Virus entfernt alle Security files !!!- Bagle-Variante-m_hook.sys

#1 Hallo,

seit gestern habe ich das Problem, das irgendetwas mir sämtliche Security files von der Platte löscht.
Ich hatte die Zone Alarm Firewall laufen und den eTrust Antivirus.
Dieses etwas hat die vsmon.exe von der Zone Alarm sowie die exe files des Virenscanners gelöscht.
Wenn ich versuche Zone Alarm (oder andere Firewall oder Virenprogramme) zu installieren, werden die entsprechenden exe Dateien gelöscht, sobald sie auf die Platte kopiert werden.
Ich habe versucht eine Text Datei mit dem Namen vsmon.exe zu erzeugen, diese wird aber auch nach ca. 1 Sekunde gelöscht.
Nur im abgesicherten Modus kann ich das System mit einer Firewall oder mit einem Virenscanner versehen, bei einem Neustert werden dann aber direkt wieder die exe files gelöscht.

Mir ist aufgefallen das nach dem Einloggen ganz kurz eine DOS Shell aufpoppt.
Das war vorher auch nicht da.

Hier das Log file von HiJackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:52, on 27.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe
D:\Programme\AntiVirenKit 2006 trial\AVK.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\System\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ISDN SpeedManager] "D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\CloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVKTray] "D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\RunServices: [RunAlert] D:\system\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] D:\system\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: PC Alert III.lnk = D:\System\MSI\PC Alert III\alert.exe
O4 - Global Startup: WinManager.lnk = D:\Programme\PC-TV\WinManager\WinManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0400b9878da668013d15/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAAA63A2-BB82-428D-8C4B-5F89A13BB34B}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVKProxy - G DATA Software AG - D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EDS License Server - GLOBEtrotter Software Inc. - e:\eds\VISPRO~1\VISPRO~1\Lmgrd.exe
O23 - Service: I-DEAS 9 Open I-DEAS Server - Unknown owner - e:\eds\I-DEAS9\Iona\bin\orbixd.exe
O23 - Service: I-DEAS License Manager 9.0 - Unknown owner - e:\eds\I-DEAS9\sec\lmgrd.exe
O23 - Service: IBM Verwaltung des IBM HTTP Server (IBMHTTPAdministration) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: IBM HTTP Server (IBMHTTPServer) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe

Ich wäre euch dankbar für jedwede Hilfe.

Gruss

Chris.

#2 ckrieger

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

habe die Schritte durchlaufen.
Bei dem Cleanup Tool konnte ich allerdings die Option "Delete Prefetch Files" nicht anwählen, da sie ausgegraut war.

Ich hatte zwischenzeitlich die Kerio Firewall installiert, aber die ist mittlerweile auch ausser Kraft gesetzt worden.

Hier die 4 Textdateien des datfindbat tools:

system32.txt:

Datentr„ger in Laufwerk D: ist Win2k
Datentr„gernummer: 041F-2067

Verzeichnis von D:\WINNT\system32

28.03.2006 00:23 29.204 nvapps.xml
28.03.2006 00:03 16.384 Perflib_Perfdata_540.dat
27.03.2006 11:42 36.040 vsconfig.xml
26.03.2006 01:19 397.760 perfh009.dat
26.03.2006 01:19 64.232 perfc009.dat
26.03.2006 01:19 395.954 perfh007.dat
26.03.2006 01:19 76.916 perfc007.dat
26.03.2006 01:19 946.426 PerfStringBackup.INI
26.03.2006 01:14 4.212 zllictbl.dat
26.03.2006 00:41 5.301 ban_list.txt
25.03.2006 23:36 16.384 Perflib_Perfdata_4f8.dat
25.03.2006 23:36 16.384 Perflib_Perfdata_538.dat
25.03.2006 19:04 16.384 Perflib_Perfdata_554.dat
25.03.2006 13:04 16.384 Perflib_Perfdata_544.dat
25.03.2006 12:51 16.384 Perflib_Perfdata_530.dat
25.03.2006 12:51 16.384 Perflib_Perfdata_568.dat
25.03.2006 12:45 16.384 Perflib_Perfdata_510.dat
25.03.2006 12:45 16.384 Perflib_Perfdata_54c.dat
25.03.2006 12:04 16.384 Perflib_Perfdata_524.dat
24.03.2006 12:28 45.056 cdral.dll
24.03.2006 12:28 49.152 cdrtc.dll
24.03.2006 12:00 1.024 pdf2html.DAT
19.03.2006 12:20 384.816 FNTCACHE.DAT
16.03.2006 01:26 16.384 Perflib_Perfdata_5fc.dat
14.03.2006 16:04 18.538 PQ_DEBUG.TXT
14.03.2006 16:04 1.100 PQ_BATCH.PQB
14.03.2006 15:23 0 pqtmp.fil
10.03.2006 02:10 4.799.320 MRT.exe
04.03.2006 17:47 176.167 rmoc3260.dll
04.03.2006 17:47 5.632 pndx5032.dll
04.03.2006 17:47 6.656 pndx5016.dll
04.03.2006 17:46 278.528 pncrt.dll
03.03.2006 10:16 16.384 Perflib_Perfdata_f0.dat
21.02.2006 16:19 16.384 Perflib_Perfdata_158.dat
19.02.2006 18:27 100.104 vsxml.dll
19.02.2006 18:27 382.728 vsutil.dll
19.02.2006 18:26 227.088 vspubapi.dll
19.02.2006 18:26 104.208 vsmonapi.dll
19.02.2006 18:26 141.064 vsinit.dll
19.02.2006 18:26 372.816 vsdatant.sys
19.02.2006 18:26 83.720 vsdata.dll
02.02.2006 01:45 5.430 KGyGaAvL.sys
02.02.2006 01:45 56 9A7DB1DE92.sys
30.12.2005 18:15 233.744 GDI32.DLL
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
05.12.2005 07:12 339.968 px.dll
05.12.2005 07:12 172.032 pxmas.dll
05.12.2005 07:12 405.504 pxdrv.dll
05.12.2005 07:12 56.832 pxcpya64.exe
05.12.2005 07:12 339.968 pxwave.dll
05.12.2005 07:12 61.440 pxhpinst.exe
05.12.2005 07:12 28.672 vxblock.dll
05.12.2005 07:12 56.320 pxinsa64.exe
24.11.2005 17:54 79.632 fontsub.dll
24.11.2005 17:54 163.600 t2embed.dll
22.11.2005 18:39 2.700.288 MSHTML.DLL
15.11.2005 13:12 126.680 GCCollection.dll
15.11.2005 13:12 117.976 hashlib.dll
15.11.2005 13:12 95.448 gcUnCompress.dll

sys.txt

Datentr„ger in Laufwerk D: ist Win2k
Datentr„gernummer: 041F-2067

Verzeichnis von D:\

28.03.2006 00:28 0 sys.txt
28.03.2006 00:28 9.781 system.txt
28.03.2006 00:28 550 systemtemp.txt
28.03.2006 00:28 112.717 system32.txt
25.03.2006 13:00 102 Platform.ini
24.04.2004 14:49 0 s1uo
6 Datei(en) 123.150 Bytes
0 Verzeichnis(se), 9.887.547.392 Bytes frei

system.txt

Datentr„ger in Laufwerk D: ist Win2k
Datentr„gernummer: 041F-2067

Verzeichnis von D:\WINNT

27.03.2006 23:59 25 OUTSTACKER.INI
27.03.2006 23:58 1.409 QTFont.for
27.03.2006 23:58 54.156 QTFont.qfn
27.03.2006 13:21 277 system.ini
27.03.2006 11:33 32.628 SchedLgU.Txt
27.03.2006 11:32 1.405 win.ini
26.03.2006 01:54 130.532 ntbtlog.txt
26.03.2006 01:49 10.168 UEDIT32.INI
26.03.2006 01:22 47 InoSetup.ini
25.03.2006 19:05 461.738 WindowsUpdate.log
25.03.2006 12:39 2.549 OEWABLog.txt
25.03.2006 12:39 104.819 wmsetup.log
25.03.2006 12:38 397.943 setupapi.log
24.03.2006 12:29 3.864 COM+.log
24.03.2006 12:28 57.344 uneng.exe
24.03.2006 12:02 606 PDF2HTML.INI
24.03.2006 11:56 1.429 imsins.log
24.03.2006 11:56 657.043 iis5.log
24.03.2006 11:56 256.681 comsetup.log
24.03.2006 11:56 3.281 basecsp.log
24.03.2006 11:56 18.402 ockodak.log
24.03.2006 11:56 244.116 ocgen.log
24.03.2006 11:45 121 GEARInstall.log
21.03.2006 02:12 141 AVMASTER.INI
19.03.2006 12:46 217 uno.ini
19.03.2006 08:33 3.387 WISO.INI
19.03.2006 08:28 119 BUHL.INI
17.03.2006 02:33 13.440 iPodSync Setup Log.txt
17.03.2006 02:33 724.992 iun6002.exe
10.03.2006 01:12 316.640 WMSysPr9.prx
09.03.2006 11:58 132 Winamp.ini
08.03.2006 19:22 160.728 Crazi Video for iPod Uninstaller.exe
05.03.2006 11:51 3.901 spupdsvc.log
05.03.2006 00:50 1.410 imsins.BAK
05.03.2006 00:49 57.179 updspapi.log
01.03.2006 11:44 7.719 mozver.dat
23.02.2006 17:03 6 iPod2PC2.obl
22.11.2005 13:47 81.261 UpdateRollupPack.log
22.11.2005 13:46 2.746 updcustom.dll.log
22.11.2005 13:35 0 nsreg.dat
22.11.2005 13:35 99.965 UninstallFirefox.exe


systemtemp.txt

Datentr„ger in Laufwerk D: ist Win2k
Datentr„gernummer: 041F-2067

Verzeichnis von D:\DOKUME~1\ckrieger\LOKALE~1\Temp

26.03.2006 01:47 454 InoSetup.log
26.03.2006 01:20 1.613 driver.log
25.03.2006 14:24 16.384 ~DF4426.tmp
25.03.2006 12:04 32.768 ~DFA033.tmp
25.03.2006 11:55 32.768 ~DFB1B9.tmp
25.03.2006 11:55 32.768 ~DF9404.tmp
6 Datei(en) 116.755 Bytes
0 Verzeichnis(se), 9.887.547.392 Bytes frei


Und hier noch einmal der aktuellste HiJackthis output:

Logfile of HijackThis v1.99.1
Scan saved at 00:26:33, on 28.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
D:\WINNT\System32\svchost.exe
D:\Programme\IBM HTTP Server\Apache.exe
D:\Programme\IBM HTTP Server\Apache.exe
D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe
D:\Programme\IBM HTTP Server\Apache.exe
D:\Programme\IBM HTTP Server\Apache.exe
D:\Programme\mysql\bin\mysqld-nt.exe
D:\Programme\kerio\Personal Firewall 4\kpf4gui.exe
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\tcpsvcs.exe
D:\WINNT\System32\snmp.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\Explorer.EXE
D:\Programme\kerio\Personal Firewall 4\kpf4gui.exe
D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
D:\WINNT\Dit.exe
D:\Programme\CloneDrive\VCDDaemon.exe
D:\WINNT\system32\RUNDLL32.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe
D:\WINNT\system32\ctfmon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\System\MSI\PC Alert III\alert.exe
D:\Programme\PC-TV\WinManager\WinManager.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
D:\WINNT\DitExp.exe
D:\Programme\iPod\bin\iPodService.exe
D:\System\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\System\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ISDN SpeedManager] "D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\CloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVKTray] "D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\RunServices: [RunAlert] D:\system\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: PC Alert III.lnk = D:\System\MSI\PC Alert III\alert.exe
O4 - Global Startup: WinManager.lnk = D:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O15 - Trusted Zone: *.teamcenter_01
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0400b9878da668013d15/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAAA63A2-BB82-428D-8C4B-5F89A13BB34B}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVKProxy - G DATA Software AG - D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EDS License Server - GLOBEtrotter Software Inc. - e:\eds\VISPRO~1\VISPRO~1\Lmgrd.exe
O23 - Service: I-DEAS 9 Open I-DEAS Server - Unknown owner - e:\eds\I-DEAS9\Iona\bin\orbixd.exe
O23 - Service: I-DEAS License Manager 9.0 - Unknown owner - e:\eds\I-DEAS9\sec\lmgrd.exe
O23 - Service: IBM Verwaltung des IBM HTTP Server (IBMHTTPAdministration) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: IBM HTTP Server (IBMHTTPServer) - Unknown owner - D:\Programme\IBM HTTP Server\Apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe


Ich hoffe das Problem ist aus diesen Infos zu ersehen.

Danke und Gruss

Chris.

#4 RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste den scanreport

scanne mit registry-stuff und poste den scanreport
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

hier der output von dem registry stuff tool:

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000120
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):52,61,73,4d,61,6e,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern über eine DFÜ-Verbindung Netzwerkadressübersetzungs- und Namensauflösungsdienste auf Ihrem Netzwerk."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,20,02,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,08,06,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,08,06,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

#6 dann poste noch das log vom RootkitRevealer

dann arbeite das ab: und berichte, was das Tool findet
http://virus-protect.org/regrun.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hab ich angehängt, da zu groß.

#8 roxy\fuss_bg.gif 27.03.2006 11:42 4 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires 28.03.2006 00:04 0 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe 28.03.2006 00:04 18.00 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys 28.03.2006 00:04 21.75 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires 28.03.2006 00:44 0 bytes Hidden from Windows API.
D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires\hidr.exe 28.03.2006 00:44 18.00 KB Hidden from Windows API.
D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires\m_hook.sys 28.03.2006 00:44 21.75 KB Hidden from Windows API.
D:\WINNT\system32\wintems.exe 28.03.2006 00:44 9.50 KB Hidden from Windows API.
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

When Bagle.GE is run, it creates a directory named 'hidires' in the user's 'Application Data' folder. It copies itself as:

%User%\Application Data\hidires\hidr.exe

The trojan also drops the following driver file to the same folder:

%User%\Application Data\hidires\m_hook.sys

The trojan installs the following registry launchpoint as a string value:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\hidr.exe"

Zitat

HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit 25.03.2006 14:14 176 bytes Hidden from Windows API.
HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe

dann arbeite das ab: und berichte, was das Tool findet
http://virus-protect.org/regrun.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina,

bedeuten die gelben Smileys die bösen Einträge?

Ich hatte das Beagle Check tool von Symantec laufen lassen. Das hat aber nichts gefunden.

Werde morgen die Anleitung abarbeiten und posten.

Danke erstmal für deine Mühe und gute Nacht.

Gruss

Chris.

#11 es ist der Bagle.GE..aber heut ist es zu spaet..ich poste dir morgen eine reinigung
http://virus-protect.org/virus/m_hook_sys.html

ist of hidden registry values:

* wintems.exe
* drvsyskit
* german.exe
* key000s01
* key000s02
* key000s03
* key000s04
* key000s05

D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys

D:\WINNT\system32\wintems.exe 28.03.2006 00:44 9.50 KB Hidden from Windows API

D:\WINNT\system32\ldr64.dll

HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "%System%\hidr.exe"

Zitat

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
ldr64]
• "LdCount"=dword:00000000
"prevt"=dword:00000000
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"="ldr64.dll"
"Startup"="Startup"

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Guten Morgen Sabina,

ich habe noch keine Datei oder Eintrag gelöscht und als erstes die Anleitung abgearbeitet.

Hier die Infos vom regrun:

Prohibited: 0
Suspicious: 24
Warnings: 6

Hier die Info der Einträge, wo der "Good or Bad, Get info/ Kill or accept it"? Button kam:

"D:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" - SUSPICIOUS
"D:\Programme\IBM HTTP Server\Apache.exe" - SUSPICIOUS
D:/Programme/mysql/bin/mysqld-nt.exe - SUSPICIOUS
D:\system\ASUS\SmartDoctor\SmartDoctor.exe /start - SUSPICIOUS
mobsync.exe /logon - SUSPICIOUS
anvshell.exe - SUSPISIOUS
"D:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" - SUSPICIOUS
"D:\Programme\CloneCD\CloneCDTray.exe" /s - SUSPICIOUS
"D:\Programme\CloneDrive\VCDDaemon.exe" /s - SUSPICIOUS
"D:\Programme\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe" - SUSPICIOUS
D:\System\MSI\PC Alert III\alert.exe - SUSPICIOUS
D:\Programme\PC-TV\WinManager\WinManager.exe - SUSPICIOUS
AVKProxy.exe - SUSPICIOUS
Apache.exe - SUSPICIOUS
vmware-authd.ex - SUSPICIOUS
iTunesHelper.ex - SUSPICIOUS
D:\WINNT\SYSTEM32\DRIVERS\SSHDRV61.SYS - WARNINGS
D:\WINNT\SYSTEM32\DRIVERS\HLP.SYS - WARNINGS
D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS - WARNINGS[/b]

#13 bevor wir mit der Reinigung beginnen, poste bitte noch folgendes Log:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop


------------------------------------------------------------------


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )

regedit /e Info.txt "HKEY_CURRENT_USER\Software\DateTime4"
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hier der Output:

03/28/06 11:50:24 [Info]: BlackLight Engine 1.0.33 initialized
03/28/06 11:50:24 [Info]: OS: 5.0 build 2195 (Service Pack 4)
03/28/06 11:50:24 [Note]: 7019 4
03/28/06 11:50:24 [Note]: 7005 0
03/28/06 11:50:27 [Note]: 7006 0
03/28/06 11:50:27 [Note]: 7011 1628
03/28/06 11:50:27 [Note]: 7024 3
03/28/06 11:50:27 [Info]: Hidden process: D:\WINNT\system32\wintems.exe
03/28/06 11:50:28 [Note]: FSRAW library version 1.7.1015
03/28/06 11:50:36 [Info]: Hidden file: D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.ex
03/28/06 11:50:36 [Note]: 10002 2
03/28/06 11:50:36 [Note]: 10002 3
03/28/06 11:50:36 [Note]: 10002 2
03/28/06 11:50:36 [Note]: 10002 2
03/28/06 11:51:49 [Info]: Hidden file: D:\WINNT\system32\wintems.exe
03/28/06 11:51:49 [Note]: 10002 2

Ich habe allerdings schon in dem Reanimator die

D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

in den Prohibited Mode gesetzt.

#15 Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )

Zitat

regedit /e Info.txt "HKEY_CURRENT_USER\Software\DateTime4"

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

m_hook

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


in: "Enter search strings" (reinschreiben oder reinkopieren)

m hook

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit