Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Trojaner/Rootkit? (https://www.trojaner-board.de/45069-unbekannter-trojaner-rootkit.html)

scoutice 25.10.2007 15:31
Unbekannter Trojaner/Rootkit?
 
Hallo Forum!
Ich dürfte mir was ganz böses eingefangen haben, ich hoffe Ihr könnt mir helfen:
Nach einigen Virusscans und entfernten Registry-Einträgen ist nun mein Status:

Nach dem Start wird der Remote-Desktop Porcess (svchost.exe) gestartet. Dabei öffnet sich allerdings nicht nur der 3389 Port, sondern noch 2 andere, die immer unterschiedlich sind (jetzt gerade:
11528 und 30034). In unregelmäßigen Abständen versucht der Rechner, sich auf 69.50.160.21 (irgendeine .mazafaka.biz adresse) auf port 80 zu verbinden, und dort eine php-datei mit den 2 ports als parameter aufzurufen.

folgende virenkiller hab ich ausprobiert:
AVG Rootkit
AVG Antivirus
Avira Free-AV
Kaspersky Online Scanner
TrendMicro

und Free-AV gestartet aus einer UltimateBoot-CD.

Keiner findet was. Ich hoffe hier kann mir irgendwer weiterhelfen, da das blokieren mittels Firewall keine entgültige Lösung sein kann.

PS: Ich entfernte den W32/Virut und net-worm.win32.allaple.a, die sich netterweise als system services geladen und die registry protected haben. das hier scheint entweder der rest zu sein, den ich nicht finde, oder was anderes.

lg

achja: System: Windows XP Service Pack 2 Professional,

Zum Blocken des Trojaners verwende ich derzeit Comodo Fire Pro, damit der Schaden nicht noch größer wird, Die mazafaka.Adresse habe ich mit Wireshark rausgefunden.

lg

Sunny 26.10.2007 19:50
http://www.smiliegenerator.de/s33/smilies-25934.png

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

scoutice 29.10.2007 08:42
werd ich gleich mal machen und alles anschließend hier posten.

lg

scoutice 29.10.2007 08:58
hier das hijackthis-log
Logfile of HijackThis v1.99.1
Scan saved at 08:57:14, on 29.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
d:\antivir\pccsrv\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\svchost.exe
d:\antivir\pccsrv\OfficeScan Client\tmlisten.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
d:\antivir\pccsrv\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\MY9668.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\Programme\Comodo\Firewall\CPF.exe
D:\antivir\pccsrv\OfficeScan Client\pccntmon.exe
D:\Programme\Unlocker\UnlockerAssistant.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Sound Volume Hotkeys\SoundVolumeHotkeys.exe
d:\antivir\pccsrv\OfficeScan Client\pccntupd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
d:\antivir\pccsrv\OfficeScan Client\Pop3Trap.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Programme\Mozilla Firefox\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3B255EC3-312A-416B-AF57-BF01E17C1AF8} - C:\WINDOWS\system32\cnvfa.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {A66969F3-C8AD-4A88-A6C5-4C2811809D02} - C:\Programme\ComPlus Applications\hoseb83122.dll (file missing)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IndicatorUtility] C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\antivir\pccsrv\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SoundVolumeHotkeys.{9547D1C7-4F18-4104-8674-046DCD12BDF9}] D:\Programme\Sound Volume Hotkeys\SoundVolumeHotkeys.exe -a
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.kaspersky.com
O15 - Trusted Zone: http://organisation.liwest.at
O15 - Trusted Zone: http://organisation.liwest.at (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192727968046
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = atliwest.local
O17 - HKLM\Software\..\Telephony: DomainName = atliwest.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = atliwest.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = atliwest.local
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: md5hsh - C:\WINDOWS\SYSTEM32\md5hsh.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: DLFRW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\hofert\LOKALE~1\Temp\DLFRW.exe
O23 - Service: ECCHJM - Sysinternals - www.sysinternals.com - C:\DOKUME~1\hofert\LOKALE~1\Temp\ECCHJM.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Unknown owner - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - d:\antivir\pccsrv\OfficeScan Client\ntrtscan.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe (file missing)
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\antivir\pccsrv\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Unknown owner - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Unknown owner - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Unknown owner - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe (file missing)
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Unknown owner - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\antivir\pccsrv\OfficeScan Client\tmlisten.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - D:\Programme\VMware\VMware Player\vmware-authd.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:41 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28