Komisches Fenster in XP beim Abmelden/Anmelden |
||
---|---|---|
#0
| ||
26.11.2005, 11:06
...neu hier
Beiträge: 4 |
||
|
||
26.11.2005, 17:13
Ehrenmitglied
Beiträge: 29434 |
#2
Fussel12
ohne das ich verspreche, dass ich was finde kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2005, 20:01
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
fein, daß Du mir helfen willst! Hier sind sie. Ich habe dabei selbst noch etwas gefunden: Wo kommen REGEDIT.COM und R.COM her? Die Datei mit dem singulären "i" in System32 ist Absicht: So habe ich neulich mal vermieden, daß sich eine Malware dauernd im lokalen Netz ausgebreitet hat... Vielen Dank! Fussel12 P.S.: Ich habe einen Teil des system32-Listings weggelassen, da anscheinend der Platz nicht reichte: Alles mit Datum 18.08.01 12:00 fehlt. Datenträger in Laufwerk C: ist ACER60_V1 Volumeseriennummer: 8428-2421 Verzeichnis von C:\ 26.11.2005 19:38 0 sys.txt 26.11.2005 19:38 7.406 system.txt 26.11.2005 19:38 850 systemtemp.txt 26.11.2005 19:37 103.919 system32.txt 26.11.2005 19:36 1.610.612.736 pagefile.sys 25.11.2005 10:53 429 datFind.bat 24.11.2005 15:55 194 boot.ini 19.04.2005 15:01 19.456 INFO.doc 09.04.2005 13:21 600 burner.log 02.02.2005 15:05 6 ISACER.ID 09.08.2004 15:32 0 IO.SYS 09.08.2004 15:32 0 AUTOEXEC.BAT 09.08.2004 15:32 0 MSDOS.SYS 09.08.2004 15:32 0 CONFIG.SYS 29.08.2002 00:05 235.296 ntldr 28.08.2002 20:08 47.580 NTDETECT.COM 18.08.2001 12:00 4.952 bootfont.bin 17 Datei(en) 1.611.033.424 Bytes 0 Verzeichnis(se), 16.444.440.576 Bytes frei Datenträger in Laufwerk C: ist ACER60_V1 Volumeseriennummer: 8428-2421 Verzeichnis von C:\WINDOWS 26.11.2005 19:37 3.422 wincmd.ini 26.11.2005 19:37 157 wiadebug.log 26.11.2005 19:36 0 0.log 26.11.2005 19:36 2.048 bootstat.dat 26.11.2005 12:46 32.552 SchedLgU.Txt 26.11.2005 12:46 50 wiaservc.log 26.11.2005 10:56 711.468 ntbtlog.txt 26.11.2005 08:43 1.252.197 setupapi.log 25.11.2005 13:55 204 MWAV.LOG 24.11.2005 15:55 246 system.ini 24.11.2005 15:55 1.190 win.ini 24.11.2005 10:48 182 hpbafd.ini 24.11.2005 10:28 63.251 tsoc.log 24.11.2005 10:28 18.319 netfxocm.log 24.11.2005 10:28 6.281 ocmsn.log 24.11.2005 10:28 5.242 tabletoc.log 24.11.2005 10:28 5.829 msgsocm.log 24.11.2005 10:28 36.753 ntdtcsetup.log 24.11.2005 10:28 57.826 comsetup.log 24.11.2005 10:28 1.943 imsins.log 24.11.2005 10:28 214.659 iis6.log 24.11.2005 10:28 94.763 ocgen.log 24.11.2005 10:28 85.244 FaxSetup.log 24.11.2005 10:28 48.988 msmqinst.log 22.11.2005 16:37 327.146 setupact.log 21.11.2005 15:05 2.455 imsins.BAK 21.11.2005 08:04 116 NeroDigital.ini 20.11.2005 09:55 0 bhcekc.xu_ 18.11.2005 15:02 3.832 ModemLog_Agere Systems AC'97 Modem.txt 18.11.2005 07:31 54.156 QTFont.qfn 15.11.2005 16:47 1.409 QTFont.for 14.11.2005 15:15 70 wpd99.dr_ 08.11.2005 17:26 12.320 ModemLog_Fusion UMTS GPRS - 3G Modem.txt 03.11.2005 15:25 17.358 Windows Update.log 01.11.2005 18:05 714 QUICKEN.INI 24.10.2005 18:47 27 INTUIT.INI 03.10.2005 08:56 196.608 loader.dll 03.10.2005 08:56 237.568 NwtGatewayDLL.dll 03.10.2005 08:56 1.109 NwtGatewayConfig.ini 30.09.2005 08:17 4.544 MSOClip.232 30.09.2005 08:17 10.304 MSOPrefs.232 11.09.2005 15:05 69.515 hpoins05.dat 11.09.2005 14:55 16.206 KB822603.log 11.09.2005 14:54 1.198 avmcoins.log 11.09.2005 14:39 53 hpoVG.dat 23.05.2005 07:52 2.171 sites.in_ 17.05.2005 21:23 59 LTDLG13N.INI 07.05.2005 09:10 23.061 Hardcopy.log 07.05.2005 09:10 13.596 hardcopy.del 07.05.2005 09:10 380.928 SwSetupu.exe 04.05.2005 12:57 176 EventSystem.log 29.04.2005 09:20 4.506 req.log 19.04.2005 17:58 0 email.log 11.04.2005 17:17 12.288 Thumbs.db 06.03.2005 16:32 150 pagesuit.ini 18.02.2005 10:17 58 ccolwiz.ini 03.02.2005 16:34 24 ejaymp3.inf 03.02.2005 16:34 36 ejaymp3x.inf 02.02.2005 15:42 2.510 Microsoft.MIF 02.02.2005 15:42 2.464 $_hpcst$.hpc 02.02.2005 14:45 52 intuprof.ini 02.02.2005 14:45 30 INTURS.DAT 02.02.2005 14:45 22 INTUSB.DAT 02.02.2005 14:01 400 ODBC.INI 02.02.2005 13:23 2.307 OEWABLog.txt 13.03.1998 00:02 34.304 UNISTB32.EXE 145 Datei(en) 12.132.981 Bytes 0 Verzeichnis(se), 16.444.456.960 Bytes frei Datenträger in Laufwerk C: ist ACER60_V1 Volumeseriennummer: 8428-2421 Verzeichnis von C:\WINDOWS\system32 26.11.2005 11:47 8.628 cmmgr32.GID 24.11.2005 10:08 2.184 wpa.dbl 21.11.2005 14:14 61.294 perfc007.dat 21.11.2005 14:14 384.460 perfh007.dat 21.11.2005 14:14 374.262 perfh009.dat 21.11.2005 14:14 50.730 perfc009.dat 21.11.2005 14:14 879.678 PerfStringBackup.INI 03.11.2005 15:20 8.464 SpOrder.dll 30.10.2005 17:11 185.016 FNTCACHE.DAT 27.10.2005 16:54 188.416 eclientn.exe 27.10.2005 16:49 3 i 03.10.2005 08:56 196.608 Diginext.tsp 17.08.2005 04:29 651.335 eclient.tsp 21.06.2005 14:40 196.608 twxapi32.dll 02.02.2005 13:23 25.065 wmpscheme.xml 02.02.2005 09:49 288 $winnt$.inf 02.02.2005 09:47 16.832 amcompat.tlb 02.02.2005 09:47 23.392 nscompat.tlb 02.02.2005 09:46 488 WindowsLogon.manifest 02.02.2005 09:46 488 logonui.exe.manifest 02.02.2005 09:46 749 cdplayer.exe.manifest 02.02.2005 09:46 749 sapi.cpl.manifest 02.02.2005 09:46 749 ncpa.cpl.manifest 02.02.2005 09:46 749 nwc.cpl.manifest 02.02.2005 09:46 749 wuaucpl.cpl.manifest 02.02.2005 09:45 22.880 emptyregdb.dat 28.01.2005 15:37 23.304 GWFSPidGen.DLL 14.12.2004 19:06 139.345 hpzlnt12.dll 14.12.2004 19:06 229.376 hpovst08.dll 14.12.2004 19:06 196.608 hpzcoi12.dll 14.12.2004 19:06 278.528 hpgwiamd.dll 14.12.2004 19:06 708.608 hpotiop.dll 14.12.2004 19:06 393.216 hpzcon12.dll 14.12.2004 19:06 274.432 HPZc3212.dll 08.11.1996 02:48 368.912 vbar332.dll 2128 Datei(en) 405.005.066 Bytes 0 Verzeichnis(se), 16.444.063.744 Bytes frei Datenträger in Laufwerk C: ist ACER60_V1 Volumeseriennummer: 8428-2421 Verzeichnis von C:\DOKUME~1\Axel\LOKALE~1\Temp 26.11.2005 19:37 1.430 MARA.tmp 26.11.2005 19:37 16.384 ~DFD471.tmp 26.11.2005 19:37 541 WCESCOMM.LOG 26.11.2005 12:46 27.721 hpodvd09.log 26.11.2005 11:00 1.430 MAR3.tmp 26.11.2005 10:53 11.832 install.log 26.11.2005 10:45 1.430 MAR8.tmp 26.11.2005 10:29 1.430 MAR6.tmp 26.11.2005 10:26 1.430 MAR4.tmp 26.11.2005 10:25 1.430 MAR2.tmp 26.11.2005 08:06 1.430 MAR9.tmp 26.11.2005 08:06 1.430 MAR7.tmp 26.11.2005 08:03 1.430 MAR5.tmp 13 Datei(en) 69.348 Bytes 0 Verzeichnis(se), 16.444.473.344 Bytes frei Dieser Beitrag wurde am 26.11.2005 um 20:07 Uhr von Fussel12 editiert.
|
|
|
||
26.11.2005, 20:22
Ehrenmitglied
Beiträge: 29434 |
#4
das ist ein Virus....die virenscanner sollen es auch wissen:
es gibt noch mehr, aber die brauchst du nicht zu ueberpruefen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html http://sandbox.norman.no/live_4.html C:\WINDOWS\system32\eclientn.exe C:\WINDOWS\loader.dll C:\WINDOWS\SpOrder.dll dann beginnt die Reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2005, 22:18
...neu hier
Themenstarter Beiträge: 4 |
#5
SpOrder hatte SmitfraudRemover (den ich in der Zwischenzeit benutzt hatte) leider schon gelöscht ...
Alle 3 Files waren mir auch schon aufgefallen; ich hatte sie aber dringelassen, da sie alle in "Version" etwas mit TAPI und UMTS zu tun hatten - beide Sachen sind vor kurzem auf dem Rechner installiert worden. VIRUSTOTAL sagt bei beiden noch vorhandenen Dateien "no virus found". Norman: eclientn.exe : Not detected by sandbox (Signature: NO_VIRUS) [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * **Locates window "ETapiNotifyExe [class ETapiNotifyClass]" on desktop. * File length: 188416 bytes. [ Changes to registry ] * Creates key "HKLM\Software\ESTOS\TAPI Server". * Sets value "RegCheck"="" in key "HKLM\Software\ESTOS\TAPI Server". * Creates key "HKCU\Software\ESTOS\TAPI Server\Admin". * Sets value "Server"="" in key "HKCU\Software\ESTOS\TAPI Server\Admin". * Sets value "AdminPort"="!" in key "HKCU\Software\ESTOS\TAPI Server\Admin". * Sets value "ConnectionType"="" in key "HKCU\Software\ESTOS\TAPI Server\Admin". [ Process/window information ] * Creates a mutex Global\ETSrvMutex. loader.dll : Not detected by sandbox (Signature: NO_VIRUS) [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 196608 bytes. Die Registry-Einträge, die eclient.exe erzeugen soll, sind nicht (mehr?) da. Was ein "mutex" ist, weiß ich nicht; aber suchen nach ETSrvMutex in der Registry hat nichts gefunden. Die Einträge sind wohl schon von SmitfraudRemover entfernt worden. Auf jeden Fall habe ich die beiden Dateien (und die dazugehörige eclient.tsp) mal entfernt (verschoben). Ob die TAPI-Anwendung nun noch funktioniert, kann ich erst am Montag testen, da ich hier eine andere Telefonanlage habe. Das Fenster, wegen dessen ich den Thread gestartet habe, ist jedenfalls weg. Vielleicht liegt das aber auch nur daran, daß SmitfraudRemover jetzt die "Affengriff"-Anmeldung eingeschaltet hat. Apropos: Wo kann man die ein- bzw. ausschalten? Ich weiß noch, daß ich zu Beginn der XP-Zeit den Schlüssel mal wußte, ihn aber neulich verzweifelt (und ergebnislos) gesucht habe ... Meinst Du, daß jetzt alles clean ist? Fussel12 P.S.: Offen ist noch die Frage, wie Dateien "super"-versteckt werden können und wie man sie mit "normalen" Mittel sichtbar machen kann. Ich kann ja nicht immer den ERD Commander hochfahren; Andere haben ihn vielleicht gar nicht. Außerdem weiß man ja auch nicht immer, wonach man suchen muß ... P.P.S.: Ich habe nachgecheckt: ECLIENT.EXE gehört definitiv zu Ascotel Business Call von ESTOS GmbH und sollte ergo legitim sein. Dieser Beitrag wurde am 26.11.2005 um 22:30 Uhr von Fussel12 editiert.
|
|
|
||
26.11.2005, 22:36
Ehrenmitglied
Beiträge: 29434 |
#6
mache bitte einen scan mit Spysweeper
http://virus-protect.org/spysweeper.html und poste den scanreport ------------------------------------------------------------ 03.10.2005 08:56 196.608 loader.dll (?) http://www.sophos.com/virusinfo/analyses/dialplatforma.html und frag mich nicht, wie man den "Affengriff" wieder wegbekommt...ich wusste es auch mal, aber leider ....ich mach mich mal schlau Die versteckten Dateien bekommt man teilweise.....sichtbar mit: http://virus-protect.org/winpfind.html http://virus-protect.org/silentrunner.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ rootkitrevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html eventuell noch das: Click Start - Ausfuehren - sigverif - OK click OK and Start. Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.11.2005, 00:12
...neu hier
Themenstarter Beiträge: 4 |
#7
Spysweeper hat nichts mehr gefunden (außer ein paar Tracking Cookies, die ich entfernt habe).
Mit der LOADER.DLL bin ich mir (trotz der Sophos-Angabe) nicht sicher - ich lasse sie erst mal draußen. Mal sehen, ob die UMTS-Connection auch ohne funktioniert. Zu den "super"-versteckten Dateien: silentrunner, blbeta und rootkitrevealer hatte ich schon benutzt - leider konnten sie die Dateien auch nicht finden. Also bleibt wohl doch nur der ERD ... Beim "Affengriff" war ich schneller als Du gpedit.msc -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich. Wenn ich jetzt noch wüßte, welchen Registry-Schlüssel das schaltet ... Vielen Dank für Deine Hilfe; ich glaube, das wars jetzt. Fussel12 P.S.: Auch den Registry-Schlüssel habe ich gefunden. Besser gesagt, es sind deren zwei: HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon (dort würde man es ja auch erwarten) wird ein Schlüssel "DisableCAD" angelegt, dessen Wert "0" ist (??). Ändert man ihn auf "1", ändert sich das Verhalten nicht. HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System (klar, wir haben das ja mit gpedit geändert) erscheint der gleiche Schlüssel "DisableCAD" mit Wert "1", dessen Änderung auf "0" das Verhalten sehr wohl beeinflußt. Ich habe jetzt aber keine Lust mehr, den Policies-Schlüssel zu löschen und zu probieren, ob der Winlogon-Schlüssel dann etwas bewirkt ... Dieser Beitrag wurde am 27.11.2005 um 00:36 Uhr von Fussel12 editiert.
|
|
|
||
ich habe hier ein Laptop mit XP SP1, das voller Spyware war. Leider kann ich es nicht neu aufsetzen, da darauf so viele Programme installiert sind, daß es Tage kosten würde.
Eigentlich habe ich alles gefunden und entfernt (?).
Das einzige Problem, das ich noch habe, ist ein Fenster, daß beim Ummelden (nicht beim Neustart!) vor der Windows-Anmeldung aufgeht. Es ist ein Windows-Fenster, daß in der Titelzeile und im Textbereich kryptische Zeichen enthält und sonst nur einen OK-Button. Läßt man das Fenster längere Zeit offen, ändern sich sowohl Titelzeile als auch der Text. Es sind wohl Registry-Daten, die darin dargestellt werde; so hatte ich einmal einen Verweis auf pci_Vend..., allerdings nicht den kompletten String.
Folgendes habe ich schon gemacht (und dabei diversen Mist entfernt):
Massenhaft versteckte Dateien (die trotz "versteckte Dateien anzeigen" weder im Explorer noch im TotalCommander angezeigt wurden) mit ERD Commander entfernt, so z.B. den ganzen HCLEAN32-Mist
HijackThis ist clean
MWAV (eScan) findet nichts mehr
RootkitRevealer ist clean
BlBeta ist clean
DatFind, FindT, SilentRunners, RkFiles finden nichts mehr
SpyBot 1.4 und AdAware 1.06 (jeweils mit neuesten Updates) finden nichts mehr
F-Prot (natürlich auch mit neuesten Signaturen) findet nichts mehr
WareoutRemover benutzt
Wie werde ich das Fenster los???
Und, wenn ich schon beim Fragen bin:
Wie kann man solche "super"-versteckten Dateien anzeigen??
Vielen Dank im Voraus!
Fussel12
Hier ist noch ein aktuelles HijackThis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 11:09:08, on 26.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Totalcmd\TOTALCMD.EXE
D:\Finger.weg\Anti-Spy\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{A312FA48-9E32-4875-AAA8-17C981C47A76}: NameServer = 192.168.55.254
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe