|
Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Hallo zusammen, auch mich hat google hierher geführt und ich hoffe auf Hilfe. Seit ca. 2 Wochen (war eine Woche im Urlaub, jetzt geht's weiter) geht im Abstand weniger Minuten für 1-2 Sekunden das Fenster "Internet Explorer ist nicht ihr Standardbrowser" auf. Betriebssystem XP, SP2, Firefox als Standardbrowser, beim ie die Überprüfung auf Standardbrowser abgeschaltet. An dem Tag, an dem dies zum ersten Mal geschehen ist, habe ich 1. einen neuen Monitor angeschlossen 2. Den Grafiktreiber von NVidia aktualisiert 3. ein Java Update durchgeführt (mittleweile bereits rückgängig gemacht, kein Erfolg.) 4. gesurft und gespielt, aber nicht online ;-) Mein Verdacht geht Richtung Trojaner, habe jedoch Antivir zunächst erfolglos rüberlaufen lassen, der am 4.10. dann jedoch TR/obfuscated.GX.2051 gemeldet hat. Betroffene Dateien sind gelöscht, trotzdem immer noch das nervige Fenster. Spybot, Adaware, Malwarebytes und CCleaner liefern alle ein sauberes System, mittlerweile bin ich komplett ratlos. Da ich wenig Lust habe, das System neu aufzusetzen, ohne zumindest zu wissen, wo es hakt hoffe ich hier auf Hilfe. :dankeschoen: Hier mein aktuelles Hijack-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:56:32, on 06.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Tools\adaware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\tools\AntiVir PersonalEdition Classic\sched.exe C:\tools\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF_XP\fpassist.exe C:\tools\AntiVir PersonalEdition Classic\avgnt.exe D:\tools\DAEMON Tools\daemon.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Tools\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ScanWizard 5\ScannerFinder.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\SpeedFan\speedfan.exe C:\WINDOWS\System32\svchost.exe D:\Tools\highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Tools\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SPYBOT~1\SDHelper.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7378 bytes Bin für jeden Tipp dankbar! LG Steffi |
Hallo und :hallo: Da Du Malwarebefall hast (hattest?), acker diese Punkte für weitere Analysen ab - Du glückliche bist im Besitz einer Backup-Image-Software, deswegen solltest Du für den Fall der Fälle vorher ein Image erstellen falls was mit nem Tool schiefgeht. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! |
Hallo und zunächst vielen, lieben Dank für die bisherige Hilfe :-) Ich behaupte mal, dass wir dadurch den Übeltäter gefunden haben (nur noch nicht entfernt). Aber jetzt zu den Log-Files (diesmal richtig im Code-Format, sorry fürs letzte Mal :heilig:). Dort wo als User "xxx" steht, habe ich lediglich meinen Real-bzw. den PC Namen überschrieben ... MBR-Tool: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: Malware brachte nix Neues: Code: Malwarebytes' Anti-Malware 1.28File-Upload.net - Startup-Programs-PC-Name-2008-10-08-11.21.07.txt Hier jetzt Combo: Code: Bei der mofizierten Hijack-Datei gab's ein Problem: File-Upload.net - Fehler-neuer-Hijack.jpg Hier jetzt das passende Log Code: Logfile of Trend Micro HijackThis v2.0.2Nach dem Lauf fragte mich Firefox, ob er nicht wieder als Standardbrowser eingerichtet werden soll ... habe das bejaht. Was noch unrund ist: Irgendwas läuft mit Windows Security unrund. Die ausgeschaltete FW meldet sich plötzlich zu Wort, gleiches gilt fürs Update. Letzteres habe ich manuell wieder ausgeschaltet (Dienste ...). Alle paar Minuten geht die CPU-Auslastung extrem hoch und nach wenigen Sekunden wieder runter. Angeblich wegen explorer.exe. Ich hoffe, du hast eine Idee, wie ich diese d98...exe und Verwandte dll's verschwinden lassen kann. Wenn ich dann noch wüsste, was das ist und wo das herkommt, ist mein glaube an meine HW fast wieder hergestellt ;-). LG Steffi |
Ganz ehrlich, wir können wir an dieser Stelle mit dem Bereinigen aufhören, sowohl Blacklight als auch GMER (unter der Ausführung von Combofix) haben Dir per Rootkit versteckte Objtekt angezeigt - da würde ich nicht mehr bereinigen. Du solltest Dich ans Neuaufsetzen machen. Geh an einen sauberen PC und ändere von da aus sämtliche Im Internet benutzte Kennwörter. Wenn Du Onlinebanking betreibst, solltest Du Dein Konto im Auge behalten und evtl. eine Sperre in Betracht ziehen. Ich würde gern aber noch wissen was sich hinter den versteckten Objekten verbirgt - mehr dazu später heute... |
OK, ich hatte das schon befürchtet. Allerdings würde mich noch interessieren, wo das Mistding herkommt. Ich treibe mich weder auf einschlägigen Seiten herum noch installiere wild irgendwelche Software. Bin da für jeden Tipp dankbar. Schöner Sch... Werde sicherheitshalber Konto im Auge behalten und Passes ändern, obwohl ich (fast) sicher bin, dass das Mistding nicht 'rausgekommen' ist. Danke soweit, LG Steffi |
Zitat:
Aber wie erwähnt, dazu mehr später. Bin gerade "unterwegs" :o |
Ich setz mich mal dazu und guck was passiert. :D Bin ja gar nicht neugierig. :blabla: lg myrtille |
Zitat:
Wenn das System soweiso im *zensiert* ist :killpc:, spiele ich vorher noch ein wenig mit Gmer und Sophos Anti-Rootkit rum, aber nicht ehe ich brav :heilig: auf Root24's Rückmeldung gewartet habe. |
Erwischt... Habe die exe Datei kopiert und als txt abgespeichert. Die Analyse bei Virustotal ergab dies hier: Code: |
Scheint was neues zu sein. Wenn Du magst, sende mir davon eine Kopie an root240@XXXarcorXXX.de (die XXX bitte entfernen, die dienen als Spamschutz) Code: C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sysCombofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code: Collect::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! -- Danach: (auch hier die xxx durch das richtige ersetzen!!) Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
|
Guten Morgen und einen weiteren Dank rüberreich, wundere dich nicht über den Inhalt der Logs. Ich habe gestern beim Reparieren gepennt und einen Vertipper beim Austausch der xxx fabriziert. :koch: Deshalb dann ein zweiter Lauf, diesmal richtig, aber ohne vorige Sicherung der alten Logs (war schon richtig spät ..., trotzdem :heulen:). Anyway, soweit ich sehen kann, war alles erfolgreich. Gmer findet nix mehr, sophos auch nicht, beide hatten vorher die d98er Dateien angemeckert. In der reg habe ich noch manuell nach den Übeltätern gesucht und einige "legacy" Einträge gelöscht, was immer die da auch sollten... Virustotal hat bei der dll keine Rückmeldung gebracht, die sys war auf der HD nicht zu finden. Zur Dll: Beim Neustart meckert die Kiste jetzt, dass die CNHKEY.exe nicht mehr läuft bzw. gestartet werden kann. Diese Anwendung sollte die Hotkeys meiner Tastatur steuern, funzt aber trotz der Fehlermeldung einwandfrei. :taenzer: CPU-Auslastung sieht gut aus und passt zu den lfd. Prozessen. Der ie ist bisher nicht wieder aufgetaucht *aufHolzhämmer* Ein völliges Rätsel bleibt: Dein Combo-Skript hat nicht nur die hidden Dateien sondern auch die kopierte und umbenannte Test_exe.txt gelöscht! Die übrig gebliebenen maile ich dir zu. Combo: Code: ComboFix 08-10-07.06 - xxx 2008-10-08 20:31:53.3 - NTFSx86Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Steffi |
Benutz nochmal den Avenger aber diesmal mit diesem script: Code: drivers to delete: |
Done. Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46zeigte zunächst eine Fehlermeldung an, lief dann aber: Code: Logfile of Trend Micro HijackThis v2.0.2LG Steffi |
Das sieht auch okay aus. Trotzdem um auf der sicheren Seite zu sein, solltest Du das System neu aufsetzen, jetzt scheint es zumindest in einem zustand zu sein, wo man rel. gefahrlos Backups erstellen kann (wie immer aber immer reine Datendateien, keine ausführbaren!). Die Mail hab ich von Dir erhalten :dankeschoen: Ich hab die Datei mal zu Kaspersky geschickt mit ner kleinen Beschreibung, bin mal gespannt als welche Malware die das Teil einstufen. |
Daten sind alle komplett gesichert. Ehrlich gesagt bin ich selbst neugierig, was die nächsten Tage passiert. Aufsetzen *schüttel* kann ich dann immer noch ;-). So aufgeräumt (und schnell) war mein System lange nicht. :crazy: Ich habe die Bank-Logs überprüft: Keine Versuche sich einzuloggen *aufatme* naja, ohne itans wird man da eh nix. Ich denke, das Mistviech kam nicht an meiner FW vorbei. Auf Kaspersky-Antwort bin ich gespannt... Danke :daumenhoc LG Steffi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board