virus/trojaner (socks.exe + command)

#1 Tag zusammen,

habe ein ziemliches problem mit einem troiner/ virus.

Folgendes passiert beim Systemstart:

Nach kurzer Zeit taucht im Taskmanager eine
socks.exe auf die die cpu auf 100% anschlagen lässt.

Als nächstes gesellt sich eine command dazu.

Darauf folgen verdammt viele cmd's so das gar nichts mehr geht am pc.

danch meldet mein mcafee eine dll.dll als gelöschten trojaner.

Nur durch ein löschen der socks.exe und command lässt sich wieder normal arbeiten.

Da ich aber icht jedesmal beim systemstart die beiden sachen löschen will bin ich jetzt nun schon seit 2 tagen verzweifelt am versuchen den guten zu killen, leider ohne erfolg.

ich habe zunächst einmal normal versucht zu scannen, nichts gefunden.
dann habe ich die systemwiederherstellung deaktiviert und im abgesicherten modus gescannt, leider auch vergebens.

nun weiß ich wirklich nicht mehr weiter was ich noch machen soll,
ich hoffe hier kann mir einer helfen bin schon am verzweifeln

#2 Mal das hier abarbeiten:
http://www.trojaner-info.de/hijacker/escan.shtml

und wenn Bedarf besteht, danach noch ein Hijackthis log posten:

http://board.protecus.de/t9391.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 ok folgende dateien wurden gekillt:

D:\WINDOWS\Console.exe infected by "Trojan.Win32.Small.aa" Virus. Action Taken: File Deleted.
File D:\WINDOWS\Socks.exe infected by "TrojanProxy.Win32.Small.n" Virus. Action Taken: File Deleted.
File D:\WINDOWS\System.exe infected by "Trojan.PSW.LdPinch.gen" Virus. Action Taken: File Deleted.


das problem ist nur wenn ich windows wieder neu starte dann sind diese wieder im d:windows drinne... gehe ich dann wieder in den abgesicherten modus, dann und lasse das programm wieder laufen, dann werden die files wieder gekillt. startet man dann aber windows normal sindse immer noch da... also das programmm killt die nicht wirklich die sind immer wieder da beim neustat von windows als virus (

#4 @ rexxxx

Dann erstelle ein Log-File mit HiJackThis
und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 ok hier der log:

Logfile of HijackThis v1.98.0
Scan saved at 01:35:08, on 01.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\GEARSec.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
D:\WINDOWS\System.exe
D:\WINDOWS\Socks.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\Programme\NetLimiter\NetLimiter.exe
D:\Programme\KlipFolio\KlipFolio.exe
D:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\WINDOWS\Console.exe
D:\Programme\CursorXP\CursorXP.exe
D:\Programme\TVgenial\TVgenial.exe
D:\Programme\NoPopUp 2003\nopopup.exe
D:\Programme\Rainlendar\Rainlendar.exe
E:\Aufsetzen\PowerMenu_1_5_1\PowerMenu.exe
D:\WINDOWS\twain_32\CIS600X\WATCH.exe
D:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
I:\miranda-im-v0.3.3.1\miranda32.exe
D:\Programme\ReGetDx\regetdx.exe
I:\FlashFXP 2.1 Build 924\FlashFXP.exe
F:\Appz\Sonstiges\dvbdream\dvbdream.exe
D:\Dokumente und Einstellungen\mttg\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smartstartpage.de/redirect.php?id=1221-bvbbvb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.247.204.195:3128
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitBeamer IE Plugin - {4BD9653E-D4C7-454B-9151-A8517B84BA08} - D:\Programme\BitBeamer\ieplugin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NetLimiter] D:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [KlipFolio] "D:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [NoPopUp] D:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Verknüpfung mit PowerMenu.exe.lnk = E:\Aufsetzen\PowerMenu_1_5_1\PowerMenu.exe
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - D:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Allow Popups - D:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Download All with BitBeamer - res://D:\Programme\BitBeamer\ieplugin.dll/getlinks
O8 - Extra context menu item: Download with BitBeamer - res://D:\Programme\BitBeamer\ieplugin.dll/download
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - D:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{0986F73C-4EAC-4A18-8A18-35A278ED95E9}: NameServer = 194.8.194.60,215.168.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8EA076F-FA44-4832-8755-BBB45DC739A8}: NameServer = 194.8.194.60,215.168.112.60
O21 - SSODL: Systask - {5A11AFF7-0A49-4444-A207-81DF1660CDDB} - dllsys2.dll (file missing)

#6 @ rexxxx
An deiner Stelle würde ich, über ein Neuaufsetzen deines Systems nachdenken, denn keine deiner Dateien und Passwörter sind mehr vertrauenswürdig und somit als bekannt anzusehen.
Warum wurdest du von deiner Sygate Firewall und deinen Mc Afee Antivirus nicht gewarnt? Soviel zum Thema Scheinsicherheit durch Software.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://schad.dyndns.org/index.php/Kompromittierung

Zur Information was diser Trojan.PSW.LdPinch.gen (D:\WINDOWS\System.exe) alles kann:
Der Trojaner versucht in regelmäßigen Abständen, vertrauliche Daten an eine remote Stelle zu senden. Zu den Daten gehören:

* Computerdaten (OS-Version, Speicher, CPU etc.)
* verfügbare Laufwerke (Laufwerksbuchstabe, Typ und freier Speicher)
* Hostname und IP-Adresse
* Daten über das Volume mit dem Windows-Ordner
* Installationsdaten und Daten, die für bestimmte Software in der Registrierung gespeichert werden, darunter ICQ und Trillian
* Kennwörter und vertrauliche Daten aus dem "Protected Storage"
* POP3- und IMAP-Serverdaten, -Benutzernamen und -Kennwörter
* FTP-Benutzernamen und -Kennwörter
* RAS-Einwahlverbindungseinstellungen
http://www.sophos.de/virusinfo/analyses/trojldpinchfam.html

Der Trojaner läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer an Port 2050. Ein remoter Eindringling kann sich mit diesem Port verbinden und eine Command Shell erhalten.

Zur Info was der TrojanSpy.Win32.Small (socks.exe und console.exe)
Die DLL-Komponente überwacht die Internetnutzung und versucht, Zugangsdaten für Konten auf verschiedenen Banken zu stehlen.
http://www.sophos.de/virusinfo/analyses/trojwebmoneye.html

Das sollte eigentlich Grund genug sein, um dein System nicht mehr zu vertrauen!

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung bitte diese Punkte abarbeiten (Reihenfolge einhalten):
1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 ok danke für die vielen infos, hab mein system jetzt neu aufgesetzt...

wo das zeugs herkommt kann ich mir beim besten willen nicht erklären, da ich eigenltich immer sehr stark auf sicherheit gehe, spirch, kein ie nur mozilla... jeden tag das neueste viren update, einmal in der woche die neuen updates von ms überprüfen, keine mails öffnen die ich nicht kenne und so...

hoffe der gute hat nicht zuviel von mir, dass einzigste was "gehackt" wurde war meine icq nr, auf die war der wohl auch scharf drauf (war eine 6stellige).

und der gute kam aus russland... hoffe nur mal der hat nicht mehr angepackt...

#8 @ rexxxx

Zitat

hab mein system jetzt neu aufgesetzt

Eine weise Entscheidung

Zitat

wo das zeugs herkommt kann ich mir beim besten willen nicht erklären

Eventuell unvorsichtig beim öffnen von eMail Anhängen gewesen
siehe hier: http://www.dslteam.de/news1751.html

Zitat

hoffe nur mal der hat nicht mehr angepackt

Ich hoffe es für dich.
Viel Glück

Gruß
Cidre
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung