Trojaner-Board - Datenverkehrslämpchen am Modem leuchtet wie verrückt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Datenverkehrslämpchen am Modem leuchtet wie verrückt (https://www.trojaner-board.de/53408-datenverkehrslaempchen-modem-leuchtet-verrueckt.html)

Ahja, combofix ist mal wieder abgelaufen. Jedenfalls "meine" Version. Klick auf den combofix-Link in meiner Sig und probiere es nochmal mit der version. Wenns wieder nicht geht, gehts eben nicht.

Zitat:

Der angegebene Dienst ist kein installierter Dienst

Entweder nennt der Dienst sich anders oder er ist schon weg. Öffne mal services.msc (die Dienste-Liste) und such nach ihm. Da sollte was mit "Taskplaner" bzw. Schedule stehen. Öffne den. Der Pfad zur Exe-Datei sollte C:\WINDOWS\System32\svchost.exe -k netsvcs lauten, wenn nicht wurde der bei Dir umgebogen.

Zitat:

Ist das gepostete Logfile in Ordnung ?

Silentrunners war soweit i.O. - hast Du dafür gesorft, daß nur noch ein Virenscanner (wenn überhaupt!) läuft?

Zitat:

------ Trojan-PWS.Sinowal
und
------ Trojan-Downloader.Small.GEN

Ohne die Pfadangaben kann man damit nichts anfangen. Krumme Dateien können wir aber vllt so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Probier alternativ Deckard's System Scanner so wie Bata es hier schildert.

Hallo root24

Habe combofix nochmal neu runtergeladen und jetzt hats funktioniert.
Hie die Log-Datei:

Code:

ComboFix 08-06-15.2 - Andreas 2008-06-16  9:49:33.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.697 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\Fonts\acrsec.fon

C:\WINDOWS\Fonts\acrsecB.fon

C:\WINDOWS\Fonts\acrsecI.fon

C:\WINDOWS\system32\sywtdxaz.sys

C:\WINDOWS\winhelp.ini

O:\RECYCLER\Asia   Heat Of The Moment.mp3

O:\RECYCLER\Bonnie Tyler   Holding Out For A Heo.mp3

O:\RECYCLER\Duran Duran   The Wild Boys.mp3

O:\RECYCLER\Foreigner   Juke Box Hero.mp3

O:\RECYCLER\Queen   Another One Bites The Dust.mp3

O:\RECYCLER\Ray Parker JR    Ghostbusters.mp3

O:\RECYCLER\Status Quo - In The Army Now.mp3
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NTMLSVC

-------\Service_NtmlSvc

-------\Service_sywtdxaz
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-16 bis 2008-06-16  ))))))))))))))))))))))))))))))

.
 

2008-06-14 10:04 . 2008-06-14 10:04        <DIR>        d--------        C:\xyzcf

2008-06-08 19:11 . 2008-06-08 19:37        <DIR>        d--------        C:\Programme\Spyware Doctor

2008-06-08 19:11 . 2008-06-08 19:11        <DIR>        d--------        C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\PC Tools

2008-06-08 19:11 . 2007-12-10 13:53        81,288        --a------        C:\WINDOWS\system32\drivers\iksyssec.sys

2008-06-08 19:11 . 2007-12-10 13:53        66,952        --a------        C:\WINDOWS\system32\drivers\iksysflt.sys

2008-06-08 19:11 . 2008-02-01 11:55        42,376        --a------        C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-06-08 19:11 . 2007-12-10 13:53        29,576        --a------        C:\WINDOWS\system32\drivers\kcom.sys

2008-06-06 18:08 . 2008-06-08 12:34        <DIR>        d--------        C:\Programme\a-squared Anti-Malware

2008-06-06 18:01 . 2008-06-16 09:45        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-06-05 13:49 . 2006-10-02 15:01        88,960        -ra------        C:\WINDOWS\system32\drivers\ewusbmdm.sys

2008-06-05 13:48 . 2008-06-05 13:48        <DIR>        d--------        C:\Programme\Vodafone

2008-06-05 13:48 . 2008-06-05 13:48        3,261        --a------        C:\WINDOWS\E220AutoRunLog.tmp

2008-05-29 19:39 . 2008-05-29 19:39        <DIR>        d--------        C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Grisoft

2008-05-29 19:39 . 2008-05-29 19:39        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft

2008-05-29 19:39 . 2007-05-30 14:10        10,872        --a------        C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-05-28 22:08 . 2008-05-28 22:08        <DIR>        dr-------        C:\Dokumente und Einstellungen\NetworkService\Favoriten

2008-05-28 22:04 . 2008-05-28 22:04        <DIR>        d--------        C:\Programme\Sygate

2008-05-28 22:04 . 2004-10-15 18:32        83,096        --a------        C:\WINDOWS\system32\SSSensor.dll

2008-05-28 22:04 . 2004-10-15 18:17        60,496        --a------        C:\WINDOWS\system32\drivers\Teefer.sys

2008-05-28 22:04 . 2004-10-15 18:18        21,075        --a------        C:\WINDOWS\system32\drivers\wpsdrvnt.sys

2008-05-28 22:04 . 2004-10-15 18:32        14,568        --a------        C:\WINDOWS\system32\drivers\wg6n.sys

2008-05-28 22:04 . 2004-10-15 18:32        14,568        --a------        C:\WINDOWS\system32\drivers\wg5n.sys

2008-05-28 22:04 . 2004-10-15 18:32        14,568        --a------        C:\WINDOWS\system32\drivers\wg4n.sys

2008-05-28 22:04 . 2004-10-15 18:32        14,568        --a------        C:\WINDOWS\system32\drivers\wg3n.sys

2008-05-28 21:45 . 2008-05-28 21:45        <DIR>        d--------        C:\Programme\Alwil Software

2008-05-27 22:49 . 2008-05-27 22:49        0        --a------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat

2008-05-26 23:39 . 2008-05-27 08:13        372        --a------        C:\WINDOWS\system32\bzapwu.tmp
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-08 16:37        ---------        d-----w        C:\Programme\Google

2008-06-05 11:48        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-06-04 07:12        ---------        d-----w        C:\Programme\SUPERAntiSpyware

2008-06-03 06:06        ---------        d-----w        C:\Programme\StarMoney 6.0 S-Edition

2008-05-28 09:08        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-04-25 07:01        ---------        d-----w        C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\OpenOffice.org2

2006-05-08 19:15        50        ----a-w        C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\wklnhst.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 10:51 975360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 17:35 7110656]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40 2577632]

"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-06-06 19:34 2131600]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm

"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

"msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\superantispyware]

--a------ 2007-06-21 14:06 1318912 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%ProgramFiles%\\AOL 9.0\\aol.exe"=

"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=

"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\PTC\\ProEWildfire2\\i486_nt\\obj\\pro_comm_msg.exe"=

"C:\\PTC\\ProEWildfire2\\i486_nt\\obj\\xtop.exe"=

"C:\\PTC\\ProEWildfire2\\i486_nt\\nms\\nmsd.exe"=

"C:\\APPS\\skype\\phone\\Skype.exe"=
 

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 12:51]

S2 qandr;qandr;C:\WINDOWS\system32\drivers\qandr.sys []

S3 USBModem000;LGE Mobile USB Modem TC;C:\WINDOWS\system32\DRIVERS\usbser.sys [2004-08-03 23:08]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f0407a1-32f1-11dd-b1d4-0013d3f89b07}]

\shell\autorun\command - F:\VMC_PBStarter.exe
 

.

Inhalt des "geplante Tasks" Ordners

"2008-05-26 08:00:00 C:\WINDOWS\Tasks\Erweiterte Garantie.job"

- C:\APPS\SMP\PBCARNOT.EXE

"2006-03-15 20:14:04 C:\WINDOWS\Tasks\Registrierungserinnerung 1.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2006-03-15 20:14:04 C:\WINDOWS\Tasks\Registrierungserinnerung 2.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2006-02-15 19:10:09 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-16 09:54:32

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vsdatant]

"ImagePath"=""

.

------------------------ Other Running Processes ------------------------

.

C:\Programme\Ahead\InCD\incdsrv.exe

C:\Programme\Sygate\SPF\Smc.exe

C:\WINDOWS\system32\brss01a.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\a-squared Anti-Malware\a2service.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\APPS\HIDSERVICE\HidService.exe

C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wscntfy.exe

C:\hardcopy\hardcopy.exe

C:\Programme\Microsoft Office\Office\OSA.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-16  9:56:29 - machine was rebooted

ComboFix-quarantined-files.txt  2008-06-16 07:56:26
 

              21 Verzeichnis(se), 98,213,670,912 Bytes frei

              26 Verzeichnis(se), 98,099,433,472 Bytes frei
 

155

So, kannst du hier was erkennen ?

Services.msc habe ich geöffnet mit taskplaner oder schedule habe ich nichts gefunden, aber den Eintrag "C:\WINDOWS\System32\svchost.exe -k netsvcs"
er steht genau so drin.

Hier noch genau die Angaben die Spydoktor bei dem "Trojan-Downloader.Small.GEN" geliefert hat:

Autostart-Programm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\Schedule, ImagePath=c:\Windows\system32\drivers\spools.exe

Zu korrigierender Registrierungswert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandartProfile, EnableFirewall

Kann man, soll man hier was machen ?

Das mit dem Script mache ich noch.

Gruß

Leider schlechte Nachtichten!!
So wie es aussieht hast Du nen Backdoor am laufen!

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NTMLSVC
-------\Service_NtmlSvc
-------\Service_sywtdxaz

sywtdxaz deutet auf den backdoor Rustock hin - Du solltest daher am Besten das System neu installieren, absichern und hinterher alle Paßwörter ändern. Bereinigen nicht zu empfehlen, denn auch nach offensichtlicher erfolgreicher Bereinigung sollte man dem System nicht mehr trauen. Den vertrauenswürdigen Zustand stellst Du erst wieder nach formatieren und neuaufsetzen wieder her.

Ja, dann danke ich dir mal für deine Mühe.
Puh, wird ganz schön zeitaufwendig werden.

Bei dem Link "Backdoor Rustock" komme ich nicht ganz mit, mein Englisch ist natürlich auch nicht das beste.
Könnte ich hier noch den "Service_sywtdxaz" löschen ?

Gruß

Zitat:

Zitat von Mister99 (Beitrag 346489)

Könnte ich hier noch den "Service_sywtdxaz" löschen ?

Der Dienst wurde bereits von Combofix gelöscht!
Allerdings ist Deine Maschine wirklich sehr stark infiziert auch noch mit einem MBR Rootkit!
Hier hilft selbst das Neuaufsetzten nicht direkt weiter!
Vor diesem Neuinstallieren solltest Du gmer laufen lassen und das Log hier posten.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link.

Du kannst dir auch die Spyware Doctor Starter Version runterladen, falls du die Software magst.
einfach alle Haken entfernen, außer Spyware Doctor:
Google Pack
damit kannst du auch gefundene Threats entfernen, nur der Guard ist nicht enthalten.
nur so mal am Rande.

Zitat:

Zitat von antivirus88 (Beitrag 346517)

Du kannst dir auch die Spyware Doctor Starter Version runterladen, falls du die Software magst.

Was soll das bringen?

Zitat:

Zitat von BataAlexander (Beitrag 346518)

Was soll das bringen?

nix.
es war hierauf bezogen:

Zitat:

Ich habe mir jetzt wieder den Spydoctor von PC-Tools besorgt und der findet tatsächlich noch was, nur zum beheben muß man das Programm kaufen.
Werd ich wohl oder übel müßen oder ?

da er das programm schon drauf hatte, nehm ich an, er mag es.
war nur ein allgemeiner tip, nicht wirklich relevant zu seinem problem.

Du hast Dir den Thread schon mal ganz durchgelesen? :confused:
Neben der Tatsache, das Spyware Doctor ein False Positiv König (Ok, ich hab 3Scan vergessen ;) ) ist und ansonsten auf dem Rechner nichts zu suchen hat, geht es hier nicht mehr um Kleinkram, sondern um ein Rootkit.
Da hat Spyware Doctor keine Chancen mehr irgendwas zu wollen.

wenn das deine Meinung ist, okay.
meine Meinung ist, dass es mit zu den besten Anti-Spyware Scannern gehört.
aber gut, ich will hier auch nicht rumspammen.
hilf ihm und dann is gut. :aplaus:

Hallo BataAlexander

Danke, daß du dich meinem Problem annimmst.
Du hast recht, als ich heute morgen auf meinem Rechner arbeitete (offline) meldete auf einmal mein AntiVir Programm (Avira), daß er diesen gefunden hat: „TR/Rootkit.Gen“. Ich habe ihn löschen lassen.

Danach habe ich Gmer laufen lassen, hier das Log-File:

Code:

http://www.file-upload.net/download-919512/gmer-Log.log.html

Kannst du was erkennen, bzw. kann ich noch was tun ?

Gruß

Es wäre schön gewesen, wenn Du erst gmer und dann Avira hättest laufen lassen, sei es drum.

Poste bitte das Avira Logfile.

Dann

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

@Bata: Dient die weitergehende Analyse um den Rechner noch einigermaßen "sicher" z.B. für Backupzwecke bedienen zu können? Also ich bin fest davon überzeugt, daß das System neu aufgesetzt werden muß!!

Wegen MBR - erstellt Windows im Setup nach Formatierung in ersten Teilsetup nicht automatisch einen neuen MBR?

Zitat:

Zitat von http://de.wikipedia.org/wiki/Master_Boot_Record

Die Microsoft-Windows-Versionen der NT-Linie (z. B. NT 4, 2000 und XP) überschreiben den Boot-Loader (die ersten 446 Bytes des MBR) bei jeder Neuinstallation zwar auch, berücksichtigen aber noch vorhandene Informationen über ein älteres Microsoft-Betriebssystem, also MS-DOS und andere darauf basierende Windows-Versionen. In diesem Fall wird der NTLDR mit Auswahlmöglichkeit zwischen den verschiedenen installierten Microsoft-Betriebssystemen vorkonfiguriert.

Oder verstehe ich daetwas komplett falsch? :confused:

Zitat:

Zitat von root24 (Beitrag 346609)

Also ich bin fest davon überzeugt, daß das System neu aufgesetzt werden muß!!

Bei einem Rustock denke ich das auch, allerdings wundere ich mich über den Sinowal, der taucht im gmer Log nicht auf. Und der kann eine Windows Neuinstallation überstehen.