Integitor,Backdoor Trojaner

#0
04.10.2005, 00:58
...neu hier

Beiträge: 3
#1 Hallo Leute!
Ich habe neulich meinen Rechner repariert vom Hersteller zurück bekommen. Dabei wurden Treiberkonflikte unter Windows und ein defektes Mainboard diagnostiziert. Das Mainboard wurde gewechselt, Windows per Image installiert und ein BIOS Update gemacht.
Ich bin dann zunächst ungeschützt ins Netz gegangen. Es öffneten sich natürlich gleich diese „Nachrichtendienst“ Fenster, mein PC wäre unsicher. Kurz darauf fuhr sich der Rechner durch das NT-Autorität/System herunter. Der Systemprozess C:\WINDOWS\System32\lsass.exe wurde durch Statuscode 128 beendet. Im Folgenden stellte ich im Autostart Menü die Einträge Integitor und mmsvc 32 fest. Integitor konnte ich nicht deaktivieren. Ich reinigte mit Spybot und Adaware und setzte AntiVir ein. Die erkannten auch Schädlinge, welche ich dann beseitigte. AntiVir erkannte z.B. TR/Qhost.AA, WORM/Rbot.53202, WORM/SDBot.212992.8, WORM/Gaobot 108032.9, BDS/Codbot.AD. Integitor ließ sich aber nicht aus dem Autostart Menü entfernen. Der Smartsurfer und der Explorer hingen sich nach kurzem Surfen auf (keine Rückmeldung, sofort beenden ging nicht), ich konnte den PC zudem nicht mehr herunterfahren sondern musste ihn per Knopfdruck ausschalten. Mit Escan erkannte ich dann weitere Viren die AntiVir nicht erkannte. Manuell habe ich gelöscht: C:\WINDOWS\system32\i da dort Trojan-Downloader.BAT.Ftp.ab gefunden wurde, C:\WINDOWS\system32\integitor.exe, da dort Backdoor.Win32.Agobot.gen gefunden wurde. Direkt mit AntiVir löschte ich noch 4 Dateien unter C:\WINDOWS\system32\drivers\etc\hosts\... und C:\Programme\AVPersonal\INFECTED\HOSTS.VIR. Ich tat dies mit deaktivierter Systemwiederherstellung im abgesicherten Modus. Danach war Integitor auch tatsächlich im Autostart Menü deaktiviert und ich dachte es wäre erledigt. Smartsurfer und Explorer hängen sich aber nach gewisser zeit immer wieder auf. Ich weiß nicht was ich noch tun soll. Bitte helft mir, wenn ihr könnt!
Hier noch mein letzter HJT Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 00:20:33, on 04.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Secure System] integitor.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
Seitenanfang Seitenende
04.10.2005, 12:33
Moderator

Beiträge: 7805
#2 Das ganze waere schon ein Grund, denREchner wieder neu aufzusetzen. Leider hast du die Systemwiederherstellung deaktiviert, sonst haette man das System vieleicht so wieder sauber bekommen. ;)

Das was man derezeit an boesem sieht, ist das, bitte im abgesicherten Modus fixen:

O4 - HKLM\..\RunServices: [Secure System] integitor.exe
O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

Danach kannst du den Rechner neu starten und deine Windowsfirewall anschalten.
http://support.microsoft.com/?scid=kb;de;283673

Dann kannst du damit beginnen, das Serevice Pack 2 zu installieren. Hole dir es irgendwo auf cd oder SUB stik. Am besten von einem Bekannten, der DSL oder aehnliches besitzt.

Teste nach dem neustart und dem System absichern diese Datei C:\WINDOWS\csrss.exe bitte hier: http://virusscan.jotti.org

Poste das Ergebniss incl. einem neuen Hijackthis log
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.10.2005, 23:50
...neu hier

Themenstarter

Beiträge: 3
#3 Also danke erstmal raman. Ich habe deine Anleitungen befolgt und 2 crss Dateien gefunden und beide scannen lassen:

!.
Service load: 0% 100%

File: csrss.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 219581faf8244984032fdb4f673dc1d5
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing

Last file scanned at least one scanner reported something about: love.jpg, detected by:
Scanner Malware name
AntiVir Exploit/MS04-028.JPEG.A
ArcaVir Exploit.Jpeg
Avast Win32:Haxdoor-AD
AVG Antivirus Exploit.MS04-028.Downloader
BitDefender Exploit.Win32.MS04-028.Gen
ClamAV Exploit.W32.MS04-028
Dr.Web Exploit.MS04-028
F-Prot Antivirus X
Fortinet W32/JPG.Downloader
Kaspersky Anti-Virus Exploit.Win32.MS04-028.a
NOD32 Win32/Exploit.MS04-028
Norman Virus Control JPEG/Exploit.gen
UNA X
VBA32 Exploit.JPG




2.
Service load: 0% 100%

File: csrss.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 219581faf8244984032fdb4f673dc1d5
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing




Last file scanned at least one scanner reported something about: Flashget.exe, detected by:
Scanner Malware name
AntiVir Worm/Procil.a.1
ArcaVir Trojan.Spy.Sckeylog.V
Avast Win32:Keylog-016
AVG Antivirus PSW.Generic.U
BitDefender Trojan.SCKeyLog.20
ClamAV Trojan.SCKeylog-7
Dr.Web Trojan.MulDrop.2114
F-Prot Antivirus W32/SCkeylogger.G@spy
Fortinet W32/Sckeylog.V-tr
Kaspersky Anti-Virus Trojan-PSW.Win32.SCKeyLog.ac
NOD32 Win32/Spy.SCKeyLog
Norman Virus Control X
UNA X
VBA32 Trojan-Spy.Win32.SCKeyLog.v

Hier noch der aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:44:26, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\TOURAP~1\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
Seitenanfang Seitenende
05.10.2005, 05:44
Moderator

Beiträge: 7805
#4 Das sieht schon ganz gut aus! ;)

Nur das das sauber sein soll, ist fast unmoeglich: C:\WINDOWS\csrss.exe
Schicke die Datei bitte an unten angegebene Emailadresse. Bitte iese Datei, niht die aus dem System32 Ordner, denn das ist eine Systemdatei.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende