Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe Trojaner

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.08.2005, 21:33
Moderator

Beiträge: 7805
#1 Achtung! Moderation: Januar 2006:
Infos zur aktuellen 1&1 Virenmail mit dem Anhang Rechnung.pdf.exe siehe bitte:
http://board.protecus.de/t27618.htm


Also wie immer schoen vorsichtig, mit Mails, die euch auffordern wollen, einen Anhang zu oeffnen!;)

http://board.protecus.de/t16093-3.htm#194820
http://www.pcwelt.de/news/sicherheit/117711/index.html
http://www.rokop-security.de/index.php?showtopic=9040
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.08.2005, 01:07
Member
Avatar Gool

Beiträge: 4730
#2 Jetzt mal mit der Opodo-Version von dem Ding:

Wer auf so ein Ding klickt, holt sich mächtig was ins Haus.

Gespeichert ist der Virus als Rechnung.pdf.exe. Diese Datei ist nach F-Secure der Trojaner Small.avu bzw. Dumador.bl oder eine seiner Varianten. Das Ding macht eine ganze Menge. Ich infiziere meinen Test-PC am 12.08.2005:

Logfile of HijackThis v1.99.1
Scan saved at 22:55:01, on 13.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\wzcpsrv.exe (Backdoor.W32.Bancodor.z)

C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [WzcpSrv32] C:\WINDOWS\wzcpsrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SVCHOST] C:\WINDOWS\rechnung[1].pdf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

rot markierte Einträge gefixt.

Systemwiederherstellung ausgeschaltet.

-->

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\WINDOWS\system32

13.08.2005 22:47 77 winldr.ini
13.08.2005 22:47 16 dllsys.dll
13.08.2005 22:47 13.646 wpa.dbl
12.08.2005 18:22 26.112 winldra.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\DOKUME~1\doof\LOKALE~1\Temp

13.08.2005 23:13 16.384 ~DF593D.tmp
13.08.2005 22:47 26.112 02.exe
13.08.2005 22:47 32.768 ~DFF080.tmp
12.08.2005 18:24 35.616 xx.exe
12.08.2005 18:24 35.616 x.exe
12.08.2005 18:20 32.768 ~DFFB86.tmp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\WINDOWS

13.08.2005 23:42 161.684 ntbtlog.txt
13.08.2005 22:59 2.048 bootstat.dat
13.08.2005 22:58 4.230 SchedLgU.Txt
13.08.2005 22:47 0 0.log
13.08.2005 22:47 5.120 dvpd.dll
12.08.2005 18:24 32.768 wzcpsrv.exe
12.08.2005 18:23 6.425 rechnung[1].pdf.exe
12.08.2005 18:23 38 url.dat
12.08.2005 18:22 10 cmdid.dat
12.08.2005 18:22 31 netdx.dat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\

13.08.2005 23:42 0 sys.txt
13.08.2005 23:42 4.074 system.txt
13.08.2005 23:42 1.319 systemtemp.txt
13.08.2005 23:41 85.807 system32.txt
13.08.2005 23:36 0 23990098.$$$
13.08.2005 23:36 5 AVPCallback.log
13.08.2005 22:59 201.326.592 pagefile.sys
eScan-Log:

Zitat

Sat Aug 13 23:14:04 2005 => File C:\WINDOWS\rechnung[1].pdf.exe infected by "Trojan-Downloader.Win32.Small.bgp" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:15:19 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.dg" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:15:21 2005 => File C:\WINDOWS\wzcpsrv.exe infected by "Backdoor.Win32.Bancodor.z" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:18:19 2005 => File C:\WINDOWS\System32\winldra.exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:19:51 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temp\02.exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:19:54 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temp\x.exe infected by "Trojan-Dropper.Win32.Small.zz" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:19:54 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temp\xx.exe infected by "Trojan-Dropper.Win32.Small.zz" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:19:56 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\47QB4YFP\02[1].exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:19:57 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\47QB4YFP\3[1].exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:00 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\47QB4YFP\PIC004873[1].com infected by "Backdoor.Win32.SdBot.abe" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:02 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\47QB4YFP\xx[1].exe infected by "Trojan-Dropper.Win32.Small.zz" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:04 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL9VWETN\3[1].exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:10 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D94PZ5G3\2[1].exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:15 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D94PZ5G3\rechnung[1].pdf.exe infected by "Trojan-Downloader.Win32.Small.bgp" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:18 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D94PZ5G3\x[1].exe infected by "Trojan-Dropper.Win32.Small.zz" Virus! Action Taken: No Action Taken.
Sat Aug 13 23:20:19 2005 => File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PYIBI2IT\2[1].exe infected by "Backdoor.Win32.Dumador.do" Virus! Action Taken: No Action Taken.
Weiteres Vorgehen:
Killbox: lösche alle gefundenen Viren-Dateien mit "Delete on Reboot".

Mit dem CCleaner alle Temporären Dateien löschen.

Manuelles löschen der Dateien:
c:\windows\system32\winldr.ini - beinhaltet

Zitat

[params]
Url=http://sutherlandbuildersinc.com/weare_files/_vti_cnf/02.exe
c:\windows\system32\dllsys.dll
c:\windows\url.dat - beinhaltet

Zitat

http://npfpk.ru/content/img/logger.php
c:\windows\cmdid.dat (beinhaltet nur die Zahl 1123828482)
c:\windows\netdx.dat (beinhaltet: RDKTMKAWHRLXDCUEXOFDOUZUQOLINBQ)

Zum Schluss nochmal ein HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:21:58, on 14.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SVCHOST] C:\WINDOWS\rechnung[1].pdf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Das rote entfernen ich wieder mit HJT (möglicherweise hab ich es vorhin übersehen, aber ich scanne vorsichtshalber nochmal).
Ah ja, c:\windows\wzcpsrv.exe wird noch gefunden (hab ich vorhin möglicherweise auch "vergessen" - also nochmal mit Killbox löschen)

So, System ist nun "sauber". Noch eine Überprüfung mit Spybot: Er findet einige Einträge von CWS, die u.a. symantec.com auf 127.0.0.1 umleiten. Das bringt mich auf die Idee, mal in die Hosts-Datei zu gucken. Sämtliche Seiten von AntiViren-Software-Herstellern sind auf 127.0.0.1 geroutet, also werden entsprechende Einträge gelöscht.
Und nun muss aber noch der RegCleaner ran, weil da auch einiges im Unklaren ist:

Zitat

Sun Aug 14 00:42:47 2005 => Entry "HKCR\cs_srv.CSManip" refers to invalid object "{E456535C-4E03-4a54-8F5C-5B8A218404DB}". Action Taken: No Action Taken.

Sun Aug 14 00:42:47 2005 => Entry "HKCR\cs_srv.CSManip.1" refers to invalid object "{E456535C-4E03-4a54-8F5C-5B8A218404DB}". Action Taken: No Action Taken.

Sun Aug 14 00:42:51 2005 => Entry "HKCR\PGAVEngine.PGAVEngine" refers to invalid object "{9C9E742D-81D8-46d0-94AF-2A6B7D4CEE9F}". Action Taken: No Action Taken.

Sun Aug 14 00:42:51 2005 => Entry "HKCR\PGAVEngine.PGAVEngine.1" refers to invalid object "{9C9E742D-81D8-46d0-94AF-2A6B7D4CEE9F}". Action Taken: No Action Taken.
Ich weiß jetzt aber nicht, ob das von der Infektion herrührt... lässt sich mit RegCleaner nicht löschen, deshalb hab ichs manuell gemacht. Windows startet auch ganz normal, also sollte der PC nun sauber sein. Das letzte HJT-Log nun ist sauber.

Ich hoffe, dass dieser Workaround zur Säuberung hilfreich ist.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 14.08.2005 um 01:09 Uhr von Managor editiert.
Seitenanfang Seitenende
14.08.2005, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Keylogger: "trojan Srv.SSA-KeyLogger"
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe

Entfernungstool Sunbelt und deutsche Uebersetzung von "spywareinfo.com/newsletter":

http://virus-protect.org/Artikel/newsletter/newsletter12082005.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 01:26
Member
Avatar Gool

Beiträge: 4730
#4 Du meinst, ich sollte nochmal explizit danach suchen? Mach ich... obwohl ich nichts verdächtiges mehr feststellen konnte.

Nachtrag:
SSA Keylogger Cleaner Log
(c) Sunbelt Software Inc. 2005
www.sunbelt-software.com

Scan Running Processes:


Scanning For Trojan Files:

Searching for SSA files:
C:
C:\WINDOWS
C:\WINDOWS\System
C:\WINDOWS\temp
C:\Program Files\Internet Explorer\SHTTP

Cleaning HOSTS file:


Cleaning Registry.
Deleted Reg Key: Software\SARS

System Clean
The SSA Keylogger was not found on your system.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 14.08.2005 um 01:30 Uhr von Managor editiert.
Seitenanfang Seitenende
14.08.2005, 02:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Managor ;)

infiziere das System noch mal.

versuche,ob das Entfernungstool funktioniert ....
ich glaube es nicht so ganz, weil die Vielfalt der geladenen Malware doch sehr gross ist.

und den Haxdoor hast du auch nicht mitgeladen

das Entfernungstool scheint nur zu sein fuer:
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe

-------------

dann solltest du auch sehen, welche Veraenderungen in der Registry eingetreten sind.....schade, dass du kein XP+ SP2 hast ....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 03:05
Member
Avatar Gool

Beiträge: 4730
#6 ich will das SP2 nicht installieren, weil dadurch potentielle Gefährungen ausgeschlossen werden würden. Mich ärgert es ja schon, dass ich SP1 habe...

Ich bin gerade am basteln mit Messenger Plus! 3 ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.08.2005, 03:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 mit SP2 wird es doch erst so richtig interessant ;)

Zitat

Keylogger: "trojan Srv.SSA-KeyLogger"
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe

* Windows Task Manager veraendert
* Das Windows Security Center, (Windows XP SP2), wird deaktiviert
* Firewall und Automatic Updates services wird deaktiviert
* wenn das SP2 noch nicht installiert ist und man es installieren will, wird es nicht funktionieren
* verbreitet sich mit einer Variante des CWS Browser Hijackers
* kann aber auch seperat installiert werden, wenn der Benutzer bestimmte Seiten im Internet besucht.
* eine Anzahl an Webseitenbetreibern und Antiviren- Spywaresoftware-Herstellern werden durch Veränderung der Hostdatei geblockt.
http://virus-protect.org/Artikel/newsletter/newsletter12082005.html


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 03:16
Member
Avatar Gool

Beiträge: 4730
#8 Ok, ich probiers... hab ja noch ne Kopie des virtuellen Systems - da kann ich also notfalls drauf zurück greifen ;)

SP2-Installation ging - trotz Infektion. Aber ich hatte seit des Aufrufs von rechnung.pdf.exe noch nicht neu gestartet, also war der Virus evtl. noch nicht aktiv.

Das SicherheitsCenter meldet sich aber trotzdem. Jedoch: mache ich nen Doppelklick darauf, startet der PC neu. Also erstmal die Option "Bei Systemfehler neu starten" deaktivieren.

Firewall und automatische Updates werden regelmäßig deaktiviert.

SSACleaner-Log:

SSA Keylogger Cleaner Log
(c) Sunbelt Software Inc. 2005
www.sunbelt-software.com
SSA Keylogger Cleaner Log
(c) Sunbelt Software Inc. 2005
www.sunbelt-software.com

Scan Running Processes:

Killed process: winldra.exe

Scanning For Trojan Files:
SSA Keylogger Cleaner Log
(c) Sunbelt Software Inc. 2005
www.sunbelt-software.com

Scan Running Processes:

Killed process: winldra.exe

Scanning For Trojan Files:

Searching for SSA files:
C:
C:\WINDOWS
Delete file: netdx.dat
Delete file: cmdid.dat
C:\WINDOWS\System
C:\WINDOWS\temp
Delete file: fe43e701.htm
C:\Program Files\Internet Explorer\SHTTP

Cleaning HOSTS file:

127.0.0.1 www.trendmicro.com stripped from HOSTS file.
127.0.0.1 trendmicro.com stripped from HOSTS file.
127.0.0.1 rads.mcafee.com stripped from HOSTS file.
127.0.0.1 customer.symantec.com stripped from HOSTS file.
127.0.0.1 liveupdate.symantec.com stripped from HOSTS file.
127.0.0.1 us.mcafee.com stripped from HOSTS file.
127.0.0.1 updates.symantec.com stripped from HOSTS file.
127.0.0.1 update.symantec.com stripped from HOSTS file.
127.0.0.1 www.nai.com stripped from HOSTS file.
127.0.0.1 nai.com stripped from HOSTS file.
127.0.0.1 secure.nai.com stripped from HOSTS file.
127.0.0.1 dispatch.mcafee.com stripped from HOSTS file.
127.0.0.1 download.mcafee.com stripped from HOSTS file.
127.0.0.1 www.my-etrust.com stripped from HOSTS file.
127.0.0.1 my-etrust.com stripped from HOSTS file.
127.0.0.1 mast.mcafee.com stripped from HOSTS file.
127.0.0.1 ca.com stripped from HOSTS file.
127.0.0.1 www.ca.com stripped from HOSTS file.
127.0.0.1 networkassociates.com stripped from HOSTS file.
127.0.0.1 www.networkassociates.com stripped from HOSTS file.
127.0.0.1 avp.com stripped from HOSTS file.
127.0.0.1 www.kaspersky.com stripped from HOSTS file.
127.0.0.1 www.avp.com stripped from HOSTS file.
127.0.0.1 kaspersky.com stripped from HOSTS file.
127.0.0.1 www.f-secure.com stripped from HOSTS file.
127.0.0.1 f-secure.com stripped from HOSTS file.
127.0.0.1 viruslist.com stripped from HOSTS file.
127.0.0.1 www.viruslist.com stripped from HOSTS file.
127.0.0.1 liveupdate.symantecliveupdate.com stripped from HOSTS file.
127.0.0.1 mcafee.com stripped from HOSTS file.
127.0.0.1 www.mcafee.com stripped from HOSTS file.
127.0.0.1 sophos.com stripped from HOSTS file.
127.0.0.1 www.sophos.com stripped from HOSTS file.
127.0.0.1 symantec.com stripped from HOSTS file.
127.0.0.1 securityresponse.symantec.com stripped from HOSTS file.
127.0.0.1 us.mcafee.com/root/ stripped from HOSTS file.
127.0.0.1 www.symantec.com stripped from HOSTS file.

Cleaning Registry.
Deleted Reg Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\load32
Deleted Reg Key: Software\SARS

Neustart...

rechnung[1].pdf.exe war kurz aktiv, hat sich dann aber verabschiedet... und irgendwie läuft da nichts mehr virales...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 14.08.2005 um 04:13 Uhr von Managor editiert.
Seitenanfang Seitenende
14.08.2005, 08:36
Moderator
Themenstarter

Beiträge: 7805
#9 Man sollte bedenken, das man auch auf anderem Gebiet taetig werden muss. Sprich sperrung der aktuellen TAN Liste bzw Sperrung des/der Konten fuer den Onlinebetrieb, aenderung der PIN, Aenderung aller Passworte, die auf diesem Rechner benutzt wurden und konsequenter weise neu aufsetzen des Systems, a man nicht kontrollieren kann, was dieser Downloader heruntergeladen hat, bzw ob auf den Servern nicht die dort liegende Malware geaendert hat.


Kleiner Nachtrag dazu, die AV- Firmen sind inzwischen sehr schnell im hinzufuegen solcher Malware und schauen selber sehr schnell nach, was diese herunterladen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.09.2005, 20:01
Member
Avatar Gool

Beiträge: 4730
#10 Es gibt inzwischen eine neue Version. Morgen werde ich dazu kommen, den mal zu testen.

Jetzt ist es Ebay-Rechnung.pdf.exe und ist wohl seit heute erst im Umlauf. Heise schreibt auch etwas dazu:
http://www.heise.de/newsticker/meldung/63804
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
12.09.2005, 22:06
Moderator
Themenstarter

Beiträge: 7805
#11 Ich habe leider noch kein Sample, aber der muesste seit gestern abend verschickt werden....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.09.2005, 15:51
Member
Avatar Gool

Beiträge: 4730
#12 Im Schnelldurchlauf:
Ebay-Rechnung.pdf.exe (Trojan-Downloader.Win32.Agent.uf) gestartet

Dateiwarnung: es wird gefragt, ob ich die Datei
c:\windows\system32\ipwf.exe ausführen möchte. Mit Ja bestätigt, denn ich will ja gucken, was passiert. Ansonsten wäre hier der Trojaner wohl unschädlich. Mag's am SP2 liegen?

Windows Firewall Warnung:
Explorer möchte aufs Internet zugreifen. Zugriff erlaubt.

PC neustart

10 Minuten stehen lassen, weil ich Zigaretten holen bin

HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:34, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\WINDOWS\system32\wscntfy.exe
C:\windows\system32\ipwf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [IPFW] c:\windows\system32\ipwf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll

Gefixt, System neu gestartet.

Datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\WINDOWS\system32

13.09.2005 13:40 0 1lo.exe
13.09.2005 13:37 0 02.exe
13.09.2005 13:37 0 unix.exe
13.09.2005 13:37 0 backup.exe
13.09.2005 13:37 11.213 ipwf.exe

(alle anderen sind Clean)

Killbox:
c:\windows\system32\1lo.exe
c:\windows\system32\02.exe
c:\windows\system32\unix.exe
c:\windows\system32\backup.exe
c:\windows\system32\ipwf.exe
C:\WINDOWS\SYSTEM32\mcfCC4.dll


Logfile of HijackThis v1.99.1
Scan saved at 13:54:53, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: mcfCC4 - mcfCC4.dll (file missing)

Gefixt

eScanCheck:
File C:\WINDOWS\SYSTEM32\MCFDRV.SYS infected by "Trojan-Spy.Win32.Goldun.bn" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL9VWETN\1lo[1].exe infected by "P2P-Worm.Win32.Goldun.a" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL9VWETN\rechnung[1].pdf.exe infected by "Trojan-Downloader.Win32.Small.bgp" Virus! Action Taken: No Action Taken.

CCleaner:
Temporäre Internetdateien löschen

Killbox:
C:\WINDOWS\SYSTEM32\MCFDRV.SYS

Ewido:
Clean
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Managor ;)

es kann sein, dass die MCFDRV.SYS auch noch einen Dienst erstellt hat.
Um Registry-Veraenderungen zu protokollieren: (allerdings geht das nur mit Vergleich), also sauberes--> veraendertes System)

http://virus-protect.org/worc.html

interessant ist, dass weder die MCFDRV.SYS, noch die C:\WINDOWS\SYSTEM32\mcfCC4.dll bei datfindbat auftauchen....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 16:39
Member
Avatar Gool

Beiträge: 4730
#14 Ich probiers mal neu. Evtl. haben die Dateien ein gefälschtes Datum, dann ist es klar, dass die Datfind.bat die Dateien nicht bei den übrigen Dateien aufführt.

Gefunden:
02.04.2003 14:00 6.352 mcfdrv.sys
02.04.2003 14:00 28.097 mcfCC4.dll

Ich habe übersehen, dass das Ding einen Ordner erstellt:
c:\windows\system32\user local files
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 13.09.2005 um 16:53 Uhr von Managor editiert.
Seitenanfang Seitenende
13.09.2005, 17:02
Member
Avatar Gool

Beiträge: 4730
#15 "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"VPCUserServices" = "C:\WINDOWS\VMADD\VMUSrvc.exe" [MS]
"IPFW" = "c:\windows\system32\ipwf.exe" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{30C14BAC-122C-42ed-B319-1139DBF48EB8}" = "VPCCopyHook"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\VMADD\VPCShExG.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! mcfCC4\DLLName = "mcfCC4.dll" [** WMI GetObject error **]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
Virtual Machine Additions Services Application, 1-vmsrvc, "C:\WINDOWS\VMADD\VMSRVC.EXE" [MS]
Virtual Machine Additions Shared Folder Service, VPCMap, "C:\WINDOWS\System32\VPCMap.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 31 seconds, including 2 seconds for message boxes)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 13.09.2005 um 17:04 Uhr von Managor editiert.
Seitenanfang Seitenende