VX2 + 180Solutions laut escan / backdoor.HacDef.a laut ewido

#1 hallo miteinander!

die "einzige" macke die mein rechner zeit 14 tagen hat ist, dass sich seiten manchmal sehr langsam aufbauen(25sec. bei 600kb down - ich habs bisher auf meinen isp geschoben)
laut ms-dos eingabeaufforderung gehn manchmal halt auch bis 4von4 pings wegen zeitüberschreitung verloren

- mit ad-aware + dem vx2 cleaner lässt sich nix finden
- sb s&d sagt auch das alles sauber is
- ewido und a² meckert net
- anti-vir und diverse onlinescans (trendmicro, RAV, kaspersky) meckern auch net

ansonsten läuft noch der
- teatimer (der einmal vor vielen monaten nen download verhindert hat)
- spywaregard und spywareblaster
- outpost 2.5

im übrigen xp home mit SP2 und allen updates...


ich habe gestern mal escan über meinen rechner laufen lassen (nicht im abgesicherten modus) und das gefunden:

Fri Apr 01 10:39:22 2005 => **********************************************************
Fri Apr 01 10:39:22 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Apr 01 10:39:22 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Apr 01 10:39:22 2005 => **********************************************************
Fri Apr 01 10:39:22 2005 => Version 6.0.2 (C:\bases\mwavscan.com)
Fri Apr 01 10:39:22 2005 => Log File: C:\bases\MWAV.LOG
Fri Apr 01 10:39:22 2005 => Latest Date of files inside MWAV: 30 Mar 2005 12:27:24.
Fri Apr 01 10:39:25 2005 => AV Library Loaded...
Fri Apr 01 10:39:25 2005 => MWAV doing self scanning...
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\kavss.exe
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\Getvlist.exe
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\kavss.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\kavssdi.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\kavssi.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\kavvlg.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\msvlclnt.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\ipc.dll
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\main.avi
Fri Apr 01 10:39:25 2005 => Scanning File C:\bases\virus.avi
Fri Apr 01 10:39:25 2005 => MWAV files are clean.
Fri Apr 01 10:39:25 2005 => Virus Database Date: 2005/03/30
Fri Apr 01 10:39:25 2005 => Virus Database Count: 124022

Fri Apr 01 10:40:54 2005 => **********************************************************
Fri Apr 01 10:40:54 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Apr 01 10:40:54 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Apr 01 10:40:54 2005 =>
Fri Apr 01 10:40:54 2005 => Support: support@mwti.net
Fri Apr 01 10:40:54 2005 => Web: http://www.mwti.net
Fri Apr 01 10:40:54 2005 => **********************************************************
Fri Apr 01 10:40:54 2005 => Version 6.0.2 (C:\bases\mwavscan.com)
Fri Apr 01 10:40:54 2005 => Log File: C:\bases\MWAV.LOG
Fri Apr 01 10:40:54 2005 => User Account: Gamer
Fri Apr 01 10:40:54 2005 => Windows Root Folder: C:\WINDOWS
Fri Apr 01 10:40:54 2005 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Apr 01 10:40:54 2005 => OS: Windows NT
Fri Apr 01 10:40:54 2005 => Latest Date of files inside MWAV: 30 Mar 2005 12:27:24.

Fri Apr 01 10:40:54 2005 => Options Selected by User:
Fri Apr 01 10:40:54 2005 => Memory Check: Enabled
Fri Apr 01 10:40:54 2005 => Registry Check: Enabled
Fri Apr 01 10:40:54 2005 => StartUp Folder Check: Enabled
Fri Apr 01 10:40:54 2005 => System Folder Check: Enabled
Fri Apr 01 10:40:54 2005 => System Area Check: Disabled
Fri Apr 01 10:40:54 2005 => Services Check: Enabled
Fri Apr 01 10:40:54 2005 => Drive Check: Disabled
Fri Apr 01 10:40:54 2005 => All Drive Check :Enabled
Fri Apr 01 10:40:54 2005 => Folder Check: Disabled

Fri Apr 01 10:41:24 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Fri Apr 01 10:41:24 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD
Fri Apr 01 10:41:46 2005 => System found infected with
180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Fri Apr 01 10:41:46 2005 => File System Found infected by
"180Solutions Spyware/Adware" Virus.
Action Taken: No Action Taken.

*schnipp*

Fri Apr 01 10:41:46 2005 => System found infected with
VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})!
Action taken: No Action Taken.
Fri Apr 01 10:41:46 2005 => File System Found infected by
"VX2 Spyware/Adware" Virus.
Action Taken: No Action Taken.

*schnipp*

Fri Apr 01 11:39:27 2005 => File C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\*\mirc612.exe tagged as not-a-virus:RiskWare.mIRC.6.12. No Action Taken.

Fri Apr 01 11:39:27 2005 => Scanning File C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\*\mirc614.exe
Fri Apr 01 11:39:27 2005 => File C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\*\mirc614.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.

die beiden mirc´s sind überbleibsel von früher und hab ich bereits entsorgt...

*schnipp*

Fri Apr 01 12:46:43 2005 => ***** Scanning complete. *****

Fri Apr 01 12:46:43 2005 => Total Objects Scanned: 177879
Fri Apr 01 12:46:43 2005 => Total Virus(es) Found: 4
Fri Apr 01 12:46:43 2005 => Total Disinfected Files: 0
Fri Apr 01 12:46:43 2005 => Total Files Renamed: 0
Fri Apr 01 12:46:43 2005 => Total Deleted Objects: 0
Fri Apr 01 12:46:43 2005 => Total Errors: 25
Fri Apr 01 12:46:43 2005 => Time Elapsed: 02:05:47
Fri Apr 01 12:46:43 2005 => Virus Database Date: 2005/03/30
Fri Apr 01 12:46:43 2005 => Virus Database Count: 124022

Fri Apr 01 12:46:43 2005 => Scan Completed.

Fri Apr 01 12:59:52 2005 => Virus Database Date: 2005/03/30
Fri Apr 01 12:59:52 2005 => Virus Database Count: 124022






hjt-log

Logfile of HijackThis v1.99.1
Scan saved at 23:05:58, on 03.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Gamer\Eigene Dateien\hjt\HijackThis1.99.0.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\aim51\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O15 - Trusted Zone: *.free-av.de
O15 - Trusted Zone: *.opodo.de
O15 - Trusted Zone: *.symantec.com
O15 - Trusted Zone: *.trendmicro.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112519903062
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} -
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} -
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

der erste 016 ohne weitere info müsste von nem bitdefender onlinescan sein...
der zweite sagt mir nix
und drei und vier is von nem seagate tool


und nun sagt mir ewido, dass im verzeichnis von escan
c:\bases\viewtcp.exe
ein backdoor.hacdef.a sein soll

alle anderen haben mit der datei kein problem... zumindest a² sollte den ja auch erkennen, tut er aber net

so, zerbrech ich mir nur den kopf über false-positives oder hab ich doch "untermieter" im system??

für meinungen, wär ich echt dankbar...
(geh dann off, weil ich morgen früh raus "darf"... )

#2 Hallo@imp-cen

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

------------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O15 - Trusted Zone: *.free-av.de
O15 - Trusted Zone: *.opodo.de
O15 - Trusted Zone: *.symantec.com
O15 - Trusted Zone: *.trendmicro.com
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} -
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} -
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} -

neustarten

•AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

viewtcp.exe<--loeschen

Berichte von den Onlinescanns

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

Download RootkitRevealer (270 KB)



**

laden:
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
#Download RootkitRevealer (190 KB)

#entpacken
#RootkitRevealer.exe--> klick--> sannen --> poste, wenn etwas gefunden wurde.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo!
vielen dank für deine hinweise


vorneweg:
ich glaube ad-aware hatte am WE einen win32.Holar.G in
Dokumente und Einstellungen\stefan\lokale einstellungen\temp\irgeneine.tmp
bemängelt
dat ding hab ich entsorgt...


so, dann wolln mer mal...

das mit der deldomains.inf hab ich gemacht


dann is mir eingefallen, dass heute die windowsupdates fällig waren und hab das auch gleich noch gemacht


mit hjt danach die vier O16 gelöscht
die O15 waren schon weg
(hatte die O15´er damals in diese zone gepackt, weil die seiten sonst aufrgund der sicherheitseinstellungen nicht angezeigt worden wären)

die vier O16 sind aber nach jedem neustart wieder da...?


dann den aboutbuster im abgesicherten modus laufen lassen:
(allerdings kann ich da kein update prüfen "criticalerror: an error has occured while updating")

Scanned at: 20:46:20 on: 12.04.2005
-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 25
No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!
-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 25
No ADS found on system
Attempted Clean Of Temp folder.
Pages Reset... Done!


viewtcp.exe hab ich (endgültig) gelöscht
davor noch ein scan mit:
Jottis Malwarescan 2.99-TRANSITION_TO_3.00
Datei, die hochgeladen und gescannt werden soll:
Datei: viewtcp.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Embedded.Backdoor.HacDef.a gefunden (mögliche Variante)


onlinescan panda: (ohne autoclean)

Incident Adware:Adware/SaveNow (der nachfolgende link bezieht sich auf WhenU)
Status No disinfected
Location Windows Registry


onlinescan f-secure

Finished: No viruses found
Scanned files: 168077


beim download des activeX für panda meckert anti-vir über eine angebliche Signatur eines Micro-128 (C)-Virus in c:\windows\system32\aktivescan\imscan.dll

Jottis Malwarescan 2.99-TRANSITION_TO_3.00
Datei, die hochgeladen und gescannt werden soll:
Datei: imscan.dll
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir W95/Bumble gefunden
Avast Win32:Kuang2 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Reverse.948.D gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden


rootkit revealer:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 17.01.2003 18:36 0 bytes Key name contains embedded nulls (*)

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\324ZNDCT\028-3515759-7133339[1].:
05.03.2003 23:09 96.26 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LIRKDEB\028-2262611-3777363[1].:
05.03.2003 11:51 44.17 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNV31DOE\images[1].: 20.02.2003 00:17 21.55 KB Hidden from Windows API.

diese olle "images[1]" kommt mir im übrigen bekannt vor. die lässt sich nämlich net löschen


und weil wir schon dabei sind *duck*

administrator-benutzerkonten:

im abgesicherten modus zeigt er mir zwei admin-konten an
einmal meinen "admin":
des konto nutze ich (für das tägliche hab ich aber ein eingeschränktes benutzer-konto)

und einen "Administrator"
des konto wird sonst nicht angezeigt.

MS Baseline Security Analyser sagt ich hätte sogar deren drei:
Administrator
Admin
S-1-5-21-357464061-2243138800-104724495-1003

weiteres gejammer:

MSXML 4.0 SP1 das aktuelle SP2 ist nicht installiert
(hier gibts keinen link wo man ein update holen könnte)

MS05-009 Sicherheitsanfälligkeit bei PNG-Verarbeitung kann zu einem Püfferüberlauf führen (890261)
(hier gibts einen link hierhin: http://www.microsoft.com/technet/security/bulletin/ms05-009.mspx)
ich denke, dass mich das nicht soo betrifft, weil der media player in meiner version nicht betroffen sein soll und der messenger... hm, benutz ich den überhaupt? hab ich in den installierten programmen net gfunden...


tjo, ball wieder in eurem feld...

thx

#4 Hallo@imp-cen

backdoor.hacdef.a
http://www.virusbtn.com/perlbin/vgrep/vgrep.cgi?terms=backdoor.hacdef.a&product=0

What's new in version 2.0
# Added detection and removal of AFX Rootkit and Vanquish Rootkit.
# UnHackMe monitor.
http://www.greatis.com/unhackme/download.htm

onlinescann
http://info.ahnlab.com/english/product/02.html

http://www.pcpitstop.com/freescan/

Backdoor.HackDefender

* Hxdefxxx.exe, which is the backdoor component.
* Hxdefxxx.ini, which is the backdoor configuration file.

* The xxx represents a number from 026 to 071.
* The client portion of this backdoor, which Symantec antivirus products detect, is named Bdclixxx.exe.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HackerDefenderxxx

This key contains the configuration information, such as its display name, "HXD Service," for the backdoor service.

http://www.symantec.com/avcenter/venc/data/backdoor.hackdefender.html
~~~~~~~~~~~~~~

win32.Holar.G/W32/Holar.l@MM [McAfee], I-Worm.Hawawi.g [Kaspersky], Win32.Holar.G [Computer Associates], WORM_HAWAWI.F [Trend]

# Creates the following files:
* %Temp%\Explore.exe, which is 20,992 bytes in length. The file attributes are Hidden, Read-only, and System.
* %Temp%\A.exe, which is 9,216 bytes in length.
* %Temp%\SMTP.ocx, which is 25,737 bytes in length.

Copies itself to %System%\folder as these files:

* C:\WINDOWS\system32\a.bat
* C:\WINDOWS\system32\a.com
* C:\WINDOWS\system32\a.exe
* C:\WINDOWS\system32\a.pif
* C:\WINDOWS\system32\a.scr
* C:\WINDOWS\system32\a.sys

2. Copies Explore.exe and C:\WINDOWS\system32\SMTP.ocx
to the %System%folder.

3. Adds the value:
"Explore"="C:\WINDOWS\system32\explore.exe"
to the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the worm's component runs when you restart Windows.

Spread routine
Explore.exe is the worm's component that contains its spread routine. When it runs, it does the following:

1. Adds the value "a" to the registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
The worm uses this key as its infection marker.

# Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
# In the right pane, delete the value "a."

HKEY_CURRENT_USER\"DeathTime"<--LOESCHEN

------------------------------------------------------------------------
2. Changes the home page of Internet Explorer to www.geocities.com/yori_mrakkadi."
3. Adds a value "DeathTime" to the registry key:
HKEY_CURRENT_USER
The value increases by 1 each time Explore.exe runs. When the value reaches 30, the worm disables the mouse and keyboard.
4. Locates the KaZaA download folder through the registry.
5. Searches for files whose extensions are .doc, .jpg, .mdb, .pps, .ram, .xls, or .zip. Then, it copies the worm to the KaZaA download folder using the file names.
6. Retrieves the current users email address and default SMTP server IP address.
7. Retrieves the email addresses from the files whose extensions are .htm, .html, .eml, and .txt.

8. Retrieves the email addresses from the Outlook address book and MSN messenger contact list.

10. Steals network information and emails it to a predefined email address. The stolen information may include:
* Host name for the computer
* Domain in which the computer is registered
* Set of DNS servers IP address, which the computer uses
* DHCP server IP address, which the computer uses

http://securityresponse.symantec.com/avcenter/venc/data/w32.galil.c@mm.html

----------------------------------------------------------------------------

CCleaner
http://www.ccleaner.com/ccdownload.asp

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\324ZNDCT\

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LIRKDEB\

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNV31DOE\-->loeschen

-------------------------------------------------------------------------------

und einen neuen-->"Administrator" (loesche dieses neue Administrator-Konto (im abgesicherten Modus)

•CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

--------------------------------------------------------------------------------

How can I try F-Secure BlackLight Rootkit Elimination Technology?
A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe

Command line version:
Lade:fsblc.exe
(scanne im abgesicherten Modus)
---------------------------------------------------------------------------------

Laden Sie die Trial Version von tds-3 anti trojan von hier runter:

http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.

#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3

#Um das Update durchzuführen --> [Rechts-klick] -->
speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Update radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )

#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan

#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ´n Abend!

hat leider etwas gedauert mit den ganzen scans... und dann hat sich auch noch der lüfter von meinem netzteil verabschiedet

aber weiter im programm:

----------------------------------------
backdor.hacdef.a + win32.holar.g

- die erwähnten dateien und registry-schlüssel kann ich auf meinem system net finden
- unhackme sagt, dass das system sauber is
- die beiden onlinescanner finden nix, außer pc.pitstop:
C:\Dokumente und Einstellungen\...\mwav.exe HackerDefender.sys
der ebenfalls genannte link im trefferresultat scheint das aber zu relativieren:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=113287


---------------------------------
CCleaner

damit hatte ich etwas probleme:
egal wie´s ich gemacht hab, ob im abgesicherten modus, oder normal, im account "admin", oder als "stefan"
- ich wähle die drei ordner aus, analysiere und lasse reinigen
- dann wird auch gesagt das soundsoviel kb gelöscht wurden, nur sind die ordner immer noch da

- siehe auch hier:
Fragmente 2
Dateigröße 22 KB
Dateien, die nicht defragmentiert werden können:
c:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNV31DOE\images[1].

und nochmal mit rootkitrevealer:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 15.04.2005 08:37 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 17.01.2003 18:36 0 bytes Key name contains embedded nulls (*)

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\324ZNDCT\028-3515759-7133339[1].:
05.03.2003 23:09 96.26 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LIRKDEB\028-2262611-3777363[1].:
05.03.2003 11:51 44.17 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNV31DOE\images[1].: 20.02.2003 00:17 21.55 KB Hidden from Windows API.

hab ich evtl. mit CCleaner etwas durcheinandergebracht, weil da jetzt 2 einträge mehr auftauchen?


-------------------------------------
Administratorkonto

- taucht im abgesicherten modus auf
- sagt in den einstellungen zu den benutzerkonten, dass es nur angezeigt wird, wenn (außer gast) kein andres konto da is
- das nur ein andrer admin einen admin löschen kann, damit mindestens einer da is
- im "admin" (ist auch admin) taucht dieses konto aber nicht zum löschen auf

evtl. ist das das voreingestellte admin-konto und ich hab mir vor 2 jahren n neues admin-konto für mich zum arbeiten angelegt (warum auch immer).
auf jedenfall wüsst ich jetz net, wie mans löschen sollt


--------------------------------------
CLRAV + Trendmicro
hab ich durchgeführt (bei trendmicro nach java-update)
haben nix gefunden
bei trendonline gabs noch nen hackercheck der gut ausgegangen is
(geschlossene ports)


-----------------------------------------------
F-secure:

im abgesicherten modus gibts ne fehlermeldung beim versteckte prozesse suchen (3002). danach läuft er normal durch:

Finished: No viruses found
Scanned files: 168077

im normalen modus läuft er ohne fehlermeldung ganz durch.
zur fehlermeldung hab ich auf der produktseite nix gefunden und werd nochmal danach googeln...

---------------------------------------------
tds-3

mit dem vollen scan nur 5 sachen bemängelt:
dateien wie firefox1.0.3.exe und hjt1.99.01.exe als suspekter name mit doppelter dateiendung (wunder auch )



sieht erstmal gar nicht so schlecht aus bis hier? *hoff*



nochmal ein hjt:

Logfile of HijackThis v1.99.1
Scan saved at 19:26:01, on 16.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
==> (hatte ich grad offen - hatte mir n paar texte zwischengespeichert)
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Gamer\Eigene Dateien\hjt\HijackThis1.99.0.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\aim51\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myv3/myv3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112519903062
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} -
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4468/mcfscan.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O1 - hm, wo kommt jetzt der her?
02 - acrobat 7.0... - kann man den getrost entsorgen , weil unwichtig, oder macht adobe dann trouble?
O4 - den unhackme würd ich später wieder entsorgen
O9 - sun java konsole - darf der ebenfalls wieder weg (kommt wohl mit dem update auf 1.4 das ich bei dem trendonline-scan gemacht hab
O16 - die 4 einträge ohne erläuterung (sh. auch im post oben)
da sind sie wieder (wie nach jedem fixen und neustart)


einmal nach dem netzteil schau *fingerbrenn* - gehäuselüfter ackert munter

danke nochmal fürs guggen...

#6 imp-cen

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
kannst du fixen (kommt vom tds-3)

A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe
Command line version:
Lade:fsblc.exe

berichte dann vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit

#7 schönen sonntag wünsch ich!

F-Secure BlackLight (im abgesicherten modus):

04/17/05 09:48:33 [Info]: F-Secure BlackLight Beta 1.2.1003 started
04/17/05 09:48:33 [Info]: OS version: 5.1 build 2600 (Service Pack 2)
04/17/05 09:48:35 [Info]: User initiated system scan
04/17/05 09:48:35 [Info]: Process scan started
04/17/05 09:48:37 [Note]: 3008
04/17/05 09:48:37 [Error]: Could not scan for hidden processes (error 3002)
04/17/05 09:48:40 [Info]: Process scan done
04/17/05 09:48:40 [Info]: Filesystem scan started
04/17/05 09:48:40 [Info]: Filesystem scan engine version: 1.5 (build 1006)
04/17/05 09:48:40 [Info]: Scanning drive C:\
04/17/05 09:48:41 [Note]: FS type NTFS
04/17/05 09:58:52 [Info]: Done scanning drive C:\
04/17/05 09:58:52 [Info]: Scanning drive D:\
04/17/05 09:58:52 [Note]: FS type NTFS
04/17/05 09:59:43 [Info]: Done scanning drive D:\
04/17/05 09:59:43 [Info]: Scanning drive E:\
04/17/05 09:59:43 [Note]: FS type FAT
04/17/05 09:59:44 [Info]: Done scanning drive E:\
04/17/05 09:59:44 [Info]: Scanning drive I:\
04/17/05 09:59:44 [Note]: FS type NTFS
04/17/05 09:59:44 [Info]: Done scanning drive I:\
04/17/05 09:59:44 [Info]: Scanning drive M:\
04/17/05 09:59:44 [Note]: FS type NTFS
04/17/05 10:02:55 [Info]: Done scanning drive M:\
04/17/05 10:02:55 [Info]: Scanning drive S:\
04/17/05 10:02:55 [Note]: FS type NTFS
04/17/05 10:02:57 [Info]: Done scanning drive S:\
04/17/05 10:02:57 [Info]: Filesystem scan completed
04/17/05 10:03:20 [Info]: F-Secure BlackLight stopped

und nochmal ganz normal:

04/17/05 11:34:14 [Info]: F-Secure BlackLight Beta 1.2.1003 started
04/17/05 11:34:14 [Info]: OS version: 5.1 build 2600 (Service Pack 2)
04/17/05 11:35:53 [Info]: User initiated system scan
04/17/05 11:35:53 [Info]: Process scan started
04/17/05 11:35:53 [Info]: Process scan done
04/17/05 11:35:53 [Info]: Filesystem scan started
04/17/05 11:35:53 [Info]: Filesystem scan engine version: 1.5 (build 1006)
04/17/05 11:35:53 [Info]: Scanning drive C:\
04/17/05 11:35:54 [Note]: FS type NTFS
04/17/05 11:43:17 [Info]: Done scanning drive C:\
04/17/05 11:43:17 [Info]: Scanning drive D:\
04/17/05 11:43:18 [Note]: FS type NTFS
04/17/05 11:43:53 [Info]: Done scanning drive D:\
04/17/05 11:43:53 [Info]: Scanning drive E:\
04/17/05 11:43:53 [Note]: FS type FAT
04/17/05 11:43:53 [Info]: Done scanning drive E:\
04/17/05 11:43:53 [Info]: Scanning drive I:\
04/17/05 11:43:53 [Note]: FS type NTFS
04/17/05 11:43:53 [Info]: Done scanning drive I:\
04/17/05 11:43:53 [Info]: Scanning drive M:\
04/17/05 11:43:53 [Note]: FS type NTFS
04/17/05 11:45:39 [Info]: Done scanning drive M:\
04/17/05 11:45:39 [Info]: Scanning drive S:\
04/17/05 11:45:39 [Note]: FS type NTFS
04/17/05 11:45:40 [Info]: Done scanning drive S:\
04/17/05 11:45:40 [Info]: Filesystem scan completed
04/17/05 11:45:45 [Info]: F-Secure BlackLight stopped



hjt:

Logfile of HijackThis v1.99.1
Scan saved at 11:12:31, on 17.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Dokumente und Einstellungen\Gamer\Eigene Dateien\hjt\HijackThis1.99.0.1.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\aim51\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myv3/myv3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112519903062
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} -
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4468/mcfscan.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: UON - ??????????????????????????????????? - C:\DOKUME~1\Gamer\LOKALE~1\Temp\UON.exe

oh, oh... uon.exe?
dazu find ich nicht wirklich was in google...
sollten O23´er einträge nicht auch irgendwie im taskmanager auftauchen? da find ich nix passendes zu.
die sollte man doch vor dem fixen beenden?

Jottis Malwarescan 2.99-TRANSITION_TO_3.00

Datei, die hochgeladen und gescannt werden soll:
Dienst
Auslastung: 0% 100%

Datei: UON.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

#8 Hallo@imp-cen

UnHackMe<--ueberpruefen, ob der Dienst unter 023 zu diesem Tool gehoert
----------------------------------------------------------------------------

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " UON" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" UON" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.


Start-->Ausfuehren-->regedit

bearbeiten-->suchen--> UON

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: UON - ??????????????????????????????????? - C:\DOKUME~1\Gamer\LOKALE~1\Temp\UON.exe

PC neustarten

Im abgesicherten Modus loeschen.
C:\DOKUMENTE UND EINSTELLUNGEN\Gamer\LOKALE~1\Temp\UON.exe

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hallo Sabina

ein kurzer zwischenstand...


der Dienst UON war nicht aktiv
starttyp war "manuel" eingetragen. hab das auf deaktiviert geändert

über regedit hab ich zwei sachen gelöscht die sich auf UON.exe bezogen
(in mehreren anläufen, da bei "weitersuchen" dat teil zwei mal abgestürzt is)
das löschen an sich ging aber ohne probleme...

hjt gemacht:
kein eintrag mehr in O23 gehabt

UON.exe im abgesicherten modus gelöscht + papierkorb geleert...

aha, uon.exe hatte im papierkorb das gleiche bildchen wie die rootkitrevealer.exe!

gehört dann wohl da dazu? komisch das des dan beim letzten hjt noch net da war - den rootkitrevealer hat ich doch neulich schon benützt...

siltentrunners mach ich dann als nächstes...




//edit
ging ja schneller als ich dachte...



"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"UnHackMe Monitor" = "C:\Programme\UnHackMe\hackmon.exe" ["Greatis Software"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Outpost Firewall" = "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice" ["Agnitum"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4A368E80-174F-4872-96B5-0B27DDD11DB2}\(Default) = "SpywareGuard Download Protection"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\dlprotect.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32A9D769-5B55-4a25-9A62-86B5683FE50A}" = "NikonView Drop Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nikon\NkView6\NkvDropExt.dll" ["Nikon Corporation"]
"{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard.Handler" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpywareGuard\spywareguard.dll" [null data]
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gamer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Gamer" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Gamer\Startmenü\Programme\Autostart
"SpywareGuard" -> shortcut to: "C:\Programme\SpywareGuard\sgmain.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\
-> {CLSID}\(Default) = "Real.com"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{072F3B8A-2DA2-40E2-B841-88899F240200}\
"ButtonText" = "Trashcan"
"MenuText" = "Show Trashcan"
"Exec" = "C:\PROGRA~1\Agnitum\OUTPOS~1\trash.exe" ["Agnitum Ltd."]

{811DDDB7-933B-4717-8A6B-4F86A67E0F9F}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de/" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\aim51\aim.exe" ["America Online, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Outpost Firewall Service, OutpostFirewall, "C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /service" ["Agnitum"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

#10 Hallo@imp-cen

es mueste nun eigentlich alles o.k. sein

Download the beta* of our new anti-spyware software today
http://www.microsoft.com/athome/security/spyware/software/default.mspx

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallo,

m$ anti-spyware beta hab ich laufen lassen und hat nix gfunden...

tuneup sieht ja schick aus...
der disccleaner findet n paar kleinigkeiten, aber die drei ollen aus dem temp-ordner kann er auch net beseitigen
der registry cleaner hat dann mit 350 treffer schon mehr zu bieten. da muss ich mich dann mal durcharbeiten...

wegen der "wackligen" i-net verbindung hab ich dem supportmeines isp´s mal beine gemacht


dann is ja alles im grünen bereich *freu*
wenn Du per mentaler fernübertragung noch meinen lüfter zum laufen bringen könntest?

Dankeschön!

#12 mach ihn mal auf--> und sauber

Zitat

wenn Du per mentaler fernübertragung noch meinen lüfter zum laufen bringen könntest?

__________
MfG Sabina

rund um die PC-Sicherheit