Malware Verdacht - Explorer.exe doppelt ohne sichtbares Explorer Fenster |
||
---|---|---|
#0
| ||
22.06.2007, 15:08
Member
Beiträge: 19 |
||
|
||
22.06.2007, 16:07
Moderator
Beiträge: 7805 |
#2
Zwei Dinge. Teste C:\WINDOWS\system32\ctfmon.exe bitte bei Jotti oder Virustotal und nutze Blacklight und poste das entsprechende Log: http://virus-protect.org/artikel/tools/rootkithook.html
Achso swreg.exe ist harmlos und wird von Combofix genutzt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 16:33
Member
Themenstarter Beiträge: 19 |
#3
die ergebnisse der ctfmon.exe
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found AntiVir 7.4.0.34 06.22.2007 no virus found Authentium 4.93.8 06.22.2007 no virus found Avast 4.7.997.0 06.22.2007 no virus found AVG 7.5.0.476 06.22.2007 no virus found BitDefender 7.2 06.22.2007 no virus found CAT-QuickHeal 9.00 06.22.2007 no virus found ClamAV devel-20070416 06.22.2007 no virus found DrWeb 4.33 06.22.2007 no virus found eSafe 7.0.15.0 06.21.2007 no virus found eTrust-Vet 30.8.3735 06.22.2007 no virus found Ewido 4.0 06.22.2007 no virus found FileAdvisor 1 06.22.2007 no virus found Fortinet 2.91.0.0 06.22.2007 no virus found F-Prot 4.3.2.48 06.21.2007 no virus found F-Secure 6.70.13030.0 06.22.2007 no virus found Ikarus T3.1.1.8 06.22.2007 no virus found Kaspersky 4.0.2.24 06.22.2007 no virus found McAfee 5058 06.21.2007 no virus found Microsoft 1.2701 06.22.2007 no virus found Norman 5.80.02 06.22.2007 no virus found Panda 9.0.0.4 06.22.2007 no virus found Prevx1 V2 06.22.2007 no virus found Sophos 4.19.0 06.22.2007 no virus found Sunbelt 2.2.907.0 06.21.2007 no virus found Symantec 10 06.22.2007 no virus found TheHacker 6.1.6.137 06.22.2007 no virus found VBA32 3.12.0.2 06.21.2007 no virus found VirusBuster 4.3.23:9 06.22.2007 no virus found Webwasher-Gateway 6.0.1 06.22.2007 no virus found und auch blacklight ist inzwischen fertig. 06/22/07 16:21:16 [Info]: BlackLight Engine 1.0.64 initialized 06/22/07 16:21:16 [Info]: OS: 5.1 build 2600 (Service Pack 2) 06/22/07 16:21:16 [Note]: 7019 4 06/22/07 16:21:16 [Note]: 7005 0 06/22/07 16:21:18 [Note]: 7006 0 06/22/07 16:21:18 [Note]: 7011 480 06/22/07 16:21:18 [Note]: 7026 0 06/22/07 16:21:18 [Note]: 7026 0 06/22/07 16:21:21 [Note]: FSRAW library version 1.7.1022 06/22/07 16:34:26 [Note]: 7007 0 also zwei scans ohne befund. mfg Dieser Beitrag wurde am 22.06.2007 um 16:38 Uhr von spotting editiert.
|
|
|
||
22.06.2007, 17:11
Moderator
Beiträge: 7805 |
#4
Dann nutze bitte Gmer: http://virus-protect.org/artikel/tools/gmer.html
und starte auch ueber start/Ausführen catchme. Druecke dort einfach scan. Wenn der Scan beendet ist, findest du das Catchme log auf dem Desktop. Beide bitte posten(Gmer, catchme) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 18:34
Member
Themenstarter Beiträge: 19 |
#5
ok, das gmer logfile habe ich der übersichtlichkeit angehangen.
das wollte sonst nicht, ist auch ein bisschen lang. ich habe 7zip installiert, das log ist insgesamt jetzt 3,4 mb groß !!! und catch me hat mir kein logfile erstellt, dass ich kopieren kann, aber ich habe drei "hidden files" gesehen, dir mir alle drei bekannt waren und alle drei sauber sind. mfg spotting Anhang: gmer.txt
|
|
|
||
22.06.2007, 19:54
Moderator
Beiträge: 7805 |
#6
Du hattest wohl mal Kaspersky installiert, das hat dir an jede Datei einen Stream angehaengt.
Die Dateien, die Catchme gemeldet haben sind wirklich sauber und koennen das Phaenomen nicht mit verursachen? Ansonsten teste noch mit Cureit: http://freedrweb.com/ und Ewidomicro: http://downloads.ewido.net/ewido_micro.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 20:31
Member
Themenstarter Beiträge: 19 |
#7
Ich hab den Catchme scan nochmal wiederholt,
diesmal gab es nur "2" versteckte dateien. Type: ADS Value: C:\Dokumente und Einstellungen\Spot\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\Usrclass.dat.LOG:Kavichs 288bits Hidden from API Type: File Value: C:\Dokumente und Einstellungen\Spot\Anwendungsdaten\slysoft\Anydvd\Anydvd.chk Hab ich abgetippt. wenn ich auf die beiden dateien per windows explorer zugreifen will, erhalte ich obwohl ich momentan als admin angemeldet bin zugriffsverletzungen. bei oberen (UsrClass.dat.LOG) wird die datei momentan von einem anderen prozess verwendet, bei untere komme ich garnicht erst in den ordner. ich habe die dateien dann mit dem dateiexplorer aus icesword herauskopiert und mir näher angeschaut. ich erkenne nur datenmüll. wenn du möchtest kann ich die gleich auch mal anhängen. und ja, ich hatte einmal kaspersky installiert gehabt bzw nicht kaspersky sondern die freeware kaspersky variante von aol, zog mir aber gerade zu beginn viel zu viel ressourcen. die beiden scans von dir die du da haben möchtest werden noch ein wenig dauern. der ewido scan wird wahrscheinlich nichts bringen, seitdem ewido und avg sich zusammengetan haben. aber mal schauen, vielleicht habe ich auch unrecht. und drweb cureit wollte ich eh schon mal ausprobieren. einfach in 1-2 stunden nochmal hier reinschauen. mfg spotting edit, noch eine frage, wie kann ich denn diesen "stream" von kaspersky entfernen? EDIT 2 ok, ein neues problem, ich komme gerade nach hause, wollte mal nachsehen, wieweit der cureit scan ist, und was sehe ich da, irgendetwas hat meinen pc "sauber" gemacht. mein gesamtes C: verzeichnis ist jetzt leer, alle dort gespeicherten logs sind weg, ein paar private dateien sind weg, sogar die "boot.ini" fehlt, obwohl sie ja eigentlich eine wichtige systemdatei ist. das einzige programm, dass im hintergrund lief war cureit von dr web (und nein, es lief nicht im abgesicherten modus, das hatte ich wohl vergessen) na toll, ich ahne schon, dass ich bei einem neustart nicht mehr ins system kommen werde. aber so schnell gebe ich nicht auf. der SFC Scannow Befehl liefert mir nur Fehler aus dem DLL Cache und meine Original Windows XP CD nimmt er nicht an, weil die ohne SP2 ist. jetzt werden erstmal alle verblieben daten gesichert, und dann wird geschaut, wie ich mit diesem system weitermachen kann. Bis ich mich wieder melde scheint das Thema hier erstmal geschlossen. die Letzte Frage von mir bleibt aber noch offen, wie kann ich denn diesen "stream" von kaspersky entfernen? mfg spotting edit - ok, letzte antwort, damit ist das hier von meiner seite aus geschlossen. der pc ist jetzt formatiert und windows wurde neu aufgespielt bisher sind die oben beschriebenen anzeichen nicht aufgetreten. hoffentlich bleibt es so. schade, ich hätte gerne gewusst, was da passiert ist. ABER Die letzte frage bleibt bestehen, wie kann ich denn diesen "stream" von kaspersky, also dass es ein anhängsel an jede datei gibt, entfernen? mfg spotting Dieser Beitrag wurde am 23.06.2007 um 22:34 Uhr von spotting editiert.
|
|
|
||
Malware Verdacht. dummerweise kann ich nichtmal sagen wie lange ich diese Malware schon habe. Es wäre nett, wenn sich mal einer meine Logs ansehen kann.
Wie äussert sich der Verdacht:
ab und zu habe ich im Process Explorer zwei "Explorer.exe" prozesse geöffnet ohne jedoch ein Fenster für den zweiten Prozess zu haben. Auch wenn ich alle anderen Prozesse beendet habe bleibt dieser zweite Explorer.exe Prozess offen, bis er nach einiger Zeit von alleine verschwindet.
Und
Ab und zu, wenn ich den PC herunterfahre bekomme ich die Meldung "Programm kann nicht beendet werden".
Als Programmname stehen dort jedoch nur hyroglyphen, die ich nicht zuordnen kann.
Und
ab und zu habe ich den Eindruck rapide an Systemleistung zu verlieren, ohne das es einen erkennbaren Grund dafür gibt.
Meine bisherigen Maßnahmen,
Ein vollständiger Scan mit Grisoft Freeavg - ohne Befund
Ein Hijackthis Logfile ohne Auffälligkeit - siehe unten.
Temporaere Dateien beseitigt
Mal mit Icesword sich die Prozessliste genauer angesehen ...
Meine Logfiles:
Combofix
Code
Hijackthisbis auf diesen Eintrag nichts ungewöhnliches
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
Code
DatFindBatCode
Entschuldigt dass ich diese nicht weiter gekürzt habe, aber ich kann keinen zeitpunkt festlegen seit wann sie diese probleme hatdie datei swreg.exe ist mir hierbei suspekt und wird gerade bei virustotal gepüft. - report wird nachgereicht.
Code
danach wird noch ein vollständiger escan (mwav.log) nachgereicht.das wird aber noch ein paar stunden dauern.
wie gesagt, es wäre nett, wenn sich jmd mal anschauen kann, ob dieser verdacht berechtigt ist.
mfg spotting