Trojanerverdacht- WINCNTRL.EXE |
||
---|---|---|
#0
| ||
20.11.2005, 16:58
...neu hier
Beiträge: 8 |
||
|
||
22.11.2005, 12:27
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@RogerN
da muss man mal tiefer graben, denn es finden sich bestimmt anonyme FTP-Server auf dem System CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.11.2005, 20:53
...neu hier
Themenstarter Beiträge: 8 |
#3
So, heute abend konnte ich bei meinen Bekannten den Test machen. Hier die Ergebnisse:
------------------------------------------------------------------------- Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 006A-8B5F Verzeichnis von C:\ 23.11.2005 20:51 0 sys.txt 23.11.2005 20:50 5.537 system.txt 23.11.2005 20:50 140 systemtemp.txt 23.11.2005 20:49 93.575 system32.txt 23.11.2005 20:45 0 23990098.$$$ 23.11.2005 20:45 4 AVPCallback.log 23.11.2005 20:37 402.653.184 pagefile.sys ------------------------------------------------------------------------ Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 006A-8B5F Verzeichnis von C:\WINNT 23.11.2005 20:37 4.933.048 {00000002-00000000-0000000F-00001102-00000004-20021102}.CDF 23.11.2005 20:37 3.135 win.ini 23.11.2005 20:37 1.111.099 WindowsUpdate.log 20.11.2005 15:19 642.296 ShellIconCache 20.11.2005 15:14 6.233 ModemLog_MicroLink 56k Fun USB s.txt 20.11.2005 13:10 545 escan.dbf 19.11.2005 18:20 326 LEXSTAT.INI 19.11.2005 09:50 29.678 SchedLgU.Txt 15.11.2005 19:49 138 msicpl.ini 15.11.2005 19:37 16.956 WSSPORD.DAT 15.11.2005 19:23 81.156 winsbak2.reg 15.11.2005 19:23 11.026 winsbak.reg 15.11.2005 19:23 241 system.ini 05.10.2005 16:53 97 Loewe_4.ini 18.09.2005 14:33 286.720 iun507.exe ----------------------------------------------------------------------- Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 006A-8B5F Verzeichnis von C:\WINNT\system32 23.11.2005 20:37 17.916 nvapps.xml 20.11.2005 15:14 0 TFTP1396 20.11.2005 15:00 118.272 TFTP1816 20.11.2005 14:34 0 TFTP1796 20.11.2005 13:45 9.728 TFTP1736 20.11.2005 13:28 0 TFTP1456 20.11.2005 12:45 0 TFTP1764 20.11.2005 12:20 0 TFTP1460 19.11.2005 18:53 0 TFTP1792 19.11.2005 09:50 384 DVCStateBkp-{00000002-00000000-0000000F-00001102-00000004-20021102}.dat 19.11.2005 09:50 1.080 settingsbkup.sfm 19.11.2005 09:50 1.080 settings.sfm 19.11.2005 09:50 384 DVCState-{00000002-00000000-0000000F-00001102-00000004-20021102}.dat 19.11.2005 09:50 30.528 BMXBkpCtrlState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx 19.11.2005 09:50 31.056 BMXStateBkp-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx 19.11.2005 09:50 30.528 BMXCtrlState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx 19.11.2005 09:50 31.056 BMXState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx 17.11.2005 21:54 0 TFTP776 17.11.2005 21:29 21.504 TFTP1072 15.11.2005 19:24 6.498 eInstall.dat 05.10.2005 16:31 1.409 tmp205E3.FOT 21.08.2005 12:57 43.520 CmdLineExt03.dll ------------------------------------------------------------------------- Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 006A-8B5F Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp |
|
|
||
23.11.2005, 23:27
Ehrenmitglied
Beiträge: 29434 |
#4
ja...da sind sie alle....fein saeuberlich versammelt....
C:\WINNT\system32\TFTP1396 C:\WINNT\system32\TFTP1816 C:\WINNT\system32\TFTP1796 C:\WINNT\system32\TFTP1736 C:\WINNT\system32\TFTP1456 C:\WINNT\system32\TFTP1764 C:\WINNT\system32\TFTP1460 C:\WINNT\system32\TFTP1792 C:\WINNT\system32\TFTP776 C:\WINNT\system32\TFTP1072 loesche sie mit der Killbox: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" dann scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.11.2005, 09:35
...neu hier
Themenstarter Beiträge: 8 |
#5
Ich war gestern abend wieder bei meinem Bekannten aber mit mässigem Erfolg.
