Komisches Fenster in XP beim Abmelden/Anmelden

#1 Hi,
ich habe hier ein Laptop mit XP SP1, das voller Spyware war. Leider kann ich es nicht neu aufsetzen, da darauf so viele Programme installiert sind, daß es Tage kosten würde.

Eigentlich habe ich alles gefunden und entfernt (?).

Das einzige Problem, das ich noch habe, ist ein Fenster, daß beim Ummelden (nicht beim Neustart!) vor der Windows-Anmeldung aufgeht. Es ist ein Windows-Fenster, daß in der Titelzeile und im Textbereich kryptische Zeichen enthält und sonst nur einen OK-Button. Läßt man das Fenster längere Zeit offen, ändern sich sowohl Titelzeile als auch der Text. Es sind wohl Registry-Daten, die darin dargestellt werde; so hatte ich einmal einen Verweis auf pci_Vend..., allerdings nicht den kompletten String.

Folgendes habe ich schon gemacht (und dabei diversen Mist entfernt):

Massenhaft versteckte Dateien (die trotz "versteckte Dateien anzeigen" weder im Explorer noch im TotalCommander angezeigt wurden) mit ERD Commander entfernt, so z.B. den ganzen HCLEAN32-Mist
HijackThis ist clean
MWAV (eScan) findet nichts mehr
RootkitRevealer ist clean
BlBeta ist clean
DatFind, FindT, SilentRunners, RkFiles finden nichts mehr
SpyBot 1.4 und AdAware 1.06 (jeweils mit neuesten Updates) finden nichts mehr
F-Prot (natürlich auch mit neuesten Signaturen) findet nichts mehr
WareoutRemover benutzt

Wie werde ich das Fenster los???

Und, wenn ich schon beim Fragen bin:
Wie kann man solche "super"-versteckten Dateien anzeigen??

Vielen Dank im Voraus!
Fussel12


Hier ist noch ein aktuelles HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:09:08, on 26.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Totalcmd\TOTALCMD.EXE
D:\Finger.weg\Anti-Spy\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{A312FA48-9E32-4875-AAA8-17C981C47A76}: NameServer = 192.168.55.254
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

#2 Fussel12

ohne das ich verspreche, dass ich was finde
kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,
fein, daß Du mir helfen willst!
Hier sind sie. Ich habe dabei selbst noch etwas gefunden: Wo kommen REGEDIT.COM und R.COM her?
Die Datei mit dem singulären "i" in System32 ist Absicht: So habe ich neulich mal vermieden, daß sich eine Malware dauernd im lokalen Netz ausgebreitet hat...
Vielen Dank!
Fussel12

P.S.: Ich habe einen Teil des system32-Listings weggelassen, da anscheinend der Platz nicht reichte: Alles mit Datum 18.08.01 12:00 fehlt.

Datenträger in Laufwerk C: ist ACER60_V1
Volumeseriennummer: 8428-2421

Verzeichnis von C:\

26.11.2005 19:38 0 sys.txt
26.11.2005 19:38 7.406 system.txt
26.11.2005 19:38 850 systemtemp.txt
26.11.2005 19:37 103.919 system32.txt
26.11.2005 19:36 1.610.612.736 pagefile.sys
25.11.2005 10:53 429 datFind.bat
24.11.2005 15:55 194 boot.ini
19.04.2005 15:01 19.456 INFO.doc
09.04.2005 13:21 600 burner.log
02.02.2005 15:05 6 ISACER.ID
09.08.2004 15:32 0 IO.SYS
09.08.2004 15:32 0 AUTOEXEC.BAT
09.08.2004 15:32 0 MSDOS.SYS
09.08.2004 15:32 0 CONFIG.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 12:00 4.952 bootfont.bin
17 Datei(en) 1.611.033.424 Bytes
0 Verzeichnis(se), 16.444.440.576 Bytes frei


Datenträger in Laufwerk C: ist ACER60_V1
Volumeseriennummer: 8428-2421

Verzeichnis von C:\WINDOWS

26.11.2005 19:37 3.422 wincmd.ini
26.11.2005 19:37 157 wiadebug.log
26.11.2005 19:36 0 0.log
26.11.2005 19:36 2.048 bootstat.dat
26.11.2005 12:46 32.552 SchedLgU.Txt
26.11.2005 12:46 50 wiaservc.log
26.11.2005 10:56 711.468 ntbtlog.txt
26.11.2005 08:43 1.252.197 setupapi.log
25.11.2005 13:55 204 MWAV.LOG
24.11.2005 15:55 246 system.ini
24.11.2005 15:55 1.190 win.ini
24.11.2005 10:48 182 hpbafd.ini
24.11.2005 10:28 63.251 tsoc.log
24.11.2005 10:28 18.319 netfxocm.log
24.11.2005 10:28 6.281 ocmsn.log
24.11.2005 10:28 5.242 tabletoc.log
24.11.2005 10:28 5.829 msgsocm.log
24.11.2005 10:28 36.753 ntdtcsetup.log
24.11.2005 10:28 57.826 comsetup.log
24.11.2005 10:28 1.943 imsins.log
24.11.2005 10:28 214.659 iis6.log
24.11.2005 10:28 94.763 ocgen.log
24.11.2005 10:28 85.244 FaxSetup.log
24.11.2005 10:28 48.988 msmqinst.log
22.11.2005 16:37 327.146 setupact.log
21.11.2005 15:05 2.455 imsins.BAK
21.11.2005 08:04 116 NeroDigital.ini
20.11.2005 09:55 0 bhcekc.xu_
18.11.2005 15:02 3.832 ModemLog_Agere Systems AC'97 Modem.txt
18.11.2005 07:31 54.156 QTFont.qfn
15.11.2005 16:47 1.409 QTFont.for
14.11.2005 15:15 70 wpd99.dr_
08.11.2005 17:26 12.320 ModemLog_Fusion UMTS GPRS - 3G Modem.txt
03.11.2005 15:25 17.358 Windows Update.log
01.11.2005 18:05 714 QUICKEN.INI
24.10.2005 18:47 27 INTUIT.INI
03.10.2005 08:56 196.608 loader.dll
03.10.2005 08:56 237.568 NwtGatewayDLL.dll
03.10.2005 08:56 1.109 NwtGatewayConfig.ini
30.09.2005 08:17 4.544 MSOClip.232
30.09.2005 08:17 10.304 MSOPrefs.232
11.09.2005 15:05 69.515 hpoins05.dat
11.09.2005 14:55 16.206 KB822603.log
11.09.2005 14:54 1.198 avmcoins.log
11.09.2005 14:39 53 hpoVG.dat
23.05.2005 07:52 2.171 sites.in_
17.05.2005 21:23 59 LTDLG13N.INI
07.05.2005 09:10 23.061 Hardcopy.log
07.05.2005 09:10 13.596 hardcopy.del
07.05.2005 09:10 380.928 SwSetupu.exe
04.05.2005 12:57 176 EventSystem.log
29.04.2005 09:20 4.506 req.log
19.04.2005 17:58 0 email.log
11.04.2005 17:17 12.288 Thumbs.db
06.03.2005 16:32 150 pagesuit.ini
18.02.2005 10:17 58 ccolwiz.ini
03.02.2005 16:34 24 ejaymp3.inf
03.02.2005 16:34 36 ejaymp3x.inf
02.02.2005 15:42 2.510 Microsoft.MIF
02.02.2005 15:42 2.464 $_hpcst$.hpc
02.02.2005 14:45 52 intuprof.ini
02.02.2005 14:45 30 INTURS.DAT
02.02.2005 14:45 22 INTUSB.DAT
02.02.2005 14:01 400 ODBC.INI
02.02.2005 13:23 2.307 OEWABLog.txt


13.03.1998 00:02 34.304 UNISTB32.EXE
145 Datei(en) 12.132.981 Bytes
0 Verzeichnis(se), 16.444.456.960 Bytes frei


Datenträger in Laufwerk C: ist ACER60_V1
Volumeseriennummer: 8428-2421

Verzeichnis von C:\WINDOWS\system32

26.11.2005 11:47 8.628 cmmgr32.GID
24.11.2005 10:08 2.184 wpa.dbl
21.11.2005 14:14 61.294 perfc007.dat
21.11.2005 14:14 384.460 perfh007.dat
21.11.2005 14:14 374.262 perfh009.dat
21.11.2005 14:14 50.730 perfc009.dat
21.11.2005 14:14 879.678 PerfStringBackup.INI
03.11.2005 15:20 8.464 SpOrder.dll
30.10.2005 17:11 185.016 FNTCACHE.DAT
27.10.2005 16:54 188.416 eclientn.exe
27.10.2005 16:49 3 i
03.10.2005 08:56 196.608 Diginext.tsp
17.08.2005 04:29 651.335 eclient.tsp
21.06.2005 14:40 196.608 twxapi32.dll
02.02.2005 13:23 25.065 wmpscheme.xml
02.02.2005 09:49 288 $winnt$.inf
02.02.2005 09:47 16.832 amcompat.tlb
02.02.2005 09:47 23.392 nscompat.tlb
02.02.2005 09:46 488 WindowsLogon.manifest
02.02.2005 09:46 488 logonui.exe.manifest
02.02.2005 09:46 749 cdplayer.exe.manifest
02.02.2005 09:46 749 sapi.cpl.manifest
02.02.2005 09:46 749 ncpa.cpl.manifest
02.02.2005 09:46 749 nwc.cpl.manifest
02.02.2005 09:46 749 wuaucpl.cpl.manifest
02.02.2005 09:45 22.880 emptyregdb.dat
28.01.2005 15:37 23.304 GWFSPidGen.DLL
14.12.2004 19:06 139.345 hpzlnt12.dll
14.12.2004 19:06 229.376 hpovst08.dll
14.12.2004 19:06 196.608 hpzcoi12.dll
14.12.2004 19:06 278.528 hpgwiamd.dll
14.12.2004 19:06 708.608 hpotiop.dll
14.12.2004 19:06 393.216 hpzcon12.dll
14.12.2004 19:06 274.432 HPZc3212.dll

08.11.1996 02:48 368.912 vbar332.dll
2128 Datei(en) 405.005.066 Bytes
0 Verzeichnis(se), 16.444.063.744 Bytes frei


Datenträger in Laufwerk C: ist ACER60_V1
Volumeseriennummer: 8428-2421

Verzeichnis von C:\DOKUME~1\Axel\LOKALE~1\Temp

26.11.2005 19:37 1.430 MARA.tmp
26.11.2005 19:37 16.384 ~DFD471.tmp
26.11.2005 19:37 541 WCESCOMM.LOG
26.11.2005 12:46 27.721 hpodvd09.log
26.11.2005 11:00 1.430 MAR3.tmp
26.11.2005 10:53 11.832 install.log
26.11.2005 10:45 1.430 MAR8.tmp
26.11.2005 10:29 1.430 MAR6.tmp
26.11.2005 10:26 1.430 MAR4.tmp
26.11.2005 10:25 1.430 MAR2.tmp
26.11.2005 08:06 1.430 MAR9.tmp
26.11.2005 08:06 1.430 MAR7.tmp
26.11.2005 08:03 1.430 MAR5.tmp
13 Datei(en) 69.348 Bytes
0 Verzeichnis(se), 16.444.473.344 Bytes frei

#4 das ist ein Virus....die virenscanner sollen es auch wissen:
es gibt noch mehr, aber die brauchst du nicht zu ueberpruefen

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\system32\eclientn.exe
C:\WINDOWS\loader.dll
C:\WINDOWS\SpOrder.dll


dann beginnt die Reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#5 SpOrder hatte SmitfraudRemover (den ich in der Zwischenzeit benutzt hatte) leider schon gelöscht ...

Alle 3 Files waren mir auch schon aufgefallen; ich hatte sie aber dringelassen, da sie alle in "Version" etwas mit TAPI und UMTS zu tun hatten - beide Sachen sind vor kurzem auf dem Rechner installiert worden.

VIRUSTOTAL sagt bei beiden noch vorhandenen Dateien "no virus found".

Norman:

eclientn.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "ETapiNotifyExe [class ETapiNotifyClass]" on desktop.
* File length: 188416 bytes.

[ Changes to registry ]
* Creates key "HKLM\Software\ESTOS\TAPI Server".
* Sets value "RegCheck"="
" in key "HKLM\Software\ESTOS\TAPI Server".
* Creates key "HKCU\Software\ESTOS\TAPI Server\Admin".
* Sets value "Server"="" in key "HKCU\Software\ESTOS\TAPI Server\Admin".
* Sets value "AdminPort"="!" in key "HKCU\Software\ESTOS\TAPI Server\Admin".
* Sets value "ConnectionType"="" in key "HKCU\Software\ESTOS\TAPI Server\Admin".

[ Process/window information ]
* Creates a mutex Global\ETSrvMutex.


loader.dll : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 196608 bytes.



Die Registry-Einträge, die eclient.exe erzeugen soll, sind nicht (mehr?) da. Was ein "mutex" ist, weiß ich nicht; aber suchen nach ETSrvMutex in der Registry hat nichts gefunden. Die Einträge sind wohl schon von SmitfraudRemover entfernt worden.

Auf jeden Fall habe ich die beiden Dateien (und die dazugehörige eclient.tsp) mal entfernt (verschoben). Ob die TAPI-Anwendung nun noch funktioniert, kann ich erst am Montag testen, da ich hier eine andere Telefonanlage habe.

Das Fenster, wegen dessen ich den Thread gestartet habe, ist jedenfalls weg. Vielleicht liegt das aber auch nur daran, daß SmitfraudRemover jetzt die "Affengriff"-Anmeldung eingeschaltet hat. Apropos: Wo kann man die ein- bzw. ausschalten? Ich weiß noch, daß ich zu Beginn der XP-Zeit den Schlüssel mal wußte, ihn aber neulich verzweifelt (und ergebnislos) gesucht habe ...

Meinst Du, daß jetzt alles clean ist?

Fussel12

P.S.:
Offen ist noch die Frage, wie Dateien "super"-versteckt werden können und wie man sie mit "normalen" Mittel sichtbar machen kann. Ich kann ja nicht immer den ERD Commander hochfahren; Andere haben ihn vielleicht gar nicht. Außerdem weiß man ja auch nicht immer, wonach man suchen muß ...

P.P.S.:
Ich habe nachgecheckt:
ECLIENT.EXE gehört definitiv zu Ascotel Business Call von ESTOS GmbH und sollte ergo legitim sein.

#6 mache bitte einen scan mit Spysweeper
http://virus-protect.org/spysweeper.html
und poste den scanreport

------------------------------------------------------------
03.10.2005 08:56 196.608 loader.dll (?)
http://www.sophos.com/virusinfo/analyses/dialplatforma.html

und frag mich nicht, wie man den "Affengriff" wieder wegbekommt...ich wusste es auch mal, aber leider ....ich mach mich mal schlau

Die versteckten Dateien bekommt man teilweise.....sichtbar mit:
http://virus-protect.org/winpfind.html
http://virus-protect.org/silentrunner.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/

rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

eventuell noch das:
Click Start - Ausfuehren - sigverif - OK
click OK and Start.
Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Spysweeper hat nichts mehr gefunden (außer ein paar Tracking Cookies, die ich entfernt habe).

Mit der LOADER.DLL bin ich mir (trotz der Sophos-Angabe) nicht sicher - ich lasse sie erst mal draußen. Mal sehen, ob die UMTS-Connection auch ohne funktioniert.

Zu den "super"-versteckten Dateien:
silentrunner, blbeta und rootkitrevealer hatte ich schon benutzt - leider konnten sie die Dateien auch nicht finden. Also bleibt wohl doch nur der ERD ...

Beim "Affengriff" war ich schneller als Du

gpedit.msc -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich.
Wenn ich jetzt noch wüßte, welchen Registry-Schlüssel das schaltet ...

Vielen Dank für Deine Hilfe; ich glaube, das wars jetzt.
Fussel12

P.S.:
Auch den Registry-Schlüssel habe ich gefunden. Besser gesagt, es sind deren zwei:

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon (dort würde man es ja auch erwarten) wird ein Schlüssel "DisableCAD" angelegt, dessen Wert "0" ist (??). Ändert man ihn auf "1", ändert sich das Verhalten nicht.

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System (klar, wir haben das ja mit gpedit geändert) erscheint der gleiche Schlüssel "DisableCAD" mit Wert "1", dessen Änderung auf "0" das Verhalten sehr wohl beeinflußt.

Ich habe jetzt aber keine Lust mehr, den Policies-Schlüssel zu löschen und zu probieren, ob der Winlogon-Schlüssel dann etwas bewirkt ...