Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spyware acpStelth.cih (https://www.trojaner-board.de/8736-spyware-acpstelth-cih.html)

Martin 23.10.2004 15:00
Spyware acpStelth.cih
 
Hallo,
ich habe XP SP1 und einen DSL-Router mit fest integrierter, recht fähiger FW (SPI ect.)

Heute bekam ich beim Surfen plötzlich eine Windows-Meldung über ein ausgeführtes Java-Script und der Spyware acpStelth.cih. Ich wunderte mich noch über die Meldung, weil sie nicht von meiner Hardware-FW oder Virenscanner kam, sondern von Windows (so große Sicherheitsfortschritte von Bill !?). Als erstes habe ich dann den Cache gelöscht. Da ich JavaScript bei meinem Mozilla 1.6 tatsächlich aktiviert hatte und wenig später die Meldung "Neue Programme gefunden" kam, war ich überzeugt, mir tatsächlich irgendeine Spyware eingefangen zu haben.

Allerdings findet weder Spybot, noch der Virenscanner noch das gute Hundchen irgendwas. Die Ereignisanzeige zeigt auch nichts Auffälliges. Registry auch nicht.

Google bringt nur einen einzigen interessanten Treffer aus einem englischen Forum, in dem es heisst, das sei nur ein Java-Script-Popup, das einem bei Klick auf O.K. (was ich nicht tat) im weiteren dann zum Download eines Programmes zur Beseitigung überreden wolle.

Aber wie kommt dann die Meldung über neu installierte Programme zustande?
Ich habe zwar gestern SmartFTP installiert, aber warum sollte diese Sache heute nochmal und ausgerechnet während des Surfens, genau zum Zeitpunkt der Spyware-Meldung erscheinen?

Was meint ihr?

Lidius 23.10.2004 15:27
Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Martin 23.10.2004 15:35
Was ist denn das für ein Programm? Noch schlauer als Spybot?

Lidius 23.10.2004 15:39
Das Programm zeigt welche Prozesse laufen und welche prozesse beim systemstart geladen werden, sowie andere für uns hilfreiche dinge, wie z.B. die Version des Betriebssystems.

Martin 01.11.2004 12:52
Hat ein wenig gedauert...
Ich habe das logfile vor ca. 30 Minuten erstellt.
Offenbar sind das unter "01" Sexseiten, ich war aber schon einige Zeit mehr auf keiner, ehrlich.
Ich habe XP SP1 und alle wichtigen Patches immer regelmäßig installiert. An Störungen habe ich die ganze Woche seit meinem ersten Posting nichts gemerkt. Allerdings ist über meinem Freemailer offenbar eine E-Mail verschickt worden, die ich definitv nicht verschickt habe, im Anhang eine octet-stream.

Logfile of HijackThis v1.98.2
Scan saved at 12:40:39, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\phase5\htmledit.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/oem
O1 - Hosts: 65.77.83.222 madthumbs.com
O1 - Hosts: 65.77.83.222 worldsex.com
O1 - Hosts: 65.77.83.222 teeniefiles.com
O1 - Hosts: 65.77.83.222 sublimedirectory.com
O1 - Hosts: 65.77.83.222 thumbzilla.com
O1 - Hosts: 65.77.83.222 sexocean.com
O1 - Hosts: 65.77.83.222 easypic.com
O1 - Hosts: 65.77.83.222 absolut-series.com
O1 - Hosts: 65.77.83.222 jpeg4free.com
O1 - Hosts: 65.77.83.222 thumbnailpost.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095676347796

cacatoa 01.11.2004 13:56
Hallo, Martin,
folgendes im abgesicherten Modus fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
O1 - Hosts: 65.77.83.222 madthumbs.com
O1 - Hosts: 65.77.83.222 worldsex.com
O1 - Hosts: 65.77.83.222 teeniefiles.com
O1 - Hosts: 65.77.83.222 sublimedirectory.com
O1 - Hosts: 65.77.83.222 thumbzilla.com
O1 - Hosts: 65.77.83.222 sexocean.com
O1 - Hosts: 65.77.83.222 easypic.com
O1 - Hosts: 65.77.83.222 absolut-series.com
O1 - Hosts: 65.77.83.222 jpeg4free.com
O1 - Hosts: 65.77.83.222 thumbnailpost.com
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix

Folgende Datei manuell löschen:
C:\WINDOWS\web\related.htm

Weiterhin empfehle ich, ebenfalls im abgesicherten Modus einen eScan durchzuführen. Lies Dir den Link genau durch!
Weiterhin solltest Du Dein System updaten, incl. IE (wenn du ihn denn schon benutzt).
Anschließend neues Logfile posten und für die Zukunft das Surfverhalten ein bißchen überdenken. ;)
cacatoa

Martin 01.11.2004 16:24
Hallo cacatoa,

du sagst, ich soll das Genannte fixen, aber wie? Im abgesicherten Modus hochfahren und dann? Nur die eine Datei manuell löschen?

Den IE hatte ich übrigens bei der Sache gar nicht benutzt und jetzt soll es der sein, der betroffen ist?

Was genau habe ich mir denn eingefangen? Was sind diese R1 und 01-Angaben? lsass.exe ist ein Virus?

Danke,

cacatoa 01.11.2004 16:32
Hallo, Martin, ganz unruhig bleiben!
Wenn Du mit HiJackThis gescannt hast, dann kannst Du vor die Prozesse(R1, O1), die ich Dir geschrieben habe, ein Häkchen machen. Das tust Du. Dann clickst Du auf "Fix checked" und schon sind sie weg. Im Anschluß löschst Du manuell die Datei, die ich Dir gepostet habe.
Und Dein lsass ist kein Virus, sondern gehört zu Deinem System.
Zu Deinem IE; er ist nicht gepatcht, sonst nichts.
Dann neues Log posten. ;)
Grüße cacatoa

Martin 01.11.2004 19:54
So, ne Meditation später...

Das mit dem abgesicherten Modus habe ich vergessen. Schlimm?

Aber was war denn das nun, hatte das überhaupt irgendwas mit der von mir geschilderten Sache zu tun (JavaScript, Spyware acpStelth.cih)? Wie gesagt, den IE hatte ich da gar nicht benutzt.

Die Datei war übrigens noch nicht mal 1 KB groß.

Der IE ist nicht gepatcht? Habe ich doch immer gemacht!? Was genau fehlt denn da?

So sieht es jetzt aus:
Logfile of HijackThis v1.98.2
Scan saved at 20:00:05, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\phase5\htmledit.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1.ORG\MOZILL~1\Mozilla.exe
C:\Programme\Microsoft Works\msworks.exe
C:\Programme\Microsoft Works\wkgdcach.exe
C:\Programme\Microsoft Works\wkswp.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/oem
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095676347796

cacatoa 01.11.2004 20:08
Spyware acpStelth.cih kommt von einer Deiner O1-er Seiten. Sitzt auf port 443.
Hier mal einen Selbsttest durchführen.
Dein Logfile ist jetzt o.k.
cacatoa

Martin 01.11.2004 20:49
Gute Idee, mal so einen Sicherheitscheck zu machen, bei Schritt 1 und 2 ist alles o.k.
Jetzt bin ich beim PortScan, wo er meine FW erkannt hat und jetzt arbeitet er schon ne ganze Weile (ich ließ alle Ports scannen). Bisher noch keine Meldung. Der Speedmanager zeigt so im 2-Sekundentakt 1 KB-Downloads an. Wenn das jeweils ein Port ist, dann würde das ca. 1,5 Tage dauern...

Was mache ich, wenn das in 2 Stunden noch immer nicht fertig ist?

cacatoa 01.11.2004 20:52
Laufen lassen, wenn Du willst. Über port 443 ist er sicher schon weg. Kannst aber auch beenden, wenn es Dir zu lange dauert und ein anderes Mal laufen lassen.
cacatoa

Martin 01.11.2004 21:30
Was genau ist denn Port 443?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131