Die angegebenen Dateien habe ich nach Anweisung gelöscht und dann habe ich den Scan mit Kaspersky versucht. Nun ist es kein Vergnügen mit einem Modem 6.7 MByte herunter zu laden, aber nach ca. 4 MByte stockte der ganze Transfer. Man konnte die Bytes quasi einzeln zählen wie sie durch die Leitung kamen. Einen Blick auf die Verbindungsstatistik zeigte auch, das rund doppelt so viele Daten herunter geladen wurden als auf der Fortschrittsanzeige des Kaspersky-Downloads angegeben wurden. Nach ca. 45 Minuten passierte dann garnichts mehr. Es lies sich auch nicht mehr zwischen den Windowsfenstern wechseln (d.h. ein Wechsel dauerte über eine Minute). Rund 90% der Rechnerleistung wurde dabei von svchost verbraten. Ich hab dann den Rechner neu gebootet und es nochmal versucht. Dann bin ich aber nicht mehr auf die Kaspersky-Seiten gekommen. Es gab einen "Seite nicht gefunden" Fehler. Da es schon spät war hab ich da abgebrochen. Ich werde es am Wochenende nochmal versuchen. Es sind übrigens nachher auch wieder Dateien der Form C:\WINNT\system32\TFTPnnn aufgetreten. Immer eine Datei mit angezeigter Länge und ein paar mit Länge 0. |
|
|
||
25.11.2005, 11:25
Ehrenmitglied
Beiträge: 29434 |
#6
hier hilft nur noch formatieren...denn den Rootkit vom Backdoor hab ich nicht gefunden...wahrscheinlich muss ich die datfindbat sehen....Datumsmaessig bis Juli ...Juni ????....Mai ????
aber versuche es mal mit: http://virus-protect.org/multiavtool.html und poste die scanreports ----------- TCPVIEW http://www.sysinternals.com/Utilities/TcpView.html starte es und speichere das Ergebniss in eine Datei, dessen Inhalt poste hier ebenfalls. -------- rootkitrevealer, wenn du von der infizierten Platte bootest: http://www.f-secure.com/blacklight/try.shtml __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.11.2005, 11:29
Ehrenmitglied
Beiträge: 6028 |
#7
Guten Morgen Sabina
Es gibt noch ein tool,noch keine 4mB gross DrWeb.Cureit Direkt Download: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe __________ MfG Argus |
|
|
||
27.11.2005, 18:48
...neu hier
Themenstarter Beiträge: 8 |
#8
So ich habs nochmal versucht mit den Tools. Der Rootkitrevealer findet nichts. Den Kaspersky-Onlinescan konnte ich diesmal beenden aber er hat nichts gefunden.
Beim Multi-AV kam esdann wieder zu dem Fall das nach dem die ersten 6 MByte von 7.8 MByte herunter geladen wurden dasganze System stand. DasProgramm TCPVIEW zeigte dann auch dafür die Ursache. Anscheind werden laufend neue Prozesse erzeugt und beendet die aufs Internet zugreifen.Und das in einer solchen Zahl das die Maschien steht. Im TCPVIEW scrollte die Anzeige ohne Ende und blinkte dauernd Grün und Rot. Ich habe kurz hintereinander 4 Files gespeichert die ich mal hier anhänge. Ich seh grad dasgeht nicht.Ich werde sie zuhause mal ins Web stellen und den Link hier ablegen. Hier sind sie: http://www.textbox.de/LISTE.txt http://www.textbox.de/LISTE2.txt http://www.textbox.de/LISTE3.txt http://www.textbox.de/LISTE4.txt Dieser Beitrag wurde am 27.11.2005 um 19:25 Uhr von RogerN editiert.
|
|
|
||
27.11.2005, 22:03
Ehrenmitglied
Beiträge: 29434 |
#9
der PC ist gehackt...wie schon von mir gesagt. Formatiere so schnell als moeglich.--> oder loesche: WINCNTRL.EXE [C:\WINDOWS\system32\wincntrl.exe]
dann poste noch mal die 4 Logs von Datfindbat, um die neuerstellten TFTP-Server zu finden/loeschen ------------------------------------------------------------------------------- 68.118.236.26 Blacklist Status: Listed (details) Record Type: IP Address IP Location: United States United States - Massachusetts - Wilbraham - Charter Communications Reverse IP: No websites hosted using this IP address Reverse DNS: 68-118-236-26.dhcp.oxfr.ma.charter.com Zitat wincntrl.exe:272 TCP d83-176-141-227.cust.tele2.de:1139 68.118.236.26:9555 ESTABLISHED38.113.142.149 Blacklist Status: Clear Record Type: IP Address IP Location: United States United States - Performance Systems International Inc Reverse IP: No websites hosted using this IP address Reverse DNS: server1288.alphared.com ----------------------- Summary of WINCNTRL.EXE Worm.Rbot Variant.Process -------------------- Hier kannst du dich beschweren Suchbegriff: 68.118.236.26 Adresse: whois.arin.net OrgName: Charter Communications --> hier bruestet er sich, wieder einen PC gehackt zu haben OrgID: CC04 Address: 12405 Powerscourt Dr. City: St. Louis StateProv: MO PostalCode: 63131 Country: US NetRange: 68.112.0.0 - 68.119.255.255 CIDR: 68.112.0.0/13 NetName: CHARTER-NET-6BLK NetHandle: NET-68-112-0-0-1 Parent: NET-68-0-0-0-0 NetType: Direct Allocation NameServer: NS1.CHARTER.COM NameServer: NS2.CHARTER.COM NameServer: NS3.CHARTER.COM NameServer: NS4.CHARTER.COM Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE Comment: "For NETWORK ABUSE issues, please email abuse@charter.net" RegDate: 2002-03-14 Updated: 2004-04-14 RTechHandle: IPADD1-ARIN RTechName: IPAddressing RTechPhone: +1-314-288-3889 RTechEmail: ipaddressing@chartercom.com OrgAbuseHandle: ABUSE19-ARIN OrgAbuseName: Abuse OrgAbusePhone: +1-314-288-3111 OrgAbuseEmail: abuse@charter.net OrgTechHandle: IPADD1-ARIN OrgTechName: IPAddressing OrgTechPhone: +1-314-288-3889 OrgTechEmail: ipaddressing@chartercom.com OrgName: Charter Communications OrgID: CC04 Address: 12405 Powerscourt Dr. City: St. Louis StateProv: MO PostalCode: 63131 Country: US NetRange: 68.118.224.0 - 68.118.255.255 CIDR: 68.118.224.0/19 NetName: WORCT-MA-68-118-224 NetHandle: NET-68-118-224-0-1 Parent: NET-68-112-0-0-1 NetType: Reallocated Comment: RegDate: 2002-11-13 Updated: 2003-08-27 OrgAbuseHandle: ABUSE19-ARIN OrgAbuseName: Abuse OrgAbusePhone: +1-314-288-3111 OrgAbuseEmail: abuse@charter.net OrgTechHandle: IPADD1-ARIN OrgTechName: IPAddressing OrgTechPhone: +1-314-288-3889 OrgTechEmail: ipaddressing@chartercom.com # ARIN WHOIS database, last updated 2005-11-26 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. ------------------------ Suchbegriff: 38.113.142.149 Adresse: rwhois.cogentco.com:4321 Suchergebnis: %rwhois V-1.5:0010b0:00 rwhois.cogentco.com network:ID:NET-26718C0016 network:Network-Name:NET-26718C0016 network:IP-Network:38.113.140.0/22 network:Org-Name:Alpha Red/Tulin Online network:Street-Address:1415 Louisiana St STE 2220 network:City:Houston ->> hier sitzt der Hacker network:State:TX networkostal-Code:77002 network:Country-Code:US network:Tech-Contact:ZC108-ARIN network:Updated:2005-10-31 19:03:48 network:Updated-By:jknowles __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 09:27
...neu hier
Themenstarter Beiträge: 8 |
#10
Ah danke das werde ich machen.
Ich hab meine Bekannten aber schon halb darauf vorbereitet das das System neu installiert werden muss. Vielleicht beruhigt es sie ja wenn ihr Gast jetzt einen Namen hat |
|
|
||
28.11.2005, 10:04
Ehrenmitglied
Beiträge: 29434 |
#11
vielleicht kann man das ja noch reinigen, indem man WINCNTRL.EXE loescht....(u.a.)
Die Bekannte muss unbedingt alle Passworte usw. aendern, denn der "Gast" hat uneingeschraenkten Zugang zu allen Daten auf dem System. Wenn du WINCNTRL.EXE geloescht hast, poste noch mal die datfindbat....ca. 5 Monate von Datum her + ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - scannen - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 19:52
...neu hier
Themenstarter Beiträge: 8 |
#12
Nö, der einfache Weg ist leider blockiert.
WINCNTRL.EXE gibt es nicht im Filesystem, und auch keine Datei die den Text "WINCNTRL" enthält. Der Autor hat sich also etwas mehr Mühe gegeben. |
|
|
||
29.11.2005, 01:01
Ehrenmitglied
Beiträge: 29434 |
#13
schauen wir mal nach:
Download Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) wincntrl.exe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------------------ Start -- Ausfuehren --- cmd reinkopieren: Zitat dir c:\winnt\system32\wincntrl.exe /a h /s > files.txtder Editor oeffnet sich--> poste den text ------------------------------------------------------------------------------------------ 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. Kopiere diesen Code rein: Zitat @ECHO OFF3. Speichere die Datei als Rem.bat auf Desktop 4. Doppelklick auf diese Datei Rem.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.11.2005, 09:14
...neu hier
Themenstarter Beiträge: 8 |
#14
Im Explorer sehe ich auch Dateien mit hidden und system-Attribut, daher werden die beiden letzten Punkte wohl nicht so viel bringen denk ich. Oder gibt es Programme die die Dateiliste im Explorer beeinflussen aber die in einer cmd-Shell nicht?
|
|
|
||
29.11.2005, 10:36
Ehrenmitglied
Beiträge: 29434 |
#15
poste dieses Log
http://virus-protect.org/winpfind.html und hier arbeite den dll und auch den exe -Scan ab und poste es http://virus-protect.org/artikel/tools/dll.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Freunde von mir haben mich zu sich gerufen weil sie nicht mehr ins Internet kommen. Sie haben einen Modemanschluss wo auch wirklich nix mehr ging. Untersuchungen ergaben, dass trotzdem ein hoher Trafik durch das Modem ging.
Ich bin die Tipliste durchgegangen. eScan hat auch einige Trojaner/Backdoors gemeldet und entfernt. Ad-Aware und Search&Destroy haben nur die üblichen Cookies entdeckt.
Unmittelbar danach klappte der Verkehr mit dem Internet sehr gut, verschlechterte sich aber dann schnell wieder. Anscheined wurde etwas nachgeladen und der Trafik war wieder hoch.
Wenn ich nur die Modemverbiundung starte und kein Browser etc läuft ist doch ein grosser Trafik wahrzunehmen, vor allem Download (auf 1 Meg Download vielleicht 100k Upload). Alle erkennbaren Downloader (Windows-Update und ander Aktualisierungssoftware habe ich deaktiviert)
Mit HijackThis war nicht auffälliges zu finden. Ich hänge das Protokol hinten dran.
Anscheined ist noch irgendwas auf dem Rechner aktiv.
Logfile of HijackThis v1.99.1
Scan saved at 14:34:10, on 20.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\tools\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
C:\tools\eScan\avpm.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\locator.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\tools\eScan\MAILDISP.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\tools\eScan\SPOOLER.EXE
C:\tools\eScan\MAILSCAN.EXE
C:\tools\eScan\kavss.exe
C:\tools\HijackThis.exe
C:\WINNT\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\SoftwareDistribution\Download\S-1-5-18\ac2a12eeba2b68a9bdc73979b6e51fad\update\update.exe
C:\WINNT\system32\tftp.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\tools\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\tools\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\tools\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\tools\eScan\avpm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe