Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus, der Antivirenseiten blockiert. (https://www.trojaner-board.de/69512-virus-antivirenseiten-blockiert.html)

GoodFella 03.02.2009 05:38
Virus, der Antivirenseiten blockiert.
 
Hi,
ist das erste Mal, dass ich mit einem Schädling nicht allein fertig werde, deshalb mein Post jetzt hier.

Zuerst ein paar Details:
Windows XP SP3
Sygate Personal Firefall Pro 5.5 build 2170
Erst wurde ein Pc im LAN befallen, dann meiner selbst.

Symptome:
- Jegliche Herstellerseiten von Antivirussoftware und Microsoft sind per DNS nicht auflösbar, d.h. der Virus hat offensichtlich seine eigene Firewall
- pro Sekunde versucht svchost.exe 200 Verbindungen zu zufälligen IPs herzustellen
- Festplatte arbeitet
- PC ist langsam, aber nicht sehr
- selten Beenden sich manche Anwendungen per Fehlermeldung, z.B. Firefox und svchost.exe

Hier ein HJT-Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 05:35:07, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\uTorrent\utorrent.exe
C:\Programme\EditPlus 2\editplus.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Home/Home.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC602D56-2624-4D66-93E5-2F14FB6DC172}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ANONYM~1\LOKALE~1\Temp\DF.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: OQC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ANONYM~1\LOKALE~1\Temp\OQC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)
Da ich, wie oben erwähnt, keine Antivirensoftware herunterladen kann und auch fast alle Hilfestellungen gesperrt werden, da diese ebenfalls auf jenen Seiten sind, kann ich mir nicht mehr selbst helfen, würde mich echt freuen, wenn sich jemand die Mühe machen könnte, uns zu helfen, wir sitzen hier
ganz schön auf dem Trockenen :)

edit: konnte über chip.de Malwarebytes Antimalware runterladen, hier das Log:
Code:
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47664
Laufzeit: 2 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
..beide wurden entfernt, das Problem blieb bestehen.

GoodFella 03.02.2009 09:52
ein Update:
- Sophos Anti-Rootkit brachte kein Ergebnis
- Ich habe mit Rootkit Unhooker alles unhooked was mir sinnvoll erschien
- Exterminate It! brachte 0 Resultate
- habe ein paar Dateien gelöscht, die innerhalb der letzten 24h in mein Windows-Verzeichnis erstellt wurden, Temp / Caches gelöscht
- habe eine Seite gefunden, mit deren Hilfe ich das Blocken der Antivirenseite teilweise umgehen kann: http://youtube-unblock.com/
- habe ausgeschlossen, dass es sich um Fantibag.B handelt
- meine hosts file enthält keine zusätzlichen Einträge
- Windows Firewall ist aus

..alles natürlich ohne Erfolg. Wäre wohl jemand so freundlich, sich dem anzunehmen? :dummguck:

GoodFella 03.02.2009 19:31
update:
AntiVir und AVG haben beide nichts gefunden. Ich brauche glaube ich irgendwas, dass Kernelmode hooks entfernt.

Ich habe mit Rootkit Unhooker alle nicht zuordenbaren Treiber gedumpt, als .txt, das nach .rar umbenannt werden muss, angehängt.

Combofix hängt sich übrigens bei Installation mit einer Fehlermeldung in prep.com auf.

GoodFella 03.02.2009 20:15
Liste der Anhänge anzeigen (Anzahl: 1)
Ich habe gerade versucht, mit Malwarebytes im Abgesicherten Modus zu scannen, hier das log:
Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.01.2009 20:01:03
mbam-log-2009-01-03 (20-01-03).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46569
Laufzeit: 11 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
Offensichtlich wurde etwas seit dem letzten Scan hinzugekommenes gefunden, was auch entfernt wurde, ich denke, der eigentlich Schädlich hat einen zweiten heruntergeladen und gespeichert.

Mit RkUnhooker kann ich eine bestimmte jedesmal per Zufallsgenerator erstellte .sys datei aus diversen Systemfunktionen aushooken, kommt jedoch nach Neustart wieder (s.Anhang)

Ich weiss echt nicht mehr weiter, weiss einer von euch Rat?

john.doe 03.02.2009 20:20
Hallo und :hallo:

Durch deine Aktionen machst du es uns nicht wirklich leichter. Stoppe jede eigene Aktion.

GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

GoodFella 03.02.2009 20:40
Sir yes Sir,
tue wie mir befohlen :D

hier das Log (hochgeladen, da zu lang):
File-Upload.net - gmer_log.txt

Diese zwei Einträge waren rot unterlegt:
Code:
Service  C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] qslipmwcn                                                                                                                                                                                                                                                                              <-- ROOTKIT !!!
Service  C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] zogulkwu
Danke für Deine Zeit. ;)

john.doe 03.02.2009 20:48
Oha, nicht gut, gar nicht gut.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\drivers\wpsdrvnt.sys
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann markiere hier eine Zeile, kopiere, wechsel auf Virustotal, klicke in das lange weiße Feld und füge ein.

ciao, andreas

GoodFella 03.02.2009 21:29
Ich würde das schon gerne machen, nur leider kann ich virustotal nicht aufrufen, wie oben schon beschrieben; der Umweg über den Web Proxy funktioniert hier irgendwie nicht.
Alle Dateien anzeigen mach ich immer gleich bei Installation von Windows.

Ich habe die erste Datei jetzt stattdessen angehängt.
Die zweite war zu gross, deswegen über rapidshare:
http://rapidshare.com/files/193514731/wpsdrvnt.sys.html

wpsdrvnt.sys ist aber eine Systemkomponente von Sygate Personal Firewall Pro.

john.doe 03.02.2009 21:35
Systemanalyse by undoreal
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  • Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  • Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  • Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Im Hauptfenster den Start Button drücken.
  • Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Deaktiviere den AVZGuard!
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

ciao, andreas

GoodFella 03.02.2009 22:20
- Systemwiederherstellung ist deaktiviert
- cCleaner ausgeführt
- Wächter laufen nie bei mir, nehme ich sofort mit HJT raus.
- AVZ habe ich von http://www.softpedia.com/progDownloa...ad-113572.html geladen, da deine Seite bei mir nicht aufrufbar ist
- Treiber installiert, neu gestartet, AVZ Guard gestartet, DB updated, gescannt, gespeichert, AVZ Guard deaktiviert
- hier das Resultat: http://rapidshare.com/files/19353414...sinfo.zip.html

john.doe 03.02.2009 22:46
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Drivers to delete:
qslipmwcn
zogulkwu

Files to delete:
C:\WINXP\system32\dgmqdvl.dll
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

GoodFella 03.02.2009 23:35
Dein Avenger Link zeigte auf Gmer, deshalb hab ich Avenger von hier geladen:
http://filepony.de/download-the_avenger/

Hier das Log:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "qslipmwcn" deleted successfully.
Driver "zogulkwu" deleted successfully.
File "C:\WINXP\system32\dgmqdvl.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Erste Tests zeigen: Ich bin clean :D:D:D
- Antivirenseiten /Tech Support /Microsoft kann ich öffnen
- Gmer zeigt keinen Rootkit mehr an
- Mein PC öffnet keine TCP Connections zu wahllosen IPs mehr

Leider sind die vorher von mir erwähnten Hooks in RkUnhooker noch vorhanden, vielleicht bedeuten die aber auch nichts.

Ich habe noch einige Fragen:

1. Wie verhindere ich in Zukunft das auftreten eines solchen Virus? Ich habe nichts angeklickt, alle Sicherheitsupdate und eine gute Firewall. Die meisten unsicheren Dienste sind auch beendet. Der Virus kam übers LAN.

2. Bei meinem Kumpel muss ich dieselben Schritte durchführen wie hier, er hat das ja auch; ich denke aber, die Namen werden andere sein. Wie komme ich vom AVZ Log auf das Avenger Script, ohne hier zu posten?

Und echt .. danke nochmal, du hast mir sehr geholfen!

Gruss,

GF

john.doe 03.02.2009 23:44
Zitat:
Dein Avenger Link zeigte auf Gmer, deshalb hab ich Avenger von hier geladen:
Ich sollte nicht soviel kopieren. :(
Zitat:
Leider sind die vorher von mir erwähnten Hooks in RkUnhooker noch vorhanden, vielleicht bedeuten die aber auch nichts.
Also was du da genau gemacht hast, möchte ich gar nicht wissen.

Zitat:
Ich habe noch einige Fragen:
Fragen kosten nichts. Die Antworten schon. :)

Zitat:
1. Wie verhindere ich in Zukunft das auftreten eines solchen Virus? Ich habe nichts angeklickt, alle Sicherheitsupdate und eine gute Firewall. Die meisten unsicheren Dienste sind auch beendet. Der Virus kam übers LAN.
Welcher? Wie genau? Administrative Freigaben? Kennwortstärke? Patchlevel?

Lade die Datei vor dem Löschen bei www.virustotal.com hoch und poste die komplette Auswertung.

Zitat:
2. Bei meinem Kumpel muss ich dieselben Schritte durchführen wie hier, er hat das ja auch; ich denke aber, die Namen werden andere sein. Wie komme ich vom AVZ Log auf das Avenger Script, ohne hier zu posten?
Die Namen stehen im Gmer-Log.
Zitat:
Und echt .. danke nochmal, du hast mir sehr geholfen!
:) Ich hatte hilfreiche Unterstützung von Myrtille, meiner Heldin.

ciao, andreas

Elena Lauder 24.02.2009 13:50
@john.doe

Hallo, ich habe da mal eine Frage und zwar habe ich mir die Datei avz_sysinfo von "GoodFella" heruntergeladen und mal angeschaut.

Wie kommst du jetzt darauf das er die Treiber und die dll Datei löschen muss?
Ich habe keinen Eintrag mit diesen Namen in den Dateien gefunden?

Code:
Drivers to delete:
qslipmwcn
zogulkwu

Files to delete:
C:\WINXP\system32\dgmqdvl.dll
Das nimmt mich jetzt sehr wunder wie du darauf gekommen bist?
Danke in voraus für die Antwort.

Namaste
Elena


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:37 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129