Versteckte Datei lpt2.vrp lässt sich nicht löschen

#1 Hi,

Ich habe ein recht merkwürdiges Problem.

F-Secure Blackligth meldet mir die Datei
lpt2.vrp
wenn ich versuche diese Dateien unzubenennen, dann sind sie nach dem Reboot wieder da.
wenn ich eine Win PE CD boote, dann kann ich lpt.vrp nzwar problemlos sehe, aber weder löschen noch umbenennen (File not found)

Fehlermeldung:
attrib lpt2.vrp
\\.\lpt2 not found

ich vermute hier wurde irgendwie am Filesystem manipuliert.
kennt jemand ein Tool mit dem man dieses File sicher löschen kann?

Oder weiß jemand sonst Rat?

Ich finde es schon sehr merkwürdig dass google bei lpt2.vrp 0 hits bringt.

Danke
Der Blaue Siggi

#2 Schon ein chkdsk auf das Laufwerk durchgeführt ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3

Zitat

joschi postete
Schon ein chkdsk auf das Laufwerk durchgeführt ?

Ja , unter der WinPE CD, kein Fehler

#4 Das ist gromozon. Das Problem mit dem Dateinamen besteht darin, das das ein vom System besetzer Name ist, wie z.B.com lpt und prn.

Antivir wuerde dir noch eine Datei als infiziert melden. Nutze bitte einmal den Grmozon cleaner. Das sollte helfen koennen.

http://www.prevx.com/gromozon.asp

Es waere interessant zu erfahren, wie lange du die Datei schon auf dem Rechner hast(was sagt denn das Dateidatum beim Start mit der PE cd?)
Wenn du wuesstest, wo du dir das eingefangen hast, waere es noch besser!
__________
MfG Ralf
SEO-Spam Hunter

#5 [Hi, danke für die Antwort.
Das war wirklich der Gromozon, Danke für diese wahnsinnig schnelle Antwort.
Der Gromozon cleaner hat das (fast) auf die Reihe gekriegt.
Zumindest sagt er, dass er ein root kit gelöscht hat:

emoval tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\lpt2.vrp
\\?\C:\WINDOWS\lpt2.vrp
Resetting file permissions...
Clearing attributes...
Zugriff verweigert - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programme\Gemeinsame Dateien


Trojan.Gromozon Removed!



Habe jetzt noch _cleaned.tmp in der gleichen Größe unter C:\
die kann ich nicht löschen, auch nicht mit der mit der gebooteten WIN PE CD
Aber der Virenscanner springt hierdrauf aber jetzt wenigstens an.
habe das file _cleaned.tmp selber gelöscht bekommen.
Hijackthis konnte es nicht löschen.
Geklappt hat es dann mit icesword.
http://mail2.ustc.edu.cn/~jfpan

Das filedatum war der 4.aug.2004, wie viele Files, scheint das Installationsdatum oder das der Istallationscd zu sein

Ich habe keine Ahnung, woher der kam. Allerdings war der Rechner auch sehr schlecht geplegt und hatte einiges an Trojanern und rootkits drauf.
Der Gromozon, war der (joffentlich) der letze.

Danke nochmals

Der Blaue Siggi

#6 Stimmt, das mit dem Datum koennte passen, das macht einige Malware so. Schade, wuerde mich wirklich interessieren, wer derzeit fuer die Gromozo Schwemme verantwortlich ist....
__________
MfG Ralf
SEO-Spam Hunter

#7 raman
Spam-artig verbreiteten Mails, die Links auf dubiose Websites enthalten................
The dropper connects to a remote server, 195.225.177.22
http://www.antirootkit.com/articles/gromozo/The-strange-case-of-Dr-Rootkit-and-Mr-Adware.htm

Blue_Siggi
es gibt eventuell noch andere Dinge , die geloescht werden sollten...
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\................... (?)
http://virus-protect.org/artikel/spyware/gromozon.html

ein Log vom HijackThis ist hilfreich
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Den Artikel kenne ich, aber leider sind alle "infizierbaren" Quellen, die zum Zeitpunkt des Artikels vorhanden waren nicht mehr aktuell.

Irgendwann laeuft uns der Downloader schon ueber den Weg
__________
MfG Ralf
SEO-Spam Hunter

#9 @Sabina:
die CLSID`s habe ich nicht.
alles was ich im HJT sehe kommt mir nicht verdächtig vor:
Logfile of HijackThis v1.99.1
Scan saved at 19:36:24, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\iPod\bin\iPodService.exe
C:\lotus\wordpro\ltsstart.exe
C:\WINDOWS\System32\alg.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mmc.exe
C:\Tools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [dmnku.exe] C:\WINDOWS\system32\dmnku.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Startup: Lotus SmartSuite 97 Registrierung.lnk = C:\lotus\register\remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.ts-ticketshop.de
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

#10 Blue_Siggi

ich habe so meine Vermutung, denn ich sehe nun schon zum zweiten Mal einen rechner, der wahrscheinlich (?) Warezov,W32/Stration hat + den rootkit
hast du auf einen Link im MSN geklickt oder einen Link einer email ???

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi
ich benutze nur den Windows update service.
da der combofix mir die Starseite auf msn stellt. war ich dort in den letzen Tagen zu ersten mal seit langer Zeit wieder drauf. aber eigentlich nur zum IE start und wieder meine Startseite einzustellen.
Links aus e-mails.
Nach bestem wissen und Gewissen nur auf angeforderte und vertraute
Mails.
files anbei

#12 ««
F-Secure BlackLight
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe -poste den report

««
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\dmnku.exe

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina,

blackligth meldet 0 hidden files.
Die Datei C:\WINDOWS\system32\dmnku.exe finde ich auch nicht mit den
Explorer.
Auch wenn ich eine WinPE CD boote, kann ich diese Datei nicht finden.

Da ich schon ziehmlich viel Mist entfernt habe, bevor ich dieses Thread
eröffnetet, kann ich mir auch vorstellen, dass der regkey ein Überbleibsel ist.

was tun?
Einfach raushauen?

gruß

Der Blaue Siggi

#14 ja, fixe die exe mit dem HijackThis, oder ueber Start - Ausfuehren - msconfig

dann belasse es dabei - es kann ein Rest von einer verseuchung sein, die nur noch in der registry vorhanden war.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi,
habe den Key gelöscht.

Danke für Deine Hilfe, Sabina.

Hoffentlich habe ich jetzt ein bischen Ruhe.

Der Blaue Siggi