Trojanerverdacht- WINCNTRL.EXE

#1 Hallo,

Freunde von mir haben mich zu sich gerufen weil sie nicht mehr ins Internet kommen. Sie haben einen Modemanschluss wo auch wirklich nix mehr ging. Untersuchungen ergaben, dass trotzdem ein hoher Trafik durch das Modem ging.

Ich bin die Tipliste durchgegangen. eScan hat auch einige Trojaner/Backdoors gemeldet und entfernt. Ad-Aware und Search&Destroy haben nur die üblichen Cookies entdeckt.

Unmittelbar danach klappte der Verkehr mit dem Internet sehr gut, verschlechterte sich aber dann schnell wieder. Anscheined wurde etwas nachgeladen und der Trafik war wieder hoch.

Wenn ich nur die Modemverbiundung starte und kein Browser etc läuft ist doch ein grosser Trafik wahrzunehmen, vor allem Download (auf 1 Meg Download vielleicht 100k Upload). Alle erkennbaren Downloader (Windows-Update und ander Aktualisierungssoftware habe ich deaktiviert)

Mit HijackThis war nicht auffälliges zu finden. Ich hänge das Protokol hinten dran.

Anscheined ist noch irgendwas auf dem Rechner aktiv.

Logfile of HijackThis v1.99.1
Scan saved at 14:34:10, on 20.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\tools\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
C:\tools\eScan\avpm.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\locator.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\tools\eScan\MAILDISP.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\tools\eScan\SPOOLER.EXE
C:\tools\eScan\MAILSCAN.EXE
C:\tools\eScan\kavss.exe
C:\tools\HijackThis.exe
C:\WINNT\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\SoftwareDistribution\Download\S-1-5-18\ac2a12eeba2b68a9bdc73979b6e51fad\update\update.exe
C:\WINNT\system32\tftp.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\tools\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\tools\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\tools\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\tools\eScan\avpm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe

#2 Hallo@RogerN

da muss man mal tiefer graben, denn es finden sich bestimmt anonyme FTP-Server auf dem System

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 So, heute abend konnte ich bei meinen Bekannten den Test machen. Hier die Ergebnisse:

-------------------------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 006A-8B5F

Verzeichnis von C:\

23.11.2005 20:51 0 sys.txt
23.11.2005 20:50 5.537 system.txt
23.11.2005 20:50 140 systemtemp.txt
23.11.2005 20:49 93.575 system32.txt
23.11.2005 20:45 0 23990098.$$$
23.11.2005 20:45 4 AVPCallback.log
23.11.2005 20:37 402.653.184 pagefile.sys

------------------------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 006A-8B5F

Verzeichnis von C:\WINNT

23.11.2005 20:37 4.933.048 {00000002-00000000-0000000F-00001102-00000004-20021102}.CDF
23.11.2005 20:37 3.135 win.ini
23.11.2005 20:37 1.111.099 WindowsUpdate.log
20.11.2005 15:19 642.296 ShellIconCache
20.11.2005 15:14 6.233 ModemLog_MicroLink 56k Fun USB s.txt
20.11.2005 13:10 545 escan.dbf
19.11.2005 18:20 326 LEXSTAT.INI
19.11.2005 09:50 29.678 SchedLgU.Txt
15.11.2005 19:49 138 msicpl.ini
15.11.2005 19:37 16.956 WSSPORD.DAT
15.11.2005 19:23 81.156 winsbak2.reg
15.11.2005 19:23 11.026 winsbak.reg
15.11.2005 19:23 241 system.ini
05.10.2005 16:53 97 Loewe_4.ini
18.09.2005 14:33 286.720 iun507.exe

-----------------------------------------------------------------------
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 006A-8B5F

Verzeichnis von C:\WINNT\system32

23.11.2005 20:37 17.916 nvapps.xml
20.11.2005 15:14 0 TFTP1396
20.11.2005 15:00 118.272 TFTP1816
20.11.2005 14:34 0 TFTP1796
20.11.2005 13:45 9.728 TFTP1736
20.11.2005 13:28 0 TFTP1456
20.11.2005 12:45 0 TFTP1764
20.11.2005 12:20 0 TFTP1460
19.11.2005 18:53 0 TFTP1792
19.11.2005 09:50 384 DVCStateBkp-{00000002-00000000-0000000F-00001102-00000004-20021102}.dat
19.11.2005 09:50 1.080 settingsbkup.sfm
19.11.2005 09:50 1.080 settings.sfm
19.11.2005 09:50 384 DVCState-{00000002-00000000-0000000F-00001102-00000004-20021102}.dat
19.11.2005 09:50 30.528 BMXBkpCtrlState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx
19.11.2005 09:50 31.056 BMXStateBkp-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx
19.11.2005 09:50 30.528 BMXCtrlState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx
19.11.2005 09:50 31.056 BMXState-{00000002-00000000-0000000F-00001102-00000004-20021102}.rfx
17.11.2005 21:54 0 TFTP776
17.11.2005 21:29 21.504 TFTP1072
15.11.2005 19:24 6.498 eInstall.dat
05.10.2005 16:31 1.409 tmp205E3.FOT
21.08.2005 12:57 43.520 CmdLineExt03.dll

------------------------------------------------------------------------- Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 006A-8B5F

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

#4 ja...da sind sie alle....fein saeuberlich versammelt....

C:\WINNT\system32\TFTP1396
C:\WINNT\system32\TFTP1816
C:\WINNT\system32\TFTP1796
C:\WINNT\system32\TFTP1736
C:\WINNT\system32\TFTP1456
C:\WINNT\system32\TFTP1764
C:\WINNT\system32\TFTP1460
C:\WINNT\system32\TFTP1792
C:\WINNT\system32\TFTP776
C:\WINNT\system32\TFTP1072

loesche sie mit der Killbox:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ich war gestern abend wieder bei meinem Bekannten aber mit mässigem Erfolg.

Die angegebenen Dateien habe ich nach Anweisung gelöscht und dann habe ich den Scan mit Kaspersky versucht.

Nun ist es kein Vergnügen mit einem Modem 6.7 MByte herunter zu laden, aber nach ca. 4 MByte stockte der ganze Transfer. Man konnte die Bytes quasi einzeln zählen wie sie durch die Leitung kamen. Einen Blick auf die Verbindungsstatistik zeigte auch, das rund doppelt so viele Daten herunter geladen wurden als auf der Fortschrittsanzeige des Kaspersky-Downloads angegeben wurden.

Nach ca. 45 Minuten passierte dann garnichts mehr. Es lies sich auch nicht mehr zwischen den Windowsfenstern wechseln (d.h. ein Wechsel dauerte über eine Minute). Rund 90% der Rechnerleistung wurde dabei von svchost verbraten.

Ich hab dann den Rechner neu gebootet und es nochmal versucht. Dann bin ich aber nicht mehr auf die Kaspersky-Seiten gekommen. Es gab einen "Seite nicht gefunden" Fehler. Da es schon spät war hab ich da abgebrochen. Ich werde es am Wochenende nochmal versuchen.

Es sind übrigens nachher auch wieder Dateien der Form

C:\WINNT\system32\TFTPnnn

aufgetreten. Immer eine Datei mit angezeigter Länge und ein paar mit Länge 0.

#6 hier hilft nur noch formatieren...denn den Rootkit vom Backdoor hab ich nicht gefunden...wahrscheinlich muss ich die datfindbat sehen....Datumsmaessig bis Juli ...Juni ????....Mai ????

aber versuche es mal mit:
http://virus-protect.org/multiavtool.html
und poste die scanreports

-----------

TCPVIEW
http://www.sysinternals.com/Utilities/TcpView.html

starte es und speichere das Ergebniss in eine Datei, dessen Inhalt poste hier ebenfalls.

--------

rootkitrevealer, wenn du von der infizierten Platte bootest:
http://www.f-secure.com/blacklight/try.shtml
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Guten Morgen Sabina
Es gibt noch ein tool,noch keine 4mB gross DrWeb.Cureit
Direkt Download: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

__________
MfG Argus

#8 So ich habs nochmal versucht mit den Tools. Der Rootkitrevealer findet nichts. Den Kaspersky-Onlinescan konnte ich diesmal beenden aber er hat nichts gefunden.

Beim Multi-AV kam esdann wieder zu dem Fall das nach dem die ersten 6 MByte von 7.8 MByte herunter geladen wurden dasganze System stand. DasProgramm TCPVIEW zeigte dann auch dafür die Ursache. Anscheind werden laufend neue Prozesse erzeugt und beendet die aufs Internet zugreifen.Und das in einer solchen Zahl das die Maschien steht. Im TCPVIEW scrollte die Anzeige ohne Ende und blinkte dauernd Grün und Rot. Ich habe kurz hintereinander 4 Files gespeichert die ich mal hier anhänge.

Ich seh grad dasgeht nicht.Ich werde sie zuhause mal ins Web stellen und den Link hier ablegen.

Hier sind sie:

http://www.textbox.de/LISTE.txt
http://www.textbox.de/LISTE2.txt
http://www.textbox.de/LISTE3.txt
http://www.textbox.de/LISTE4.txt

#9 der PC ist gehackt...wie schon von mir gesagt. Formatiere so schnell als moeglich.--> oder loesche: WINCNTRL.EXE [C:\WINDOWS\system32\wincntrl.exe]

dann poste noch mal die 4 Logs von Datfindbat, um die neuerstellten TFTP-Server zu finden/loeschen

-------------------------------------------------------------------------------
68.118.236.26
Blacklist Status: Listed (details)
Record Type: IP Address
IP Location: United States United States - Massachusetts - Wilbraham - Charter Communications
Reverse IP: No websites hosted using this IP address
Reverse DNS: 68-118-236-26.dhcp.oxfr.ma.charter.com

Zitat

wincntrl.exe:272 TCP d83-176-141-227.cust.tele2.de:1139 68.118.236.26:9555 ESTABLISHED
wincntrl.exe:272 TCP d83-176-141-227.cust.tele2.de:1552 38.113.142.149:http ESTABLISHED

38.113.142.149
Blacklist Status: Clear
Record Type: IP Address
IP Location: United States United States - Performance Systems International Inc
Reverse IP: No websites hosted using this IP address
Reverse DNS: server1288.alphared.com

-----------------------

Summary of WINCNTRL.EXE
Worm.Rbot Variant.Process


--------------------
Hier kannst du dich beschweren

Suchbegriff: 68.118.236.26
Adresse: whois.arin.net
OrgName: Charter Communications --> hier bruestet er sich, wieder einen PC gehackt zu haben
OrgID: CC04
Address: 12405 Powerscourt Dr.
City: St. Louis
StateProv: MO
PostalCode: 63131
Country: US

NetRange: 68.112.0.0 - 68.119.255.255
CIDR: 68.112.0.0/13
NetName: CHARTER-NET-6BLK
NetHandle: NET-68-112-0-0-1
Parent: NET-68-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.CHARTER.COM
NameServer: NS2.CHARTER.COM
NameServer: NS3.CHARTER.COM
NameServer: NS4.CHARTER.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Comment: "For NETWORK ABUSE issues, please email abuse@charter.net"
RegDate: 2002-03-14
Updated: 2004-04-14

RTechHandle: IPADD1-ARIN
RTechName: IPAddressing
RTechPhone: +1-314-288-3889
RTechEmail: ipaddressing@chartercom.com

OrgAbuseHandle: ABUSE19-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-314-288-3111
OrgAbuseEmail: abuse@charter.net

OrgTechHandle: IPADD1-ARIN
OrgTechName: IPAddressing
OrgTechPhone: +1-314-288-3889
OrgTechEmail: ipaddressing@chartercom.com

OrgName: Charter Communications
OrgID: CC04
Address: 12405 Powerscourt Dr.
City: St. Louis
StateProv: MO
PostalCode: 63131
Country: US

NetRange: 68.118.224.0 - 68.118.255.255
CIDR: 68.118.224.0/19
NetName: WORCT-MA-68-118-224
NetHandle: NET-68-118-224-0-1
Parent: NET-68-112-0-0-1
NetType: Reallocated
Comment:
RegDate: 2002-11-13
Updated: 2003-08-27

OrgAbuseHandle: ABUSE19-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-314-288-3111
OrgAbuseEmail: abuse@charter.net

OrgTechHandle: IPADD1-ARIN
OrgTechName: IPAddressing
OrgTechPhone: +1-314-288-3889
OrgTechEmail: ipaddressing@chartercom.com

# ARIN WHOIS database, last updated 2005-11-26 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

------------------------

Suchbegriff: 38.113.142.149
Adresse: rwhois.cogentco.com:4321

Suchergebnis:

%rwhois V-1.5:0010b0:00 rwhois.cogentco.com
network:ID:NET-26718C0016
network:Network-Name:NET-26718C0016
network:IP-Network:38.113.140.0/22
network:Org-Name:Alpha Red/Tulin Online
network:Street-Address:1415 Louisiana St STE 2220
network:City:Houston ->> hier sitzt der Hacker
network:State:TX
networkostal-Code:77002
network:Country-Code:US
network:Tech-Contact:ZC108-ARIN
network:Updated:2005-10-31 19:03:48
network:Updated-By:jknowles
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ah danke das werde ich machen.

Ich hab meine Bekannten aber schon halb darauf vorbereitet das das System neu installiert werden muss. Vielleicht beruhigt es sie ja wenn ihr Gast jetzt einen Namen hat

#11 vielleicht kann man das ja noch reinigen, indem man WINCNTRL.EXE loescht....(u.a.)
Die Bekannte muss unbedingt alle Passworte usw. aendern, denn der "Gast" hat uneingeschraenkten Zugang zu allen Daten auf dem System.

Wenn du WINCNTRL.EXE geloescht hast, poste noch mal die datfindbat....ca. 5 Monate von Datum her
+
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Nö, der einfache Weg ist leider blockiert.

WINCNTRL.EXE gibt es nicht im Filesystem, und auch keine Datei die den Text "WINCNTRL" enthält. Der Autor hat sich also etwas mehr Mühe gegeben.

#13 schauen wir mal nach:

Download Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

wincntrl.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------------------
Start -- Ausfuehren --- cmd
reinkopieren:

Zitat

dir c:\winnt\system32\wincntrl.exe /a h /s > files.txt
start notepad files.txt

der Editor oeffnet sich--> poste den text

------------------------------------------------------------------------------------------
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. Kopiere diesen Code rein:

Zitat

@ECHO OFF
attrib -s -r -h "c:\winnt\system32\wincntrl.exe"
del "c:\winnt\system32\wincntrl.exe"
exit

3. Speichere die Datei als Rem.bat auf Desktop
4. Doppelklick auf diese Datei Rem.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Im Explorer sehe ich auch Dateien mit hidden und system-Attribut, daher werden die beiden letzten Punkte wohl nicht so viel bringen denk ich. Oder gibt es Programme die die Dateiliste im Explorer beeinflussen aber die in einer cmd-Shell nicht?

#15 poste dieses Log
http://virus-protect.org/winpfind.html

und hier arbeite den dll und auch den exe -Scan ab und poste es
http://virus-protect.org/artikel/tools/dll.html
__________
MfG Sabina

rund um die PC-Sicherheit