet ist) musste beendet werden...
Wenn ich das Fenster schließe, öffnet es sich wenige Sekunden später wieder, auch wenn der Browser nicht aktiv ist.
Ich habe dann nach Programmen gesucht um dieses Rootkit (laut Kaspersky) zu entfernen.
Rootkit Revealer, Sophos Anti-Rootkit und Rootkit Hook Analyzer haben nichts gefunden.
F-Secure BlackLight hat gemeldet dass Firefox infiziert ist.
Kaspersky meldet auch ständig, dass FIREFOX.exe geändert wurde.

Wie werde ich diesen nervigen Schädling los???:eek:
Kennt sich jemand mit diesem Thema aus?

myrtille 08.07.2007 09:55
So direkt kenn ich mich mit dem Thema nicht aus, aber es wäre schön wenn du uns ein HJT-Logfile geben könntest: Anleitung hier

und uns sagen könntest welches Rootkit Kaspersky wo gefunden haben will.

lg myrtille

felix1 08.07.2007 10:03
Versuche Firefox einschließlich Profilordner zu deinstallieren. Vielleicht ist das Problem dann verschwunden.

Deinstallation - FirefoxWiki

Auf jeden Fall ein HJT-logfile posten, wie myrtille vorgeschlagen hat.

Gruss :party:

MzzM 08.07.2007 11:24
Also HijackThis Log steht nichts verdächtiges drin... habe gestern und vorher einen Scan gemacht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:01, on 08.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\MOZILL~1\FEUERF~1.EXE
C:\WINDOWS\system32\dwwin.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Geli\LOKALE~1\Temp\Rar$EX00.047\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Programme\GhostSurf 2007 Platinum\SCActiveBlock.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostSurf Reminder] "C:\Programme\GhostSurf 2007 Platinum\Privacy Control Center.exe" reminder
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: interceptor.dll,c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: VMFC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Geli\LOKALE~1\Temp\VMFC.exe

--
End of file - 7789 bytes

Also Firefox deinstallieren hat nichts gebracht, der sich der Schädling ja auch am Internet Explorer festgefressen hat.

Sunny 08.07.2007 12:41
Hallo. :)

Könnte es vielleicht daran liegen das du gestern ein neues Update für Firefox bzw. IE geladen hast, und Kaspersky dadurch diese Meldung bringt?

Versuch auf jeden Fall mal alles zu aktualisieren. ;)

Sunny

MzzM 08.07.2007 13:11
Auf keeeeeeeiiiinen Fall.
Hab die doppelte Datei services.exe im System32 Ordner.
Löschen bringt nichts, die Datei is nach 2 sekunden wieder auf dem rechner.
Drucken kann ich nun auch nimmer.
Einige Programme laufen überhaupt nicht mehr.
Kaspersky nennt den Prozess "Rootkit hidden object".
Der hat sich nun schon in alle Browser integriert.
Das liegt definitiv nich an dem gestrigen FireFox update (Es sei den es war verseucht:) )

Franz1968 08.07.2007 16:00
Zitat:
Hab die doppelte Datei services.exe im System32 Ordner.
c:\windows\system32\services.exe ist eine Systemdatei, die natürlich gegen einen Schädling ausgetauscht worden sein kann, die aber nicht doppelt in demselben Ordner vorhanden sein kann. Du meinst wahrscheinlich, dass sie zweimal im Task-Manager zu sehen ist, was aber an sich nichts Ungewöhnliches ist, da sie unterschiedliche Dienste repräsentieren kann, an deren Stelle sie im Task-Manager gelistet wird.
Daher meine Fragen:
- Poste bitte die genauen Infektionsmeldungen inkl. Pfadangaben
- Poste bitte das Blacklight-Logfile
- Was ist das?
Zitat:
C:\PROGRA~1\MOZILL~1\FEUERF~1.EXE
Heißt dein Firefox etwa feuerfox.exe? :confused:

Eine Antwort auf myrtilles Frage steht noch aus:
Zitat:
und uns sagen könntest welches Rootkit Kaspersky wo gefunden haben will.
("Wo" heißt soviel wie "genaue Pfadangabe". ;) )

Zitat:
Das liegt definitiv nich an dem gestrigen FireFox update (Es sei den es war verseucht)
Das wäre ja möglich. Woher hast du es denn?

Versuche doch, die services.exe bei Virustotal prüfen zu lassen:
zu Virustotal gehen -> diesen Pfad in das Eingabefeld oben rechts kopieren
Code:
c:\windows\system32\services.exe
und das komplette Ergebnis posten.

MzzM 08.07.2007 22:33
Also Kaspersky nennt den Schädling "Rootkit hidden object".Nicht mehr, nicht weniger.
Als Pfad wird immer die EXE Datei des jeweiligen Browsers gemeldet (Live Scan).
Ich glaube dass sinnvollste wird es ein, den Rechner zu formatieren, es werden immer mehr Fehlermeldungen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129