winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)

#0
21.09.2005, 17:55
Moderator

Beiträge: 7805
#16 Boote den Rechner bitte mal neu und schaue, ob die winlogon.exe wieder infiziert wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 18:43
Member

Themenstarter

Beiträge: 45
#17 So, Rechner ist gebootet, winlogon-Trojaner poppt auch wieder regelmäßig auf(habe übrigens bad-Dateien trotzdem draußen lassen, ebenso die iexplore.exe umbenannt).

Im Moment läuft gerade das rootkitreveal-Tool, für silentrunners mußte ich den WSH wieder aktivieren(muß ich da neu starten?)- mal sehen

Hab momentan keinen Plan wies weitergeht, habe noch nicht alle eure Vorschläge durch, insbesondere die längere Anleitung von Sabina.
Es wäre mir geholfen wenn ihr einfach die Teile eurer Posts nochmal in den Thread kopiert, die als nächstes Sinn gäben.
Danke. ;)
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
21.09.2005, 18:49
Moderator

Beiträge: 7805
#18 Eins nach dem anderen Silentrunners und die rootkitrevealer logs waeren als naechstes nicht schlecht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 19:15
Member

Themenstarter

Beiträge: 45
#19 Rootkitreveal:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 21.09.2005 18:25 80 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:52 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\LocalService\ntuser.dat:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:52 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\mario\CAWX6R2B.:Zone.Identifier 19.09.2005 22:55 26 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\mario\CAX8QTT3.:Zone.Identifier 19.09.2005 22:55 26 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 21.09.2005 18:24 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat:KAVICHS 20.09.2005 14:53 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG:KAVICHS 21.09.2005 18:34 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\ntuser.dat:KAVICHS 20.09.2005 14:52 132 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Recent\Silent Runners.vbs.lnk 21.09.2005 18:30 682 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Recent\Silent Runners_v401.lnk 21.09.2005 18:30 505 bytes Hidden from Windows API.
C:\WINDOWS\Help\drwtsn32.hlp:KAVICHS 01.01.1601 02:00 36 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\MMC.EXE-22FA564C.pf 21.09.2005 18:31 62.69 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\WSCRIPT.EXE-32960AB9.pf 21.09.2005 18:31 59.22 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\XP-ANTISPY.EXE-11A3E50D.pf 21.09.2005 18:32 54.97 KB Hidden from Windows API.
C:\WINDOWS\system32\config\default.LOG:KAVICHS 21.09.2005 18:24 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\default:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\SAM.LOG:KAVICHS 21.09.2005 18:23 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\SAM:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\SECURITY.LOG:KAVICHS 21.09.2005 18:33 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\SECURITY:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\software.LOG:KAVICHS 21.09.2005 18:40 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\software:KAVICHS 21.09.2005 13:14 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\system.LOG:KAVICHS 21.09.2005 18:38 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\config\system:KAVICHS 21.09.2005 18:23 196 bytes Hidden from Windows API.
C:\WINDOWS\system32\dllcache\winlogon.exe 21.09.2005 18:23 495.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\winlogon.exe:KAVICHS 21.09.2005 18:46 36 bytes Hidden from Windows API.
D:\Uti\Spyware\l2mfix\l2mfix\Process.exe 13.01.2005 21:41 52.00 KB Visible in Windows API, but not in MFT or directory index.
+++Ende RKR


"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Arcor Online" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [file not found]
"notepad2.exe" = "popuper.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Arcor Online" = (empty string)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"]
"{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"]
"{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*b" (unwritable string)
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"]
"{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q8590762_disk.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}"
-> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}"
-> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
+++Ende silentrunners

Spasseshalber zwischendurch noch einHJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:56:40, on 21.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

+++Ende HJT

smitrem-Tool hab ich auch laufen lassen:


smitRem log file
version 2.4

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

screen.html


~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

screen.html


~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll is missing!!
+++Ende smitfiles

...jetzt weiß ich auch, was die macht!
;)

hatte auch mit blacklight-dingens angefangen, dauert mir zu lang: packe zusammen und nehm alles mit heim.
....
da bin ich jetzt, blacklightbeta lief durch mit ner Nullmeldung.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 21.09.2005 um 21:25 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
21.09.2005, 22:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 gehe in die Registry

Start-->Ausfuehren--> regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

loeschen:
"notepad.exe" = "msmsgs.exe"
"notepad2.exe" = "popuper.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

loeschen

"{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q8590762_disk.dll"

eigentlich muesste es schon geloescht sein, aber kopiere es dennoch noch mal in die Killbox, wenn es da ist, wird es bei Neustart geloescht.:

C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\sites.ini
C:\WINDOWS\q8590762_disk.dll
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\screen.html

PC neustarten
-------------------------------------------------------------------------------

winini32.exe.xxx <--wuerde mich interessieren, was das ist (schicke die exe an raman, aber vorher scanne die exe auf den zwei Seiten, die ich gepostet hatte)

-------------------------------------------------------------------------------

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

--------------------------------------------------------------------------------

Click Start > Ausfuehren> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

suche die winlogon.exe in sigverif.txt und poste es.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 23:54
Member

Themenstarter

Beiträge: 45
#21 So, jetzt aber

Zitat

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

loeschen:
"notepad.exe" = "msmsgs.exe"
"notepad2.exe" = "popuper.exe"
Die beiden Einträge gibts dort nicht mehr. Eine Komplettsuche ergab für popuper keine Treffer, für msmsgs.exe nur welche an anderen Stellen, die nicht suspekt waren.
Interessant dabei fand ich nur, dass anscheinend msmsgs.exe sowohl im Verzeichnis c:\Programme\Messenger\ als auch in c:\Programme\MSN Messenger\ existierte

Zitat

"{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q8590762_disk.dll"
done

Zitat

C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\sites.ini
C:\WINDOWS\q8590762_disk.dll
C:\WINDOWS\system32\intmonp.exe
nicht da

Zitat

C:\WINDOWS\screen.html
gelöscht
alle nochmal in killbox - oooops - ging schief:
"PendingFileRenameOperations Registry DAta has been removed by External Process!"

Hab die Schüssel einfach mal runtergefahren, könnte sie wieder offline anhängen!?
[/b]

winini32.exe has left the building ;)

Habe PC wieder booten lassen: Virus sagt immer noch regelmäßig hallo.

Mache einfach mit Sabinas Tipps weiter.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 22.09.2005 um 00:43 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
22.09.2005, 00:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 das neue Log vom Silentrunner bitte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 01:13
Member

Themenstarter

Beiträge: 45
#23 wininet.bat-Text

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

04.08.2004 01:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Verzeichnis von C:\WINDOWS\system32

17.09.2005 17:58 662.016 wininet.dll
1 Datei(en) 662.016 Bytes
+++Ende wininet.bat

sigverif

********************************

Microsoft Signaturverifizierung

Protokolldatei wurde am 22.09.2005 um 00:46 erstellt.
Betriebssystem: Windows 2000 (x86), Version: 5.1, Build: 2600, CSDVersion: Service Pack 2
Scanergebnisse: Dateien insgesamt: 3423, Signiert: 2415, Nicht signiert: 4, Nicht gescannt: 1004

Datei Geändert Version Status Katalog Signiert von
------------------ ------------ ----------- ------------ ----------- -------------------
Publisher
wininet.dll 17.09.2005 6.0.2900.2180 Nicht signiert Nicht zutreffend
Publisher
dtwmnic5.sys 20.12.2002 1.1.0.5 Nicht signiert Nicht zutreffend
Publisher
wsfaxdrv.dll 29.12.2001 5.0.2195.1 Nicht signiert Nicht zutreffend
wsfaxdrv.gpd 03.06.1980 Keine Nicht signiert Nicht zutreffend

+++Ende sigverif

silentrunners

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Arcor Online" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Arcor Online" = (empty string)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
"{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"]
"{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"]
"{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*b" (unwritable string)
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"]
"{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}"
-> {CLSID}\InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}"
+++Ende silentrunners

Nachtrag sigverif winlogon.exe: "Zugriff verveigert"
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 22.09.2005 um 01:21 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
22.09.2005, 01:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Using Windows Explorer (You can get to Windows Explorer, by Going to Start - "My Computer", then double-clicking "C:\"), locate this file:

Directory of C:\WINDOWS\SYSTEM32

17.09.2005 17:58 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

C:\WINDOWS\System32\wininet.dll

Right-click on it and select "Rename" and rename it to wininet.old

Then go into this folder (it will be hidden so make sure hidden files are showing!):

Verzeichnis von C:\WINDOWS\ServicePackFiles\i386
04.08.2004 01:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Inside the "C:\WINDOWS\ServicePackFiles\i386" folder, locate wininet.dll. Right-click on it and choose "copy" (NOT cut!).

Then go back into C:\WINDOWS\System32
Right-click an open space and choose "Paste".

Delete the following:
C:\WINDOWS\System32\wininet.old

-------------------------------------------------------------------------

wie geht es der winlogon.exe ????


--------------------------------------------------------------------------
wsfaxdrv.dll
wsfaxdrv.gpd
--> das Datum ist sehr suspekt.....03.06.1980


einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 01:49
Member

Themenstarter

Beiträge: 45
#25 done, but works only if I do the mentioned to \dllcache first, then to \system32. This I did. Unfortunately I cannot delete the *.old file, whereas I can delete the original file without a problem.

Maybe I should do this in the offline mode!?

