Werde TR/Agent.BG.4 TR/Ddr.small.crd.5 etc nicht los

#1 Hallo Forum,

gestern hat es nun auch mich “kalt erwischt”! Ich habe, dummerweise, meinen PC nach einem Seminar im Hotel zurück lassen müssen. Als ich ihn nun heute wieder in Betrieb nahm, viel ich aus allen Wolken! Anscheinend hatten sich meine derzeitigen „Mitstreiter“ mit meinem PC im I-Net vergnügt (Online-Games oder so!!!) und sich (mir!) einiges an „Viehzeugs“ eingefangen.

„AntiVir“ fand folgendes auf dem Rechner:

C:\kl1.exe
C:\Windows\System32\wupdtmngr.exe
C:\Windows\System32\drsmartload261.exe
C:\DOKUME~1\user\Lokale~1\Temp\isinst.exe
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\...istdownload[1].exe

C:\tool5.exe
C:\tool4.exe
C:\tool2.exe
C:\tool1.exe
C:\Program Files\paytime.exe

(Alles manuell gelöscht!)

Mittels „Backlight-Rootkit-Eliminator (gefundene “Items”)

Orderbnqe.exe
Ordermas2.dll
Ordertempopt.bin

Umbenannt und später gelöscht


Manuell gelöscht
tool2.exe
patcher.exe
program.exe


Falschen Desktop Hintergrund …

...via Regedit

HKEY_CURRENT _USER / Software/Microsoft / Windows / CurrentVersion / System / Polices / Wallpaper

Beseitigt. “Wallpaper” gelöscht

Nach Neustart Desktop Hintergrund wieder i.O. (wieder auswählbar) Nur die Desktop-Icon-Beschriftung lässt sich nicht mehr transparent schalten.

Trotz obiger Maßnahmen bekomme ich nun immer wieder Meldungen von AntiVir :

Der Trojaner „TR/Ddr.Small.crd.4“ wurde gefunden.

Betroffene Datei:

C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006134.exe


Ich gehe davon aus das ich die „Systemwiederherstellung“ deaktivieren muss o.ä. weiß aber nicht so richtig weiter.

Hier mein HJT – Log:



Logfile of HijackThis v1.99.1
Scan saved at 02:48:26, on 30.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\WINDOWS\system32\svchost.exe
K:\Emule\emule.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{9FD12~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{9FD12~1\reboot.ini -l0x9
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: CAPIControl.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{13F2BE0E-AFAA-4DD7-A5E2-30E1381C9CA0}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{303B4B13-447D-4BE5-870E-87ECCD18A797}: NameServer = 62.220.18.8 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{13F2BE0E-AFAA-4DD7-A5E2-30E1381C9CA0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{13F2BE0E-AFAA-4DD7-A5E2-30E1381C9CA0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{13F2BE0E-AFAA-4DD7-A5E2-30E1381C9CA0}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Darüber hinaus findet “F-Prot” fogendes:

C:\Programme\user32.exe->(Packed)->(Packed) Infection: W32/Downloader.gen
C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006099.exe could be infected with an unknown virus
C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006103.exe could be infected with an unknown virus
C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006107.exe->(Packed)->(Packed) Infection: W32/Downloader.gen
C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006108.exe->(Packed)->(Packed) Infection: W32/Downloader.gen
C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006110.exe->(Packed)->(Packed) Infection: W32/Downloader.gen
C:\WINDOWS\system32\frameori1604.exe->(FSG) Infection: W32/Downloader.gen
The scanning ended successfully, with infected or suspicious object found



Bin für jede Hilfe dankbar.

MfG

Indiana

#2 Wenn du diese Dateien noch hast schicke sie bitte an virus@protecus.de

C:\Programme\user32.exe
C:\WINDOWS\system32\frameori1604.exe

und poste die infos aus deinen Systemordnern. Sieh hier, wie du es machen kannst. Informationen der letzten 3 Monate sollten reichen

http://virus-protect.org/datfindbat.html

Achso, generell gilt auch bei dir, bei so einer Attacke(besonders mit den Rootkits) ist eigentlich neu Aufsetzen, aber auf jeden Fall Passwortwechsel(alle auf dem Rechner jemals benutzten und eingegebenen!)angesagt.
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

Wenn du diese Dateien noch hast schicke sie bitte an virus@protecus.de

C:\Programme\user32.exe
C:\WINDOWS\system32\frameori1604.exe

Diese Dateien habe ich bereits gelöscht.

Zitat

...poste die infos aus deinen Systemordnern. Sieh hier, wie du es machen kannst. Informationen der letzten 3 Monate sollten reichen...

Sys.txt:
Nichts auffälliges

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC14-98FB

Verzeichnis von C:\

01.05.2006 01:43 0 sys.txt
01.05.2006 01:43 7.227 system.txt
01.05.2006 01:43 132 systemtemp.txt
01.05.2006 01:42 111.231 system32.txt
01.05.2006 00:44 536.399.872 hiberfil.sys
01.05.2006 00:44 805.306.368 pagefile.sys
29.04.2006 23:09 718 fsbl-20060429210925.log
28.04.2006 01:52 1.442 fsbl-20060427234621.log
28.04.2006 01:46 1.442 fsbl-20060427234153.log
27.04.2006 21:36 77 FilterLog.log
24.04.2006 00:52 718 fsbl-20060423225011.log
13.04.2006 03:25 16.038 Handy.log
13.04.2006 03:25 486 Handy.mds
13.04.2006 03:25 231.836.640 Handy.mdf
12.04.2006 23:45 16.043 Neu.log
24.03.2006 16:54 770 DelayDel.lnk
23.03.2006 00:32 716 fsbl-20060322223040.log
15.03.2006 15:18 1.638.232 Windows-KB890830-V1.14.exe
07.03.2006 22:08 2.561 eScan_neu.txt
07.03.2006 04:09 6 AVPCallback.log
07.03.2006 03:23 26 Download.log
07.03.2006 01:45 718 fsbl-20060306234336.log
07.03.2006 01:43 769.600 blbeta.exe
22.02.2006 16:31 1.455.680 procexp.exe
17.02.2006 00:04 211 boot.ini
09.02.2006 15:42 7.059 pcwProcess.HTA
14.10.2005 13:58 0 AUTOEXEC.BAT
14.10.2005 13:58 0 IO.SYS
14.10.2005 13:58 0 MSDOS.SYS
14.10.2005 13:58 0 CONFIG.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 12:00 4.952 bootfont.bin
33 Datei(en) 1.577.877.713 Bytes
0 Verzeichnis(se), 855.531.520 Bytes frei


System32.txt
Nichts was mir auf anhieb zu denken geben würde

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC14-98FB

Verzeichnis von C:\WINDOWS\system32

01.05.2006 00:49 41.103 vsconfig.xml
30.04.2006 02:54 2.206 wpa.dbl
29.04.2006 23:22 0 asfiles.txt
29.04.2006 23:18 2.550 Uninstall.ico
29.04.2006 23:18 1.406 Help.ico
29.04.2006 23:18 30.590 pavas.ico
28.04.2006 00:31 13.370 ordermas2.dll.ren
27.04.2006 23:27 221.184 wrap_oal.dll
27.04.2006 23:27 81.920 OpenAL32.dll
06.04.2006 10:54 73.728 asuninst.exe
05.04.2006 17:55 210.488 FNTCACHE.DAT
04.04.2006 02:56 57 peer.ini
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 14:30 4.212 zllictbl.dat
30.03.2006 11:08 380.350 perfh009.dat
30.03.2006 11:08 391.000 perfh007.dat
30.03.2006 11:08 52.764 perfc009.dat
30.03.2006 11:08 63.580 perfc007.dat
30.03.2006 11:08 897.954 PerfStringBackup.INI
24.03.2006 16:54 770 DelayDel.lnk
17.03.2006 03:14 13 WinSys32.crc
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
11.03.2006 04:57 13 WinSysc16.crc
09.03.2006 16:21 4.799.320 MRT.exe


Systemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC14-98FB

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

Mfg
Indiana

#4 Das solltest du noch loeschen:

C:\WINDOWS\system32

29.04.2006 23:22 0 asfiles.txt
29.04.2006 23:18 2.550 Uninstall.ico
29.04.2006 23:18 1.406 Help.ico
29.04.2006 23:18 30.590 pavas.ico
28.04.2006 00:31 13.370 ordermas2.dll.ren
__________
MfG Ralf
SEO-Spam Hunter

#5 @raman DANKE

Ouups, ordermas2.dll.ren undter "C:\Windows\System32" war mir völlig entgangen!

So, eigentlich müsste ich nun alles wieder los sein was da so an "Viehzeug" vorhanden war. Einzig der Hinweis von F-Prot "C:\System Volume Information\_restore{70C452D6-5C21-439A-9844-9B074B4BFA86}\RP30\A0006350.exe->(FSG) Infection: W32/Downloader.gen" taucht immer wieder auf. Ich werde noch versuchen die Systemwiederherstellung (=> Restore) irgendwie zu bearbeiten sodass der entspr. Wiederherstellungspunkt gelöscht wird. Leider bringt es nichts das Ding (\...\RP30\A0006350) einfach nur zu löschen, denn es taucht immer wieder auf. Vielleicht weiß hier noch jemand Rat?

Ausserdem funktioniert "ICS" nicht mehr, obwohl das Lokale Netzwerk ansonsten tadellos läuft. Bei dem Versuch die Internet-Verbindung freizugeben erhalte ich immer die Meldung: "Gemeinsam genutzer Zugriff kann nicht aktiviert werden. Fehler 1060: der angegebene Dienst ist kein installierter Dienst"


Nach einem Blick auf die Liste mit den Lokalen Diensten (services.msc) fiel mir auf das dort der Eintrag "Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" fehlt. Dieser verweist nach C:\Windows\System32\svchost.exe -k netsvcs. Kann es sein das einer der Würmer/Viren diesen Entrag aus der Liste gekickt hat? Die svchost.exe ist ja noch vorhanden.

Dank für die Hilfe

MfG
Indiana

#6 Zu dem Thema gibt es bei Google einiges. HIer aber auch: http://board.protecus.de/t15396.htm

Du solltest es aber auch ueber Netzwerkumgebung und dot das ICS bei dem entsprechenden Kontroller deaktivieren, uebernehmen und erneut aktivieren reparieren koennen!? Nur eine Vermutung......
__________
MfG Ralf
SEO-Spam Hunter