|
Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon Hallo allerseits, Sophos Antivirus hat nach einem Trojaner-Befall (Troj/Agent-GPY und ein weiterer, dessen Namen ich nicht mehr erinnere, betroffen war die Datei mDNSResponder.exe) auf meiner XP-Pro Maschine die Datei "kdzqj.exe" im Ordner "C:\Windows\System32" entdeckt. Sie kann allerdings nicht gescannt werden, da dies einen Interface-Fehler (0xa0040210) bei Sophos erzeugt. Auch kann ich die Datei im Explorer nicht sehen und andere Programme können sie nicht finden. Scans mit "Rootkit Hook Analyzer" und "Hijackthis" erbrachten keine Hinweise auf die Datei. Es gibt auch keinen aktiven Prozess mit diesem Namen. Es existiert jedoch ein Eintrag in der Registry zu dieser Datei: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "System"="kdzqj.exe" Und wenn ich irgendeine andere Datei (z.B. txt) mit "kdzqj.exe" im Titel erstelle, verschwindet diese ebanfalls! :confused: Kann mir irgend jemand sagen, was da los ist auf meinem PC? Handelt es sich um Malware, und wenn ja, wie bekomme ich sie weg? Mit bestem Dank oelchen |
Hallo, wie groß ist die Datei? Kannst du Sie per Mail schicken? Kannst Sie auch selbst mal bei Virustotal.com hochladen und überprüfen lassen. Dauert ein paar Minuten. |
Dem Namen nach ist das ein DNSchanger. Erstelle einmal ein Combofix Report: http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfügen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird |
@ KleinerMarce: Das war auch meine erste Idee. Aber da ich diese Datei weder sehen noch hochladen kann (habe ich probiert), fällt das wohl erstmal aus. @ raman: Seit dem Befall (heute ca. 14h) ist der PC nicht neu gestartet worden. Und das möchte ich erstmal vermeiden, da Malprogramme ja gerne kleine Ostereier verstecken, die dann beim nächsten Systemstart aktiv werden. Ich habe zwar die Registry von allen verdächtigen Einträgen bereinigt (vgl. Sophos-Removal-Anweisungen), allerdings bin ich mir dafür nicht sicher genug. Kann man es daher irgendwie vermeiden, dass ein Neustart passiert? Und der Name mDNSResponder kommt vom Apple Bonjour-Service: Bonjour Service mDNSResponder - Forum - CHIP Online Allerdings war das bei mir möglicherweise eher ein als solcher getarnter Schädling. Jedenfalls ist das Programm entfernt. |
Sichtbar machen kannst du die über die Ordneroptionen. Dort anklicken, dass du auch versteckte Dateien angezeigt haben möchtest! Aber Vorsicht: Dadurch werden auch Sytemdateien angezeigt, da nichts unbedachtes tun!!! |
Das ist mir bekannt, selbstverständlich werden bei mir zur Zeit versteckte und Systemdateien angezeigt. Nur zur Einordnung: ich war mehrere Jahre beruflich als Admin tätig, die gängigen Tricks und Kniffe sind mir bekannt. Das hier ist allerdings neu. ;) |
Hmmm. Aber wenn Sie in einem Ordner liegt bzw. aktiv ist, muss diese ja auch irgendwo im System zu finden sein. |
Wenn das ein DNS Changer ist, ist er eh schon aktiv. Das solltest du aber auch an O17 Eintraegen in Hijackthis Reporten sehen koennen.Wenn du einen Neustart vermeiden Willst, nutze Catchme und schaue, was es findet. http://files.thespykiller.co.uk/catchme.exe Einfach starten und scan druecken. Auf dem Desktop erstellt es dann die Report Datei. |
Danke für die guten Tips! Hier mal ein hijackthis und ein catchme Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:11:46, on 24.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe c:\windows\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\No-IP\DUC20.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Switch Off\swoff.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE C:\Programme\DAEMON Tools\daemon.exe C:\Programme\WinTV\Ir.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\SpeedFan\speedfan.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\eMule\emule.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [QOELOADER] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe" O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Startup: Verknüpfung mit ole_login.lnk = I:\Persoenliche Daten\ole_login.bat O4 - Startup: Verknüpfung mit Todo.lnk = I:\Aktuell\Todo.txt O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://192.168.1.1 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170887453779 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de O17 - HKLM\Software\..\Telephony: DomainName = psychologie.uni-kiel.de O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD92011-C901-4488-8AA7-DAF90E88D872}: NameServer = 85.255.116.21,85.255.112.230 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B19CCF1-CE3A-4266-95B5-79A0ACDD5FDB}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = psychologie.uni-kiel.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: hpdj3500 - Unknown owner - C:\DOKUME~1\Ole\LOKALE~1\Temp\hpdj3500.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Switch Off - YaSoft - C:\Programme\Switch Off\swoff.exe -- End of file - 9659 bytes catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-24 19:22:21 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:58ffbc19 "s2"=dword:9962ade5 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,.. "khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:e5,dc,24,cb,1b,37,b9,b7,d9,59,1f,fe,df,a4,de,4c,f5,f0,85,34,58,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42] "khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43] "khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:97,41,8a,76,fb,eb,26,e8,07,54,21,8d,74,2e,cb,a0,af,77,5e,89,15,.. "p0"="C:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,67,03,9b,4b,7c,ca,23,ca,7b,14,81,ba,b9,d7,e2,38,79,.. "khjeh"=hex:0d,0d,df,19,6c,56,af,16,47,f9,d8,cc,5d,d8,f6,4c,7a,93,cc,b3,07,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:37,af,1a,0b,9d,7e,ae,d5,53,b1,89,c6,1d,7c,b4,0a,b5,4c,9a,b8,c1,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:1d,94,5f,ab,83,d8,d2,e5,79,5f,5e,3e,3f,83,2d,d9,68,c2,a2,ce,41,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42] "khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43] "khjeh"=hex:1b,0d,35,f5,e2,d9,a3,d6,b4,26,bc,6a,39,89,fa,74,a7,b0,60,5a,03,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 scanning hidden files ... C:\WINDOWS\system32\kdzqj.exe 63460 bytes executable scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 2 Die DNS-Einträge im hijackthis-Log sind in der Tat merkwürdig, war mir gar nicht aufgefallen. Allerdings bin ich über meinen Router mit dem Netz verbunden und erhalte diesen als DNS-Server per DHCP. Und catchme findet sogar zwei versteckte Dateien: "C:\Windows\system32\kdzqj.exe" "Re_ Diss.:Zone.Identifier" in den temporären IE-Files Mit catchme konnte ich die Dateien Zippen und könnte sie nun ggf. auch verschicken oder hochladen. |
Dein Log hat schon einige Einträe, die nicht okey sind, aber jetzt nicht so, dass man aufschreien müsste. |
Wenn du dir die Muehe des Reihnigen machen willst, aber ich wuerde sauberes Backup zurueckspielen... Fixwareout waere hier eine Moeglichkeit. Du kannst die Datei C:\WINDOWS\system32\kdzqj.exe aber auch loeschen, indem du bei catchme bei Script folgendes hineinkopierst: files to delete: C:\WINDOWS\system32\kdzqj.exe Dann Run und Restart und die Datei ist weg, bzw in die catchme.zip auf deinem Desktop gepackt. Du kannst sie ja bei Virustotal.com pruefen lassen. Das Ergebniss wuerde mich interessieren. Aber der Rest der von der Malware verursachten Aenderungen musst du auch noch rueckgaengig machen... Re_ Diss.:Zone.Identifier wird nur wegen ADS gemeldet. Das ist zu vernachlaessigen, bzw gewollt... |
Habe die Datei zur Verfügung. Enthält Schadroutine und lädt weiteren Code aus dem Internet nach. AV-Scanner deklarieren Sie als Trojan.Win32.DNSChanger.ih |
Ok, mein System scheint wieder sauber zu sein. Habe mit der BartPE gebootet und konnte von dort die "kdzqj.exe" löschen. Allerdings ließ sich "Re_ Diss.:Zone.Identifier" auch so nicht löschen. Raman, du schriebst, das Programm ist harmlos bzw. seine Anwesenheit sogar erwünscht? Was ist denn das für ein Ding? Oder habe ich dich missverstanden? Was mir noch zu denken gibt, ist der Registry-Eintrag für die "kdzqj.exe". Weiß jemand wofür der Eintrag "System" unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon zuständig ist? Google war da nicht so erfolgreich. Ich habe den nun erstmal leer gelassen. Und schließlich sind da noch die DNS-Einträge im hijackthis-Log, die bisher nicht verschwunden sind. Ist das irgendwie kritisch? Da lernt man ja noch mal richtig was, herzlichen Dank Jungs! :daumenhoc |
@ KleinerMarce: Ist die Datei bei dir eigentlich auch versteckt, oder ist das nur in meinem System der Fall? |
Also bei mir ist so eingestellt, dass es ausnahmslos alles anzeigt. Nur habe ich hier Windows 98 laufen :lach: und die Datei gibt es nicht. Ansonsten: Winlogon ist ein Anmeldedienst von Windows. Also so harmlos wie Windows selbst ^^ Re_ Diss.:Zone.Identifier gehört tatsächlich zum ADS Alternate Data Streams – Wikipedia |
Zitat:
|
Manchmal ist man auch wie vernagelt :lach: |
Zitat:
Danke und einen schönen Abend noch! :party: oelchen |
Also ich glaube ja nicht, dass dein Rechner wieder sauber ist. Du warst über die Ukraine umgeleitet und hattest zwei Hidden Files Zitat:
Ob du deinen Rechner neu startest oder nicht ist jetzt egal. |
Davon war ja glaub ich auch keine Rede :rolleyes: Für mich wäre so eine Sache klar. Versuchen, Ursache zu finden, anschließend System komplett neu aufsetzen. |
@ blow-in: Danke für deine Besorgnis! Das eine hidden file (DNS-Changer) ist weg und das andere gehört zum Microsoft ADS. Daher bin ich mir ziemlich sicher, das der PC sauber ist. Ich habe noch einmal mit HJT, Catchme und Sophos gescannt und nichts mehr entdeckt. In der Registry habe ich mal alle verdächtigen DNS-Einträge durch "0.0.0.0" ersetzt und das DHCP aktiviert. Allerdings waren das wie gesagt Einträge zu Adaptern, die längst nicht mehr genutzt werden. |
Zitat:
@oelchen, bitte führe folgenden Programme auf deinem System aus: DNS-Einträge entfernen: Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden Fixe nun mit HijackThis folgende Einträge im Logfile: Zitat:
Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) |
Hey sunny, dir auch vielen Dank! Hier dann noch einmal für euch alle zur Sicherheit die Logs: Username "XXX" - 25.03.2008 12:15:11 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "SoundMan"="SOUNDMAN.EXE" "Logitech Utility"="Logi_MwX.Exe" "zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe" "QOELOADER"="\"C:\\Programme\\CA\\CA Internet Security Suite\\CA Anti-Spam\\QSP-5.0.419.0\\QOELoader.exe\"" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AllToTray"="C:\\PROGRA~1\\ALLTOT~1\\ALLTOT~1.EXE" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater] .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ Logfile of HijackThis v1.99.1 Scan saved at 12:21:35, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\No-IP\DUC20.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Switch Off\swoff.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE C:\Programme\DAEMON Tools\daemon.exe C:\Programme\WinTV\Ir.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Ole\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [QOELOADER] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.419.0\QOELoader.exe" O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Startup: Verknüpfung mit ole_login.lnk = I:\Persoenliche Daten\ole_login.bat O4 - Startup: Verknüpfung mit Todo.lnk = I:\Aktuell\Todo.txt O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://192.168.1.1 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170887453779 O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD92011-C901-4488-8AA7-DAF90E88D872}: NameServer = 0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B19CCF1-CE3A-4266-95B5-79A0ACDD5FDB}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 0.0.0.0 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: hpdj3500 - Unknown owner - C:\DOKUME~1\Ole\LOKALE~1\Temp\hpdj3500.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Switch Off - YaSoft - C:\Programme\Switch Off\swoff.exe Und noch einmal ganz explizit: ich habe keine Probleme mit meiner Internetverbindung und die DNS-Server-Einträge in der Registry sind stabil. Solltet ihr dennoch Fragen zu meiner System-Konfiguration haben (weil euch einträge im HJT-Log merkwürdig vorkommen), fragt ruhig. Gruß Ole |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board