Generally talking: do you have the impression any undesireable action is taken when shutting down the system(at this point). Should I always kill it instead of shutting down until we got a solution?
any clue for further proceeding?

winlogon.exe still infected

Scan wsfaxdrv.gpd Jotti
Auslastung:
0% 100%
Datei: Wsfaxdrv.gpd
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden
+++Ende Jotti

Virustotal:

This is a report processed by VirusTotal on 09/22/2005 at 01:50:10 (CET) after scanning the file "Wsfaxdrv.gpd" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 09.21.2005 no virus found
Avast 4.6.695.0 09.21.2005 no virus found
AVG 718 09.21.2005 no virus found
Avira 6.32.0.6 09.21.2005 no virus found
BitDefender 7.2 09.22.2005 no virus found
CAT-QuickHeal 8.00 09.21.2005 no virus found
ClamAV devel-20050917 09.21.2005 no virus found
DrWeb 4.32b 09.21.2005 no virus found
eTrust-Iris 7.1.194.0 09.22.2005 no virus found
eTrust-Vet 11.9.1.0 09.21.2005 no virus found
F-Prot 3.16c 09.21.2005 no virus found
Ikarus 0.2.59.0 09.21.2005 no virus found
Kaspersky 4.0.2.24 09.22.2005 no virus found
McAfee 4587 09.21.2005 no virus found
NOD32v2 1.1229 09.21.2005 no virus found
Norman 5.70.10 09.21.2005 no virus found
Panda 8.02.00 09.21.2005 no virus found
Sophos 3.97.0 09.22.2005 no virus found
Symantec 8.0 09.21.2005 no virus found
TheHacker 5.8.2.113 09.21.2005 no virus found
VBA32 3.10.4 09.21.2005 no virus found
+++Ende Virustotal

was tun?
ich könnte versuchen, offline die wininet und die winlogon aus einem integeren WXPsp2 reinzukopieren, bringt das was?

etwas ernüchtert inzwischen... zähle mich an sich zu den hartnäckigen Individuen, das hier ist inzwischen somewhat out of bounds
Nicht falsch verstehen, ich freu mich über eure intensive Hilfe und Bemühungen, möchte aber auch eure Zeit nicht über die Gebühr strapazieren, v.a. wenn wir jetzt keine konkreten Ansätze finden fürs weitere procedere finden sollten.
Danke
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 22.09.2005 um 10:49 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
22.09.2005, 11:19
Moderator

Beiträge: 7805
#26 Wir sind ja noch am Ball und du hast noch das Image!;)
Mir faellt da noch wohl was zu ein.....;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.09.2005, 14:17
Member

Themenstarter

Beiträge: 45
#27 @raman
also, hier das Ergebnis des NAI-scans:

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4587 created Sep 21 2005
Scanning for 149626 viruses, trojans and variants.



09/22/2005 13:01:12


Options:
H:\WINDOWS /ALL /ANALYZE /MANALYZE /MIME /PANALYZE /PROGRAM /RPTCOR /RPTERR /STREAMS /SUB /SECURE /UNZIP /REPORT WINDOWS.REP /TIMEOUT 300

Scanning H: [SYSTEM]
Scanning H:\WINDOWS\*.*

Summary report on H:\WINDOWS\*.*
File(s)
Total files: ........... 21662
Clean: ................. 21662
Possibly Infected: ..... 0


Time: 00:15.38

+++Report Ende

nicht ergiebig, aber Fakt
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
22.09.2005, 15:15
Moderator

Beiträge: 7805
#28 Nicht wirklich. Jag Mcafee mal ueber die ganze Partition, bzw auf jeden Fall ueber den "dokumente und Einstellungen" Ordner.

BTW: Die wininet.dll ist deshalb anders, bzw nicht mehr signiert, da sie wohl von einem Virus befallen war und ein AV-Programm diese gereinigt hat. Sprich sie ist nicht mehr im Orginalzustand.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.09.2005, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 was ich nicht verstehe:

Zitat

Wininet.dll ~~~

wininet.dll is missing!!
+++Ende smitfiles

ist aber eine da (sogar zwei...)
21.09.2005 10:33 728.442 PerfStringBackup.INI
21.09.2005 10:26 507.392 winlogon.exe
18.09.2005 22:13 2.206 wpa.dbl
17.09.2005 17:58 662.016 wininet.dll
17.09.2005 03:42 23.977 ffastlog.txt

obwohl eine da ist und normalerweise ist smitrem-Tool so programmiert, dass es andere wininet.dll auf dem System sucht und die verseuchte ersetzt....

die wurde nicht erkannt und nicht ersetzt:
04.08.2004 01:57 662.016 wininet.dll

das ist die "neue"...wurde nicht als verseucht erkannt....
17.09.2005 17:58 662.016 wininet.dll

Zitat

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

04.08.2004 01:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Verzeichnis von C:\WINDOWS\system32

17.09.2005 17:58 662.016 wininet.dll
1 Datei(en) 662.016 Bytes
+++Ende wininet.bat



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 17:12
Member

Themenstarter

Beiträge: 45
#30 was könnte ich also tun?
habe noch das Image, allerdings ist da nicht ganz der Erstzustand drauf. Ich könnte in den Backups der beteiligten Scanrechner nach original infizierten wininet.dlls suchen!??
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende