Generic von Bot-Backdoors oder nicht ?

#1 Hallo hatte mssearchnet.exe, smitfraud.c uns solch zeugs auf dem Rechner wollte aber format c: umgehen ;-)

Nun hab ich aber im HJT- Logfile was entdeckt was da glaub ich auch nicht hingehört bin mir aber nicht sicher hier mein Log File von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:18, on 11.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Brassen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21f372efd74940081816/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{984DE515-D731-4503-96C9-83DFEBBCA7C5}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Bräuchte dann doch wohl mal Hilfe ;-)

MFG Chris

#2 Hallo@Sirius1964

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE sollte in der Tat gefixt werden. s.a.: http://sysinfo.org/startuplist.php?filter=ANTIVIRUS.EXE

Um genau zu wissen umwas sich nun handelt:
die Date unter http://virusscan.jotti.org/de/ prüfen, informieren und ggf weiter e Schritte unternehmen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 So hier nun die 4 Files ...

Datentr„ger in Laufwerk C: ist Wotan
Volumeseriennummer: 4826-898B

Verzeichnis von C:\WINDOWS\system32

11.12.2005 13:22 61.983 OODBS.lor
09.12.2005 18:46 2.550 Uninstall.ico
09.12.2005 18:46 1.406 Help.ico
09.12.2005 18:46 1.718 Open.ico
09.12.2005 18:46 1.406 AddQuit.ico
09.12.2005 18:46 5.350 IE.ico
09.12.2005 18:46 9.470 Desktop.ico
09.12.2005 18:46 1.718 Quick.ico
08.12.2005 11:11 13.730 wpa.dbl
07.12.2005 22:49 0 asfiles.txt
07.12.2005 19:47 147.608 FNTCACHE.DAT
07.12.2005 12:37 7.208 secupd.sig
11.11.2005 13:47 3.924.992 nv4_disp.dll
10.11.2005 21:17 2.377.568 MRT.exe
30.10.2005 06:03 39.992 perfc009.dat
30.10.2005 06:03 311.604 perfh009.dat
30.10.2005 06:03 48.156 perfc007.dat
30.10.2005 06:03 316.594 perfh007.dat
30.10.2005 06:03 723.744 PerfStringBackup.INI
14.10.2005 23:40 98.304 CmdLineExt.dll
13.10.2005 08:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
26.09.2005 14:34 36.734 OggDSuninst.exe
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 20:17 53.248 pxhpinst.exe
11.09.2005 13:42 176.167 rmoc3260.dll
11.09.2005 13:42 6.656 pndx5016.dll
11.09.2005 13:42 5.632 pndx5032.dll
11.09.2005 13:42 278.528 pncrt.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll




Datentr„ger in Laufwerk C: ist Wotan
Volumeseriennummer: 4826-898B

Verzeichnis von C:\

11.12.2005 14:04 0 sys.txt
11.12.2005 14:03 8.077 system.txt
11.12.2005 14:03 286 systemtemp.txt
11.12.2005 14:01 106.136 system32.txt
11.12.2005 13:22 805.306.368 pagefile.sys
21.10.2004 23:55 211 boot.ini
21.10.2004 23:47 47.564 NTDETECT.COM
21.10.2004 23:47 251.184 ntldr
02.10.2004 20:33 43 MENU.CFG
05.03.2004 18:59 0 AUTOEXEC.BAT
05.03.2004 18:59 0 CONFIG.SYS
02.04.2003 13:00 4.952 bootfont.bin
12 Datei(en) 805.724.821 Bytes
0 Verzeichnis(se), 7.121.829.888 Bytes frei




Datentr„ger in Laufwerk C: ist Wotan
Volumeseriennummer: 4826-898B

Verzeichnis von C:\WINDOWS

11.12.2005 13:23 0 0.log
11.12.2005 13:23 497.686 WindowsUpdate.log
11.12.2005 13:23 159 wiadebug.log
11.12.2005 13:23 0 wiaservc.log
11.12.2005 13:22 2.048 bootstat.dat
10.12.2005 23:03 32.642 SchedLgU.Txt
10.12.2005 14:44 199.792 ntbtlog.txt
09.12.2005 18:46 32 pavsig.txt
09.12.2005 03:53 391.024 setupapi.log
07.12.2005 22:49 906 win.ini
07.12.2005 19:45 7.970 iis6.log
07.12.2005 19:45 9.940 ntdtcsetup.log
07.12.2005 19:45 16.363 comsetup.log
07.12.2005 19:45 2.736 ocmsn.log
07.12.2005 19:45 18.872 tsoc.log
07.12.2005 19:45 1.374 imsins.log
07.12.2005 19:45 23.011 KB901017.log
07.12.2005 19:45 23.328 ocgen.log
07.12.2005 19:45 2.472 msgsocm.log
07.12.2005 19:45 49.459 FaxSetup.log
07.12.2005 19:45 23.382 KB896424.log
07.12.2005 19:45 8.881 updspapi.log
07.12.2005 19:45 24.672 KB902400.log
07.12.2005 19:45 15.344 KB896688.log
07.12.2005 19:45 14.221 KB905414.log
07.12.2005 19:45 13.975 KB900725.log
07.12.2005 19:44 11.342 KB904706.log
07.12.2005 19:44 12.151 KB905749.log
07.12.2005 14:13 508 xpsp1hfm.log
07.12.2005 14:13 660 KB823980.log
07.12.2005 11:30 231 RtlRack.ini
03.12.2005 19:41 3.679 wmsetup.log
14.11.2005 23:24 0 setupact.log
14.11.2005 23:24 0 setuperr.log
14.11.2005 15:37 2.751 cdplayer.ini
12.10.2005 20:36 25 WinOnCD.ini
12.10.2005 20:26 1.512 cddabase.ini
09.10.2005 13:29 316.640 WMSysPr9.prx
06.10.2005 15:08 704 eReg.dat
19.09.2005 18:34 82 mafosav.INI
06.08.2005 18:19 2.560 MKDEWE.TRN
01.07.2005 12:30 21 autoagf.Ini



atentr„ger in Laufwerk C: ist Wotan
Volumeseriennummer: 4826-898B

Verzeichnis von C:\DOKUME~1\Brassen\LOKALE~1\Temp

11.12.2005 13:57 203 jusched.log
1 Datei(en) 203 Bytes
0 Verzeichnis(se), 7.121.850.368 Bytes frei

MFG Chris

#5 Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

antivirus32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#6 So das sind dann die Files,

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 11.12.2005 14:38:45 for strings:
; 'antivirus32
'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...






The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Dez 11, 2005 14:44:33


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirService
Display Name: AntiVir Service
Start Mode: Auto
Start Name: LocalSystem
Description: Permanenter Virenschutz mit der H+BEDV AntiVir ...
Service Type: Own Process
Path: "c:\programme\avpersonal\avguard.exe"
State: Running
Process ID: 1528
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AVWUpSrv
Display Name: AntiVir Update
Start Mode: Auto
Start Name: LocalSystem
Description: Hilfsdienst fuer AntiVir Personal ...
Service Type: Own Process
Path: "c:\programme\avpersonal\avwupsrv.exe"
State: Running
Process ID: 1540
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: Boonty Games
Display Name: Boonty Games
Start Mode: Disabled
Start Name: LocalSystem
Description: Boonty ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\boonty shared\service\boonty.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\avm\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: ImapiService
Display Name: IMAPI CD-Burning COM Service
Start Mode: Manual
Start Name: LocalSystem
Description: Manages CD recording using Image Mastering Applications Programming Interface (IMAPI). If this ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: NetSvc
Display Name: Intel NCS NetService
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\intel\ncs\sync\netsvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 1612
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #8
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{b87c0056-e01e-446e-a241-fb3de1c2e74b}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 78 Win32 services on this machine.
8 were unrecognized.

Script Execution Time: 0,71875 seconds.

#7 scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 So auch das hätte ich dann fertig ;-)


KASPERSKY ON-LINE SCANNER REPORT
Sunday, December 11, 2005 15:40:27
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 11/12/2005
Kaspersky Anti-Virus database records: 154512


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics
Total number of scanned objects 32287
Number of viruses found 1
Number of infected objects 2
Number of suspicious objects 0
Duration of the scan process 1899 sec

Infected Object Name Virus Name
C:\System Volume Information\_restore{7933AB81-AA6D-472F-A3C4-1FBCD8E9C603}\RP540\A0087456.tlb Infected: Trojan-Downloader.Win32.Zlob.br

C:\System Volume Information\_restore{7933AB81-AA6D-472F-A3C4-1FBCD8E9C603}\RP541\A0087577.tlb Infected: Trojan-Downloader.Win32.Zlob.br

Scan process completed.

MFG Chris

#9 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Soll das so richtig sein da steht nämlich fast nichts hoffe doch ;-)
Sieht merkwürdig aus .



File von blbeta

ÿþ1

#11 ich denke, es ist eine log-Datei, die nach dem scann erscheinen sollte (auf dem Desktop)
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Habs noch mal gemacht mit dem selben Ergebnis.
No hidden items found und das ist die Textdatei vom Desktop:

File blbeta:

ÿþ1

#13 http://virus-protect.org/cureit.html
scanne und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#14 0 Objekte gefunden in alle Bereichen da gibts keine Textdatei ist wohl richtig denk ich mal oder?



MFG Chris