winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)

#0
20.09.2005, 21:38
Member

Beiträge: 45
#1 Hallo, bin hier gerade "geschlüpft".

PC mit WXPpro SP2 ohne weitere updates.
Festplatte ausgebaut und per Firewire an 3 verschiedene saubere PCs gehängt(mit neuesten Updates). Da sind jeweils Kaspersky AV 5.0, NortonAV2005 bzw. H+BEDV installiert.
Ergebnis: rund ein Dutzend Viren entfernt. Es war die Systemwiederherstellung ausgeschaltet und alle Win und IE Temp-Verzeichnisse sind geleert.
Beispiele für entfernte Malware sind:
I:\WINDOWS\system\SMSS.EXE
[FUND!] Ist das Trojanische Pferd TR/Small.FL
WURDE GELÖSCHT!
I:\WINDOWS\system32\mshlp.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Banker.ZU.1
WURDE GELÖSCHT!
I:\WINDOWS\system32\mskav.exe
[FUND!] Ist das Trojanische Pferd TR/Dialer.KC
WURDE GELÖSCHT!

Leider krieg ich den o.g. Trojaner nicht runter, egal was ich tu.
Hab schon Tränen im Auge und nen Hammer in der Hand... ;)

Hab im Internet auch schon fleißig gesucht, habe u.a. hier

http://board.protecus.de/t19170.htm

sehr gute Informationen erhalten, alles was bei mir zutrifft ebenfalls angewandt, trotzdem: immer wenn ich das System boote, poppt der AntiVir regelmässig auf und moniert die winlogon.exe

Nun die log-Dateien, der Vollständigkeit halber. Zuerst nach der "Grundreinigung" , dann nach weiteren manuellen Säuberungen:

*****schnipp*******
Logfile of HijackThis v1.99.1
Scan saved at 17:19:33, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
D:\Uti\_spam\hijackthis_v1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll (file missing)
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp27D0.tmp (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\q8590762_disk.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

*****schnapp******

nach weiterer Säuberung:

******schnipp*******
Logfile of HijackThis v1.99.1
Scan saved at 18:29:53, on 20.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

********schnapp********

DANKE für JEDE Hilfe!

ach ja, noch was, habe den Eindruck, dass der Trojaner die Datei faked.
So gemeint: Im Taskmanager läuft tatsächlich die winlogon.exe aus dem korrekten Verzeichnis. Man kann sie aber problemlos löschen(bei laufendem System!). Nicht löschen kann man die vom AntiVir umbenannte winlogon.exe.vir!
Weiß nicht obs hilft, ich fands very strange.
Keine Ahnung, was der PC mit mir vorhat...
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 21.09.2005 um 00:11 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
21.09.2005, 01:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Sunny-pc ;)

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

poste mir alles 4 Logs, bitte (mit pfadangabe)
http://virus-protect.org/datfindbat.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll (file missing)
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp27D0.tmp (file missing)

PC neustarten

abhaengig von den Dateien aus datfindbat, werde ich die liste noch verlaengern ;)

KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\rwl.dll
C:\WINDOWS\system32\hp27D0.tmp
C:\WINDOWS\system32\msmsgs.exe

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread


*reg-Datei
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

dann erscheint eine smitfraud.reg auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

scanne mit ewido und poste den Scanreport ;)
http://virus-protect.org/ewido.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 05:56
Moderator

Beiträge: 7804
#3 Hat Kaspersky die Winlogon.exe nicht reinigen koennen? Das sollte sie eigentlich. Oder wird sie immer wieder neu infiziert?
Wenn ja, dann bitte keine weitere Datei auf dem Rechner loeschen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 08:18
Moderator

Beiträge: 7804
#4

Zitat

ach ja, noch was, habe den Eindruck, dass der Trojaner die Datei faked.
Nein, es ist im eigentlichen Sinne kein Trojaner, sondern ein Virus, der die Winlogon.exe infiziert hat. Wir muessen mal schauen, ob man den Dropper fuer diesen Virus finden kann, darum auch die bitte erstmal nicht weiter Dateien zu loeschen. Im Zweifelsfall kann ich dir eine saubere Datei der winlogon.exe schicken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 08:56
Member

Themenstarter

Beiträge: 45
#5 @Sabina
- temp Dateien sind gelöscht, werde trotzdem das Tool nochmal verwenden
- bzgl. HJT: bitte oben 2. Log beachten - da fehlt schon alles außer den "...= about:blank" - Einträgen
- Frage: brauche ich killbox, obwohl ich ja wahlweise auch mit nicht aktivem System arbeite(externe Platte)?
C:\WINDOWS\system32\rwl.dll
C:\WINDOWS\system32\hp27D0.tmp
C:\WINDOWS\system32\msmsgs.exe
die gibt es nicht mehr
- wäre es dann in deinem Sinne wenn ich außer bzgl. temp Dateien mit "smitRem TOOL (Entfernungstool)" weitermache?

@raman
Es gab sehr wohl Zeitpunkte, wo die "Offline-scans"(per externer Platte) der Meinung waren, die Platte wäre sauber. Beim Wiedereinbau machte sie mir dann aber doch ne lange Nase. Also werde ich ab sofort ohne Rücksprache keine weiteren Dateien(außer Sabina-Dateien!?) löschen.

@raman, 2
habe die winlogon.exe schon mehrfach auf die infizierte Platte kopiert, gleich auch in die Verzeichnisse dllcache und servicepackfiles, also alle 3 Kopien gegen saubere ausgetauscht. Half nichts.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 21.09.2005 um 08:59 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
21.09.2005, 10:22
Moderator

Beiträge: 7804
#6 Das ist "gut" Kopiere alle Dir Eintrtage bitte komplett, wie von Sabina vorgeschlagen:
http://virus-protect.org/datfindbat.html

Da du "Fiffig" genug bist, waere mir eine dir Liste der Verzeichnisse am liebsten, wenn die Platte in einem extra Rechner steckt! Nur musst du die Pfade dafuer in der dafind.bat anpassen. Sonst ist eine Liste vom infizierten Rechner auch in Ordnung. Ich denke, das ist eine ntfs Platte!?

und nutze auch noch Blacklight und rootkitrevealer, wenn du von der infizierten Platte bootest:
http://www.f-secure.com/blacklight/try.shtml
http://www.sysinternals.com/Utilities/RootkitRevealer.html
und schreib, was es gefunden hat.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 11:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ja, poste mal die 4 Logs von der Datfinddat, dann sehen wir weiter, denn nicht nur die winlogon ist verseucht, es gibt da noch viel mehr....
wenn dann alles sauber ist, bekommst du eine saubere winlogon von raman, also, alles genau abarbeiten, Schritt fuer Schritt....
wir hatten das Problem hier schon mal, du bist also in guten Haenden (denke ich mal ;) )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 12:09
Member

Themenstarter

Beiträge: 45
#8 also, hier ist alles(hatn bisschen gedauert, da ich datfind entsprechend raman wiederholt hab):

HJT

Logfile of HijackThis v1.99.1
Scan saved at 11:17:55, on 21.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

+++Ende HJT


datfind.bat mit externer Platte

***
Datentr„ger in Laufwerk I: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von I:\WINDOWS\system32

21.09.2005 10:33 40.800 perfc009.dat
21.09.2005 10:33 313.082 perfh009.dat
21.09.2005 10:33 49.226 perfc007.dat
21.09.2005 10:33 318.436 perfh007.dat
21.09.2005 10:33 728.442 PerfStringBackup.INI
21.09.2005 10:26 507.392 winlogon.exe
18.09.2005 22:13 2.206 wpa.dbl
17.09.2005 17:58 662.016 wininet.dll
17.09.2005 03:42 23.977 ffastlog.txt
08.08.2005 18:42 392.776 FNTCACHE.DAT
06.07.2005 00:10 99.678 wp.bmp
06.07.2005 00:09 766 spyware.ico
06.07.2005 00:09 4.286 spam.ico
06.07.2005 00:09 2.238 pharm.ico
06.07.2005 00:09 2.238 network.ico
06.07.2005 00:09 2.238 Date.ico

26.01.2005 21:29 121.080 MSForms.TWD
20.01.2005 13:47 175.616 strings.exe
13.01.2005 21:41 126.976 zip.exe
13.01.2005 21:41 90.112 RegDACL.exe
13.01.2005 21:41 11.254 locate.com
13.01.2005 21:41 39.184 Ntrights.exe
13.01.2005 21:41 24.576 Reboot.exe
12.01.2005 00:45 3.243 jupdate-1.4.2_06-b03.log
12.11.2004 12:49 1.035 vsconfig.xml
09.11.2004 18:44 4.212 zllictbl.dat
09.11.2004 17:45 269 spupdwxp.log
09.11.2004 00:14 6.184 mapisvc.inf
09.11.2004 00:14 69.632 system.mdw
08.11.2004 23:41 25.065 wmpscheme.xml
08.11.2004 23:11 261 $winnt$.inf
08.11.2004 23:05 2.951 CONFIG.NT
08.11.2004 23:05 16.832 amcompat.tlb
08.11.2004 23:05 23.392 nscompat.tlb
08.11.2004 23:02 488 WindowsLogon.manifest
08.11.2004 23:02 488 logonui.exe.manifest
08.11.2004 23:02 749 cdplayer.exe.manifest
08.11.2004 23:02 749 wuaucpl.cpl.manifest
08.11.2004 23:02 749 ncpa.cpl.manifest
08.11.2004 23:02 749 sapi.cpl.manifest
08.11.2004 23:02 749 nwc.cpl.manifest
08.11.2004 22:59 21.740 emptyregdb.dat
08.11.2004 22:56 0 h323log.txt
02.11.2004 13:29 99.592 vsxml.dll
02.11.2004 13:29 353.552 vsutil.dll
02.11.2004 13:29 197.904 vspubapi.dll
02.11.2004 13:29 107.792 vsmonapi.dll
02.11.2004 13:29 124.176 vsinit.dll
02.11.2004 13:29 278.416 vsdatant.sys
02.11.2004 13:29 75.024 vsdata.dll
08.09.2004 12:12 24.064 msxml3a.dll
04.08.2004 02:12 1.788 dcache.bin

...noch weitere 2000 Dateien, alle älter; die auch?

***
Datentr„ger in Laufwerk I: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von I:\DOKUME~1\SENSOL~1\LOKALE~1\Temp

***
Datentr„ger in Laufwerk I: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von I:\WINDOWS

21.09.2005 11:20 2.048 bootstat.dat
21.09.2005 11:20 1.422 SchedLgU.Txt
21.09.2005 11:20 216 wiadebug.log
21.09.2005 11:20 966 WindowsUpdate.log
21.09.2005 10:29 0 0.log
21.09.2005 10:29 50 wiaservc.log
20.09.2005 16:49 356.352 eSellerateEngine.dll
20.09.2005 13:24 231 system.ini
20.09.2005 11:51 0 Sti_Trace.log
17.09.2005 04:07 192 winamp.ini
11.09.2005 21:52 606 WISO.INI
26.08.2005 00:58 49 NeroDigital.ini
23.08.2005 11:12 30 TDF.DII
23.08.2005 11:12 3.067 tm.ini
09.08.2005 00:37 827 win.ini
24.07.2005 12:10 8.192 sensolife.pcb
20.07.2005 21:12 1.522 screen.html
17.07.2005 12:16 1.917 imsins.BAK
06.07.2005 00:32 2.137 sites.ini
02.07.2005 23:33 292 winini32.exe.xxx
01.07.2005 21:30 487 Capictrl.INI
01.07.2005 18:03 20.454 hpoins01.dat
01.07.2005 18:03 20.454 hpoins01.dat.temp
29.03.2005 09:31 26 HNetCtrl.INI
19.03.2005 16:15 1.793 P2kRotate.ini
09.03.2005 00:40 139 asym.ini
10.01.2005 22:04 15.348 sensolife.acl
29.12.2004 23:03 250 BUHL.INI
03.12.2004 13:34 512 EPSTPLOG.BAK
24.11.2004 23:14 465 barcode.ini
16.11.2004 13:41 895 ODBC.INI
09.11.2004 17:49 316.640 WMSysPr9.prx
09.11.2004 17:24 0 srchasst
09.11.2004 00:30 1.370 setup.iss
09.11.2004 00:30 0 OAISetup.INI
09.11.2004 00:30 59 WINPHONE.INI
09.11.2004 00:14 22 exchng.ini
09.11.2004 00:14 4.348 ODBCINST.INI
08.11.2004 23:12 8.192 REGLOCS.OLD
08.11.2004 23:05 0 control.ini
08.11.2004 23:05 299.552 WMSysPrx.prx
08.11.2004 23:02 749 WindowsShell.Manifest
08.11.2004 22:59 36 vb.ini
08.11.2004 22:59 37 vbaddin.ini
04.08.2004 01:58 288.768 winhlp32.exe
04.08.2004 01:58 32.866 slrundll.exe
04.08.2004 01:58 153.600 regedit.exe
04.08.2004 01:58 70.144 notepad.exe
04.08.2004 01:57 10.752 hh.exe
04.08.2004 01:57 1.035.264 explorer.exe
04.08.2004 01:57 50.688 twain_32.dll
03.05.2004 05:36 397.312 SwSetupu.exe
05.04.2003 14:33 16.622 hpomdl01.dat
05.04.2003 14:33 16.622 hpomdl01.dat.temp
18.08.2001 14:00 17.362 Rhododendron.bmp
18.08.2001 14:00 65.954 Pr„riewind.bmp
18.08.2001 14:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 14:00 2 desktop.ini
18.08.2001 14:00 15.872 TASKMAN.EXE
18.08.2001 14:00 48.680 winnt.bmp
18.08.2001 14:00 16.730 Feder.bmp
18.08.2001 14:00 26.680 F„cher.bmp
18.08.2001 14:00 94.800 twain.dll
18.08.2001 14:00 9.522 Zapotek.bmp
18.08.2001 14:00 49.680 twunk_16.exe
18.08.2001 14:00 25.600 twunk_32.exe
18.08.2001 14:00 82.944 clock.avi
18.08.2001 14:00 1.405 msdfmap.ini
18.08.2001 14:00 257.568 winhelp.exe
18.08.2001 14:00 17.062 Kaffeetasse.bmp
18.08.2001 14:00 26.582 Granit.bmp
18.08.2001 14:00 18.944 vmmreg32.dll
18.08.2001 14:00 17.336 Angler.bmp
18.08.2001 14:00 34.818 wmprfDEU.prx
18.08.2001 14:00 80 explorer.scf
18.08.2001 14:00 65.978 Seifenblase.bmp
18.08.2001 14:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 14:00 48.680 winnt256.bmp
18.08.2001 14:00 707 _default.pif.xxx
11.10.1999 03:00 41.984 Ctregrun.exe
25.06.1999 10:55 149.504 UNWISE.EXE
23.12.1998 09:20 6.067 UNWISE.INI
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 20:45 306.688 IsUninst.exe
21.04.1998 16:10 37 TB50.INI
14.12.1996 01:00 2 ARTGALRY.CAG
14.12.1996 01:00 15.348 MSO97.ACL
14.12.1996 01:00 791 OUTLOOK.PRF
10.12.1996 14:21 39.095 iccsigs.dat
06.11.1996 13:05 302.592 unin0407.exe
90 Datei(en) 5.345.484 Bytes
0 Verzeichnis(se), 4.968.759.296 Bytes frei

***
Datentr„ger in Laufwerk I: ist SYSTEM
Volumeseriennummer: 249F-069A

Verzeichnis von I:\

21.09.2005 11:40 0 sys.txt
21.09.2005 11:40 4.676 system.txt
21.09.2005 11:40 129 systemtemp.txt
21.09.2005 11:40 102.543 system32.txt
21.09.2005 11:39 363 datFind_absolut.bat
21.09.2005 10:28 267.964.416 hiberfil.sys
21.09.2005 10:28 402.653.184 pagefile.sys
21.09.2005 09:45 429 datFind.bat
13.09.2005 12:37 519 hpfr3420.xml
13.09.2005 12:37 36.842 hpfr3425.log
20.08.2005 23:51 149.614 sensowater h2o blubber.eps
24.03.2005 19:40 285 c.vbs
11.12.2004 08:28 899 log.txt
09.11.2004 17:36 3.721 Benutzersensolifechef.JPG
09.11.2004 17:34 211 boot.ini
09.11.2004 17:20 47.564 NTDETECT.COM
09.11.2004 17:20 251.184 ntldr
08.11.2004 23:05 0 MSDOS.SYS
08.11.2004 23:05 0 IO.SYS
08.11.2004 23:05 0 CONFIG.SYS
08.11.2004 23:05 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
22 Datei(en) 671.221.531 Bytes
0 Verzeichnis(se), 4.968.755.200 Bytes frei
+++Ende datfindbat

Ich schau mir mal inzwischen die von raman genannten Tools an und warte im Zweifelsfall auf Antwort before proceeding. Und noch was: es ist nicht nachvollziehbar, seit wann der PC Spielwiese ist, ich vermute mehr n paar Monate als nur Wochen.
@raman: es IST eine ntfs-Platte, wieso?

Langsam kehrt ein wenig Zuversicht zurück... danke schon mal dafür an euch! ;)
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 21.09.2005 um 12:17 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
21.09.2005, 12:36
Moderator

Beiträge: 7804
#9 Wir testen alles mal durch. Lade dir mal peid herunter:
http://www.absolutelock.de/construction/files/releases/PEiD-0.93-20050130.zip starte es, dann mache ein "multiscan" erstmal ueber das gesammte Windowsverzeichniss. Wenn es fertig gescannt hat, gehe mit der rechten Maustaste ins Ergebnissfeld und speichere das Ergebniss. Packe die Datei und schicke sie an virus@protecus.de, da der Umfang ein Posting sprengen wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 13:23
Member

Themenstarter

Beiträge: 45
#10 ...und noch etwas, wo ich weniger drauf geachtet hatte: oft springt die "Fehlerüberprüfung" beim Hochfahren an, findet auch ungültige/ unkorrekte Einträge und korrigiert diese.
Schwierig wiederzugeben, er schreibt dann mehr als eine Bildschirmseite voll. Hatte aufgrunddessen auch schon ausprobiert, den PC bei laufendem Betriebssystem vom Strom zu trennen, offline zu scannen und wieder zu booten. Ich hatte die Hoffnung, dass dadurch eventuelle "geheim"-Mechanismen, die er beim Runterfahren hinterlegt nicht greifen. Hat nicht geklappt. ;)

just in case... vielleicht ists relevanter als angenommen.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
21.09.2005, 14:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Schritt 1 :

Erstelle eine neue Datei --> I:\bad

Schritt 2 :

Start - Ausführen - cmd (reinschreiben)

kopiere in das DOS-Fenster:


move I:\WINDOWS\System32\wp.bmp I:\bad

-- und klicke jedes Mal -- [enter]

move I:\WINDOWS\System32\spyware.ico I:\bad
move I:\WINDOWS\System32\spam.ico I:\bad
move I:\WINDOWS\System32\pharm.ico I:\bad
move I:\WINDOWS\System32\network.ico I:\bad
move I:\WINDOWS\sites.ini I:\bad
move I:\WINDOWS\System32\Date.ico I:\bad

Schritt 3 :

zippe und schicke die bad-Datei an Raman
I:\bad

Schritt 4:
loesche die bad-Datei ;)

weil die wininet.dll verseucht ist:
smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

----------------------------------------------------------------------------------------

das "riecht" sehr nach Virus:

I:\WINDOWS\winini32.exe.xxx
I:\WINDOWS\screen.html


einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Click Start > Ausfuehren> sigverif > OK
click OK and Start.
The computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

suche die winlogon.exe in sigverif.txt und poste es.


-

Zitat

---------
Winini32
http://www.sophos.de/virusinfo/analyses/vbspsymebh.html
http://www.sophos.de/virusinfo/analyses/w32agobotj.html
C:\WINDOWS\winini32.exe infected by "Trojan-Downloader.Win32.Agent.hz" Virus

Zitat

Darüber hinaus fügt er sich selbst in folgenden Schlüssel in den Eintrag SHELL = variable ein:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Der Trojaner-Downloader versucht, seinen Code in den Windows Explorer einzufügen. Dann erstellt er eine Verbindung mit einer der folgenden Websites:
vnp7s.net
zxserv0.com
dumpserv.com

Bei der Datei 'P54111925.so' handelt es sich um einen weiteren Trojaner-Dropper. Er wird als 'Trojan-Dropper.Win32.Small.xb' erkannt. Er legt zwei Dateien im Windows-Verzeichnis ab und führt diese aus:

popuper.exe
sites.ini
http://www.f-secure.de/v-desk/trdrsmwy.shtml

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 16:07
Member

Themenstarter

Beiträge: 45
#12 mittendrin in den Anleitungen... ;)

Habe den Eindruck, dass smitrem besser vom (noch infektierten) gebooteten System zu starten ist!? Der fuhrwerkt ja sonst auf meinem sauberen System rum, weil Systemvariablen verwendet werden.
Soll ich das tun(habe bisher nur die bad-Dateien entfernt, noch nicht wieder gebootet)?

@raman
Gilt das analog für den rootkitrevealer?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
21.09.2005, 16:14
Moderator

Beiträge: 7804
#13 Ja, du musst vom infizierten System Booten, sonst funktioniert es nicht. Kopiere aber vorher nochmal die saubere Winlogon.exe ins system32 und ins dllcache Verzeichniss...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 16:23
Moderator

Beiträge: 7804
#14 Nachtrag, du musst noch die iexplorer.exe schicken!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.09.2005, 17:04
Member

Themenstarter

Beiträge: 45
#15

Zitat

raman postete
Nachtrag, du musst noch die iexplorer.exe schicken!
ging soeben raus, ich warte noch auf kurze Bestätigung, bevor ich vom System boote. winlogons sind beide ersetzt.

Scannen der \windows\screen.html ergab:

Antivirus Version Update Result
AntiVir 6.32.0.6 09.21.2005 no virus found
Avast 4.6.695.0 09.21.2005 no virus found
AVG 718 09.21.2005 no virus found
Avira 6.32.0.6 09.21.2005 no virus found
BitDefender 7.2 09.21.2005 no virus found
CAT-QuickHeal 8.00 09.21.2005 no virus found
ClamAV devel-20050917 09.21.2005 no virus found
DrWeb 4.32b 09.21.2005 no virus found
eTrust-Iris 7.1.194.0 09.20.2005 no virus found
eTrust-Vet 11.9.1.0 09.21.2005 no virus found
F-Prot 3.16c 09.21.2005 no virus found
Ikarus 0.2.59.0 09.21.2005 no virus found
Kaspersky 4.0.2.24 09.21.2005 no virus found
McAfee 4587 09.21.2005 no virus found
NOD32v2 1.1228 09.21.2005 no virus found
Norman 5.70.10 09.21.2005 no virus found
Panda 8.02.00 09.21.2005 Spyware/Smitfraud
Sophos 3.97.0 09.21.2005 no virus found
Symantec 8.0 09.21.2005 no virus found
TheHacker 5.8.2.113 09.21.2005 no virus found
VBA32 3.10.4 09.21.2005 no virus found

leider war ich zu schnell mit der winini32.exe.xxx - hab sie mit shift gelöscht. Wenns nötig ist, könnte ich sie aus einem Acronis-Image mounten, macht leichte Umstände aber kein Problem.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 21.09.2005 um 17:48 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende