Trojaner-Board - Irgendwas blockt Anti-Spyware-Seiten und kompromittiert Combofix

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Irgendwas blockt Anti-Spyware-Seiten und kompromittiert Combofix (https://www.trojaner-board.de/78790-irgendwas-blockt-anti-spyware-seiten-kompromittiert-combofix.html)

Irgendwas blockt Anti-Spyware-Seiten und kompromittiert Combofix

Hallo allerseits,

vielleicht kann mir hier jemand helfen. Bei dem befallenen System handelt es sich um ein Samsung Netbook mit XP Home, bei dem man leider immer mit Administrator-Rechten arbeiten arbeiten muß, weil sonst die ganzen spezifischen Treiber von Samsung nicht richtig funktionieren. Ansonsten habe ich irgendwann mal die XP-Firewall ausgeschaltet und vergessen wieder zu aktivieren - aber das hätte sonst wahrscheinlich auch nix gebracht. Kein Virenscanner an Bord, da wird mir die Kiste zu langsam. Verbindung über W-Lan-Router zum WWW, gesurft wird mit FF. Die Kommunikation hier mache ich über einen anderen Rechner, Austausch mit dem befallenen Rechner über USB-Stick.

Ein spürbares Problem entstand, nachdem ich vor einiger Zeit nach Bohrequipment - auch auf englisch - gesucht habe und unter drilling kann man scheinbar auch was anderes verstehen, jedenfalls bin ich ein paar mal auf Sex-Seiten gelandet und ich nehme an, daß ich mir da was eingefangen habe (Vermutung). Vor zwei Tagen hatte ich dann Bluescreen - SecurityTools auf der Kiste. Wollte das erstmal per Hand beseitigen, hat nicht geklappt. Dann nach Empfehlungen hier und in anderen Foren CCleaner und dann SDFix, seitdem ist Ruhe.

Mußte in dieser Putzphase aber feststellen, daß ich keine Seiten mehr von Antiviren-Software aufrufen kann. Die Anfrage an den Nameserver, der in der Registry korrekt eingetragen ist (Router) schlägt fehl. Wenn man sich bei anderen Adressen vertippt, kommt eine ganz wichtige T-Online-Navigationshilfe-Seite, bei z.B. virustotal.de nur noch, daß die Seite nicht gefunden werden konnte.

Habe dann mal weitere Putzversuche unternommen, Hosts-Datei zurückgesetzt und wollte dann entsprechend einem ähnlichen Thema hier ComboFix putzen lassen. Wenn ich das versuche - auch bei geändertem Namen, teilt mir Combofix mit, die Datei sei kompromittert und beendet sich.

Denke, ich habe die A***karte gezogen. Das Netbook benutzt jetzt jemand anderes? Ein Neuaufsetzen möchte ich möglichst vermeiden, denn ich befürchte, das klappt nicht so ohne weiteres wegen den vielen spezifischen Treibern von Samsung. Wenn dann was schief geht kann ich das Ding aus dem Fenster werden.

Hier mal das was HJT ausspuckt:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:43:11, on 24.10.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe

C:\Programme\DesktopEarth\DesktopEarth.exe

C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge

O4 - HKLM\..\Run: [SUPBackGround] C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: DesktopEarth AutoStart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6E9511-E3F2-4484-89C2-4E6E7AD5F57C}: NameServer = 192.168.128.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CF9F79-C179-496B-A700-0D16472CB7F8}: NameServer = 192.168.128.1

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)

O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
 

--

End of file - 4505 bytes

Habe das bei hijackthis.de/de durchlaufen lassen - nur grüne Häckchen! Was nun?

Weiß schon, daß das nicht die feine Art ist sich selbst zu antworten, aber hier noch die folgende Info:

Habe mal die explorer.exe zu virustotal hochgeladen. Ergebnis: Virut!

Nach hinweisen in diesem Board habe ich jetzt mal rmvirut von avg heruntergeladen und lasse den Computer scannen. Das dauert wohl einige Stunden. Hab zwar nicht viel Hoffnung aber vielleicht hilft das.

Das kannst du dir im Grunde sparen, bei Virut ist immer neu aufsetzen und Passwortwechsel angesagt.

Ich denke, das das NEtbook eine versteckte Partition besitzt, um den Rechner in den Auslieferungszustand zu versetzen. Das sollte also recht schnell machbar sein

Wird wohl so sein. Dieses rmvirut hat alles für ok befunden und natürlich ist der Virut noch drauf. So ein schXXXX-Programm. Wahrscheinlch lachen die sich bei jedem Download von rmvirut krank bis der Notarzt kommt.

Leider habe ich wegen Arbeitsüberlastung sehr wenig Zeit, aber am liebsten würde ich es zu meinem Hobby, rauszubekommen, wer das Ding verbrochen hat. Das Ding ist sicher zum Geld verdienen gedacht, und da müßte es doch einen Weg geben, das zu recherchieren.

Von dieser versteckten Partition ist mir nix bekannt, mal sehen. Die CD's / DVD's habe ich schon mal rausgesucht. Man braucht halt ein externes Laufwerk, wird schon klappen. Ich werde hier noch berichten, weils andere vielleicht interessieren könnte und dann das Thema hoffentlich auf 'gelöst' setzen.

Danke für Deine Unterstützung!

Samsung bietet auf seinen NC10 - Netbooks eine sog. Recovery Solution an. Dabei wird bei der ersten Inbetriebnahme ein Abbild des Bestands oder irgendwas in der Art auf einer separaten Partition D: gespeichert. Die Daten dort kann man auch mit Admin-Rechten nicht einsehen.

Nachdem es jetzt sowieso egal war, hab ich das Recovery probiert (mit Neuformatierung der C:-Partition) und dann den mitgelieferten McAffee nach Aktualisierung drüberlaufenlassen, auch über die USB-Platte, auf der ich meine Daten gesichert hatte. Das System war clean, auf der USB-Platte hat er noch ein paar verseuchte Dateien gefunden (da hatte ich beim Kopieren noch was übersehen), auch mit virut verseuchte.

Danach die brandneuen Security Essentials von Winzigweich installiert, aktualisiert und damit geprüft. Keine 'Verunreinigungen' mehr gefunden.
Scheinbar reicht die Recovery-Solution also aus. Das geht so in 5-10 min, ganz gut also.

Bis man die Daten überspielt und alle Programme wieder drauf hat, dauert natürlich etwas länger...

Eine letzte eigene Antwort. Habe heute mal die Logs des Routers durchforstet. virut hat bei mir über eine Woche kontaktversuche mit folgenden Servern ausgeführt:

91.212.220.75

Code:

OrgName         RIPE Network Coordination Centre

OrgID        RIPE

Address        P.O. Box 10096

City        Amsterdam

StateProv:

PostalCode        1001EB

Country        NL
 

ReferralServer        whois://whois.ripe.net:43
 

NetRange        91.0.0.0 - 91.255.255.255

CIDR        91.0.0.0/8

NetName        91-RIPE

NetHandle        NET-91-0-0-0-1

Parent:

NetType        Allocated to RIPE NCC

NameServer        NS-PRI.RIPE.NET

NameServer        SEC1.APNIC.NET

NameServer        SEC3.APNIC.NET

NameServer        SUNIC.SUNET.SE

NameServer        TINNIE.ARIN.NET

NameServer        NS2.LACNIC.NET

Comment        These addresses have been further assigned to users in

Comment        the RIPE NCC region. Contact information can be found in

Comment        the RIPE database at http://www.ripe.net/whois

RegDate        2005-06-30

Updated        2009-05-18
 

# ARIN WHOIS database, last updated 2009-10-26 20        00

# Enter ? for additional hints on searching ARIN's WHOIS database.
 

Found a referral to whois.ripe.net        43.
 

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf
 

% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.
 

% Information related to '91.212.220.0 - 91.212.220.255'
 

inetnum        91.212.220.0 - 91.212.220.255

netname        GR-VERTICAL-NET

descr        Group Vertical Ltd

country        RU

org        ORG-GVL2-RIPE

admin-c        VN840-RIPE

tech-c        VN840-RIPE

status        ASSIGNED PI

mnt-by        RIPE-NCC-END-MNT

mnt-by        HOSTER-RIPE-MNT

mnt-lower        RIPE-NCC-END-MNT

mnt-routes        VERTICAL-MNT

mnt-domains        VERTICAL-MNT

source        RIPE # Filtered
 

organisation        ORG-GVL2-RIPE

org-name        Group Vertical Ltd

org-type        OTHER

address        Levashovsky avenue 12, office 227

address        S-Petersburg

address        197110, Russia

e-mail        verticalgroup@safe-mail.net

mnt-ref        HOSTER-RIPE-MNT

mnt-by        VERTICAL-MNT

source        RIPE # Filtered
 

person        Vladislavov Nikolay

address        Russia, S-Petersburg

address        Levashovskiy avenue 12, off 227

e-mail        verticalgroup@safe-mail.net

phone        +79112298991

nic-hdl        VN840-RIPE

mnt-by        VERTICAL-MNT

source        RIPE # Filtered
 

% Information related to '91.212.220.0/24as49365'
 

route        91.212.220.0/24

descr        Group Vertical Ltd

origin        as49365

mnt-by        VERTICAL-MNT

source        RIPE # Filtered

und

218.93.205.30

Code:

inetnum          218.90.0.0 - 218.94.255.255

netname        CHINANET-JS

descr        CHINANET jiangsu province network

descr        China Telecom

descr        A12,Xin-Jie-Kou-Wai Street

descr        Beijing 100088

country        CN

admin-c        CH93-AP

tech-c        CJ186-AP

mnt-by        MAINT-CHINANET

mnt-lower        MAINT-CHINANET-JS

mnt-routes        maint-chinanet-js

changed        hostmaster@ns.chinanet.cn.net 20020209

changed        hostmaster@ns.chinanet.cn.net 20030306

status        ALLOCATED non-PORTABLE

source        APNIC
 

route        218.93.0.0/16

descr        CHINANET jiangsu province network

country        CN

origin        AS23650

mnt-by        MAINT-CHINANET-JS

changed        ip@jsinfo.net 20030414

source        APNIC
 

role        CHINANET JIANGSU

address        260 Zhongyang Road,Nanjing 210037

country        CN

phone        +86-25-86588231.+86-25-86588745

fax-no        +86-25-86588104

e-mail        ip@jsinfo.net

trouble        send anti-spam reports to spam@jsinfo.net

trouble        send abuse reports to abuse@jsinfo.net

trouble        times in GMT+8

admin-c        CH360-AP

tech-c        CS306-AP

tech-c        CN142-AP

nic-hdl        CJ186-AP

remarks        www.jsinfo.net

notify        ip@jsinfo.net

mnt-by        MAINT-CHINANET-JS

changed        dns@jsinfo.net 20090831

changed        ip@jsinfo.net 20090831

changed        hm-changed@apnic.net 20090901

source        APNIC
 

person        Chinanet Hostmaster

nic-hdl        CH93-AP

e-mail        anti-spam@ns.chinanet.cn.net

address        No.31 ,jingrong street,beijing

address        100032

phone        +86-10-58501724

fax-no        +86-10-58501724

country        CN

changed        dingsy@cndata.com 20070416

mnt-by        MAINT-CHINANET

source        APNIC

jeweils auf Port 65520, der ist nach wie vor offen.
Habe beiden mal eine abuse-mail geschrieben, auf die Gefahr hin, daß die sich totlachen.

Die Group Vertical Ltd ist anscheinend Großanbieter auf diesem Gebiet. Siehe Source of badness: Group Vertical Ltd (AS49365) | abuse.ch.
Kann man die Adreßbereiche von solchen Betrügern, die massive Schäden verursachen nicht einfach blockieren?