Trojaner small.cig/macom.c

#0
03.06.2006, 00:17
Member

Beiträge: 50
#1 Hallo liebe Fachleute,
ich war lange nicht mehr hier und habe daher etwas den Überblick verloren, was im Falle einer Infektion so zu tun ist. Hoffe, is alles richtig.

Folgendes ist passiert: meine Freundin hat gestern oder vorgestern eine Fake-/Phishing-/Trojaner-Mail die als Ebay-Rechnung getarnt war erhalten und dummerweise den Anhang (rechnung.pdf.zip) auf dem Desktop gespeichert. Geagt hat sie es mir erst heute und weiß nun auch nicht mehr, ob sie das File entpackt oder nicht :-(

Avira hat es vorhin als TR\Dldr.Small.cig.4 identifiziert und in Quarantäne verschoben, ein Onlinecheck bei Kaspersky ergab Trojan.Win32.Macom C.

Da wir eine Flatrate haben war sie wohl auch die ganze Zeit online und nun bin ich etwas besorgt, zumal seit gestern ihre Verbindung immer wieder abbricht, der PC extrem langsam ist und sowohl Spybot als auch Adawre und Bitdefender nicht durchlaufen sondern der PC sich von alleine ausschaltet.

Anbei die Daten von Hijack This und Datfind. CleanUp ist schon durchgelaufen.
(Alles im abgesuicherten Modus)


Logfile of HijackThis v1.99.1
Scan saved at 23:30:55, on 02.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\PROGRAMME\GEMEINSAME DATEIEN\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\PROGRAMME\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\PROGRAMME\GEMEINSAME DATEIEN\Softwin\BitDefender Communicator\xcommsvr.exe


Datentr„ger in Laufwerk C: ist Betriebssystem (XP)
Volumeseriennummer: 380D-AD41

Verzeichnis von C:\WINDOWS\system32

01.06.2006 14:39 2.206 wpa.dbl
07.05.2006 21:53 1.536 TrueSoft.dat
17.04.2006 22:25 858.778 ZLSJBRXYHWX
17.04.2006 00:15 122.136 FNTCACHE.DAT
15.04.2006 19:59 167.424 SpoonUninstall.exe
15.04.2006 19:22 9.728 UnInstall sonnet CXXIX.exe
15.04.2006 19:22 17.652.316 sonnet CXXIX.scr
15.04.2006 19:21 815 licence.txt
15.04.2006 17:12 7.006 jupdate-1.5.0_06-b05.log
15.04.2006 16:57 2.600 mech.dl
14.04.2006 17:56 123.392 rmoc3260.dll
14.04.2006 17:56 25.088 prefscpl.cpl
14.04.2006 17:56 5.632 pndx5032.dll
14.04.2006 17:56 6.656 pndx5016.dll
14.04.2006 17:56 278.528 pncrt.dll
14.04.2006 16:13 348.160 msvcr71.dll
14.04.2006 16:13 499.712 msvcp71.dll
14.04.2006 16:13 1.047.552 mfc71u.dll
14.04.2006 16:13 1.060.864 mfc71.dll
14.04.2006 13:26 37.888 setupnt.dll
14.04.2006 13:21 507.392 autoprnt.exe
14.04.2006 13:21 126.976 snapapi.dll
14.04.2006 13:15 311.938 perfh009.dat
14.04.2006 13:15 40.326 perfc009.dat
14.04.2006 13:15 48.552 perfc007.dat
14.04.2006 13:15 317.168 perfh007.dat
14.04.2006 13:15 723.744 PerfStringBackup.INI
14.04.2006 13:09 0 PTPTT.dat
14.04.2006 13:09 0 PTHSP.dat
14.04.2006 13:04 351 schecklog.txt
14.04.2006 13:04 34.122 1_ssetup.ini
14.04.2006 13:04 17.344 sunistlog.ini
14.04.2006 12:31 0 h323log.txt
14.04.2006 11:45 25.065 wmpscheme.xml
14.04.2006 11:42 261 $winnt$.inf
14.04.2006 11:38 2.951 CONFIG.NT
14.04.2006 11:38 16.832 amcompat.tlb
14.04.2006 11:38 23.392 nscompat.tlb
14.04.2006 11:36 488 WindowsLogon.manifest
14.04.2006 11:36 488 logonui.exe.manifest
14.04.2006 11:36 749 sapi.cpl.manifest
14.04.2006 11:36 749 nwc.cpl.manifest
14.04.2006 11:36 749 ncpa.cpl.manifest
14.04.2006 11:36 749 cdplayer.exe.manifest
14.04.2006 11:36 749 wuaucpl.cpl.manifest
14.04.2006 11:33 21.740 emptyregdb.dat
03.02.2006 08:43 2.332.368 d3dx9_29.dll
03.02.2006 08:42 230.096 xactengine2_0.dll
03.02.2006 08:41 63.696 dxdllreg.exe
03.02.2006 08:41 14.032 x3daudio1_0.dll
18.01.2006 14:05 57.344 avsda.dll
12.01.2006 15:40 155.648 NeroCheck.exe


Datentr„ger in Laufwerk C: ist Betriebssystem (XP)
Volumeseriennummer: 380D-AD41

Verzeichnis von C:\DOKUME~1\ADMINI~1.MCK\LOKALE~1\Temp

02.06.2006 23:50 16.384 Perflib_Perfdata_344.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 5.245.845.504 Bytes frei


Datentr„ger in Laufwerk C: ist Betriebssystem (XP)
Volumeseriennummer: 380D-AD41

Verzeichnis von C:\WINDOWS

02.06.2006 23:50 364.116 ntbtlog.txt
02.06.2006 23:50 2.048 bootstat.dat
02.06.2006 23:15 216 wiadebug.log
02.06.2006 23:15 0 0.log
02.06.2006 23:15 50 wiaservc.log
01.06.2006 22:44 154.962 setupapi.log
26.05.2006 20:48 116 NeroDigital.ini
18.05.2006 20:13 507.608 EPSTPLOG.TXT
18.05.2006 20:11 434 EPSMTL32.TXT
18.05.2006 20:04 394.260 EPSTPLOG.BAK
09.05.2006 18:27 403 ODBC.INI
09.05.2006 18:26 59 vbaddin.ini
09.05.2006 18:26 629 win.ini
09.05.2006 18:09 12.862 EPISMG00.SWB
09.05.2006 17:28 2.821 epsswt_log.txt
09.05.2006 17:10 9.696 Windows Update.log
07.05.2006 21:53 3.738 ModemLog_HSP56 MR (SIS).txt
23.04.2006 20:25 353 Sti_Trace.log
18.04.2006 01:29 253.952 Setup1.exe
18.04.2006 01:29 2.010 ST6UNST.000
18.04.2006 01:29 74.752 ST6UNST.EXE
17.04.2006 15:14 0 cdplayer.ini
16.04.2006 20:51 51.591 Run32A40.mch
16.04.2006 20:51 35 A4W.INI
16.04.2006 20:45 52 APW.INI
16.04.2006 01:57 95.744 AKDeInstall.exe
16.04.2006 01:57 51 AKSetup.INI
16.04.2006 01:45 42 ChssBase.ini
16.04.2006 01:23 2.048 cbt_meta.ini
15.04.2006 22:32 0 PROTOCOL.INI
15.04.2006 20:21 227 system.ini
15.04.2006 19:33 135 brassi.dat
15.04.2006 18:59 1.163.264 Salvador Dali.scr
15.04.2006 18:59 382.464 imgdll.dll
14.04.2006 18:00 316.640 WMSysPr9.prx
14.04.2006 14:29 0 nsreg.dat
14.04.2006 14:29 107.132 UninstallFirefox.exe
14.04.2006 14:29 2.258 mozver.dat
14.04.2006 14:13 25 CDEC46Euro.ini
14.04.2006 13:09 0 SynInst.log
14.04.2006 13:06 92 CMISETUP.INI
14.04.2006 13:06 26 CMCDPLAY.INI
14.04.2006 13:06 0 Wininit.ini
14.04.2006 12:25 1.348 regopt.log
14.04.2006 12:23 0 setuperr.log
14.04.2006 11:43 8.192 REGLOCS.OLD
14.04.2006 11:43 47.523 iis6.log
14.04.2006 11:43 8.019 ntdtcsetup.log
14.04.2006 11:43 10.190 tsoc.log
14.04.2006 11:43 1.315 tabletoc.log
14.04.2006 11:38 0 control.ini
14.04.2006 11:38 299.552 WMSysPrx.prx
14.04.2006 11:38 4.161 ODBCINST.INI
14.04.2006 11:36 749 WindowsShell.Manifest
14.04.2006 11:34 1.065 ocmsn.log
14.04.2006 11:34 870 msgsocm.log
14.04.2006 11:34 11.537 FaxSetup.log
14.04.2006 11:34 1.060 sessmgr.setup.log
14.04.2006 11:34 2.477 netfxocm.log
14.04.2006 11:33 36 vb.ini
14.04.2006 11:32 9.950 msmqinst.log


Datentr„ger in Laufwerk C: ist Betriebssystem (XP)
Volumeseriennummer: 380D-AD41

Verzeichnis von C:\

02.06.2006 23:54 0 sys.txt
02.06.2006 23:53 6.113 system.txt
02.06.2006 23:53 318 systemtemp.txt
02.06.2006 23:53 102.499 system32.txt
02.06.2006 23:52 98 DirDPF.txt
02.06.2006 23:52 2 DirDPFCns.txt
02.06.2006 23:49 956.301.312 pagefile.sys
26.05.2006 23:21 13.030 PDOXUSRS.NET
15.04.2006 20:21 194 boot.ini
14.04.2006 12:44 115.064 REPLACE.REG
14.04.2006 12:44 112.917 Backup.REG
14.04.2006 11:38 0 CONFIG.SYS
14.04.2006 11:38 0 MSDOS.SYS
14.04.2006 11:38 0 AUTOEXEC.BAT
14.04.2006 11:38 0 IO.SYS


Und bitte bitte sagt nicht, der PC müsse formatiert werden, das muß ich nämlich immer machen...

Vielen Grüße und schonmal Danke im Voraus

Norem
Seitenanfang Seitenende
03.06.2006, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 im Grunde kann ich nichts finden,,,,,,,,

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ZLSJBRXYHWX
C:\WINDOWS\system32\mech.dl

-----------------------------------------------------------

RootkitRevealer-> poste das Log, bitte
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.06.2006, 01:21
Member

Themenstarter

Beiträge: 50
#3 Hallo Sabina,
hab den anderen PC gerade ausgemacht, werd mich also morgen dran machen.
Den Rootkit Revealer hab ich vorhin auch schon durchlaufen lasen, ergab aber nichts. Soll ich das (morgen) nochmal im abgesicherten Modus machen?

Virustotal verschiebe ich auch mal auf morgen.

Trotzdem erstmal vielen Dank und schlaf schön

Norem
Seitenanfang Seitenende
03.06.2006, 17:59
Member

Themenstarter

Beiträge: 50
#4 Hallo Sabina,
mech.dl war O.K., ZLSJBRXYHWX gibt nur Fehlermeldungen beim Hochladen, Spybot läuft jetzt durch, Bitdefender stoppt und der PC schaltet sich selbsttätig aus. Erneutes Durchlaufen lasen vom Rootkit Revealer erbrachte Folgendes:

HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_PGYFRFFVBA 02.06.2006 22:42 >>> 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\Shell\Bags\1\Desktop\ItemPos1024x768(1) 02.06.2006 23:01 3.65 KB Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\ScrollPos1024x768(1).y 03.06.2006 11:54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\ColInfo 03.06.2006 11:54 152 bytes Windows API length not consistent with raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\WinPos1024x768(1).left 03.06.2006 11:54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\WinPos1024x768(1).top 03.06.2006 11:54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\WinPos1024x768(1).right 03.06.2006 11:54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-746137067-2111687655-1957994488-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\345\Shell\WinPos1024x768(1).bottom 03.06.2006 11:54 4 bytes Data mismatch between Windows API and raw hive data.
Seitenanfang Seitenende
03.06.2006, 23:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 es ist nichts zu finden im Revealer.
wenn der Rechner jedoch von allein bootet ..und ueberhaupt...nach so einer schweren Verseuchung, falls denn die zip entpackt wurde, sollte man...formatieren ;)
Ich kann nichts sehen, was auf einen Virus hindeutet, aber dass soll nicht bedeuten, dass der Rechner sauber ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2006, 13:52
Member

Themenstarter

Beiträge: 50
#6 Vielen Dank Sabina!
Werd mal überlgen was tun...

Grüße

Norem
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: