Avast! meldet ELF:local-J-exploit

#1 Hallo zusammen,

der Threadtitel sagt's schon: beim Virenscan kam Avast! heute mit dieser Malware-Meldung: ELF:local-J-exploit, die infizierte angegebene Datei war C:\windows\memory.dmp. Die Avast-Funktion zum Isolieren des Dings erwies sich als nicht funktionstüchtig, blieb also nur Umbenennen (angeblich wird da eine Endung .vir angehängt) - und nun finde ich weder eine Datei memory.dmp noch eine Datei mit der Erweiterung .vir.

Hab versucht, mit Google was rauszufinden, ist mir aber nicht gelungen. Ob HijackThis richtig arbeitet, weiß ich nicht, aber dies hier ist der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 04:58:14, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC38233-3677-43BF-B1F1-9EE92838932C}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe


Könnt Ihr damit was anfangen? Bin ratlos. Hatte auch beim Google-Suchen einen Bluescreen, was extrem selten ist, der hier kam mit der Überschrift "Kernel_Stack_Inpage_Error. Danach ließ sich der Comp aber normal starten, nur daß zu meiner Überraschung Avast! nicht mehr mit dem üblichen Bild erscheint (diesem Radioimitat), sondern mit etwas, das "Einfache Benutzerschnittstelle" heißt, wo ich aber nichts als "Archive prüfen" einstellen kann, und die Buttons "Prüfung starten /Prüfung beenden /in den Hintergrund alle ausgegraut sind.

Daß mein Computer irgendwie befallen ist, vermutete ich schon, da Spybot nicht mehr richtig funktionierte. Had es deshalb gestern zu deinstallieren versucht, ging aber nicht; das Icon vom Destop ist zwar verschwunden, die Dateien sind aber alle noch da, ohne daß das Programm sich noch starten läßt. Trotzdem kommt eine Spybot-Warnung, wenn ich in den Startdateien was ändern will, und Spybot läßt die nötige Änderung in der Registry nicht zu. Ach so, das Herunterladen einer neuen HijackThis-Version ging gleichfalls nicht, so daß ich wieder die alte nehmen muß.

Ergibt das ein Bild? Ich bin total überfordert.

Gruß, Rosabel

EDIT: Die Symantec-Sachen im Logfile wundern mich grad; habe NortonAntivirus vor Wochen genau nach Anweisung von Symantec deinstalliert.

#2 Hake die entsprechenden Eintraege in hijackthis an und druecke fix checked:


R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe


Danach loesche diesen Ordner: C:\Programme\Gemeinsame Dateien\Symantec Shared

Ich wuerde Trojancheck ebenfalls deinstallieren, da ich nicht weiss, in wie weit das mit Avast zusammen funktioniert. Die von Avast gemeldete Datei kannst du loeschen, das ist ein Fehlalarm.
So wie es aussieht, ist deine Avast installation beschaedigt. Im Zweifelsfalle deinstalliere und installiere es erneut.
Solltest du wincleaner(Complete PC Care) noch nutzen, lasse es installiert, sonst deinstalliere es ebenfalls.
Sollte sich der PC dann wieder normal verhalten, poste bitte ein Combofix report: http://virus-protect.org/artikel/tools/combofix.html

Zu guter letzt musst du danach noch via www.windowupdate.com dein Windows aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

sei zunächst mal für Deine freundliche Hilfe bedankt.

Zitat

raman postete
Hake die entsprechenden Eintraege in hijackthis an und druecke fix checked:

R3 - URLSearchHook: ScriptInocUI Class - - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe

Okay, hab ich gemacht.

Zitat

Danach loesche diesen Ordner: C:\Programme\Gemeinsame Dateien\Symantec Shared

Ebenfalls erledigt.

Zitat

Ich wuerde Trojancheck ebenfalls deinstallieren, da ich nicht weiss, in wie weit das mit Avast zusammen funktioniert.

Hab ich versucht. In der Software-Liste ist es auch weg; das Icon im Task-Bar ist ebenfalls weg. Aber in WinExplorer sind die Dateien noch vorhanden, lassen sich auch nicht löschen. Beim Start des Computers kommt jetzt die Meldung: "Language file not found. Please reinstall Trojancheck."

Zitat

Die von Avast gemeldete Datei kannst du loeschen, das ist ein Fehlalarm.

Fehlalarm hört sich schon mal gut an! Löschen der Datei scheitert daran, dass sie nirgends zu finden ist.

Zitat

So wie es aussieht, ist deine Avast installation beschaedigt. Im Zweifelsfalle deinstalliere und installiere es erneut.

Hab ich gemacht. Klappte aber erst beim 2. Versuch. Immerhin hat sich's eben schon automatisch upgedated, dann wird's wohl funktionieren

Zitat

Solltest du wincleaner(Complete PC Care) noch nutzen, lasse es installiert, sonst deinstalliere es ebenfalls.

?? Finde nirgends ein Programm, das so heißt. Könnte aber eins sein, das ich früher mal benutzt und dann deinstalliert habe, weil es nicht mehr funktionierte, wie ich mich schwach erinnere. Macht das das gleiche wie Sweepi? Denn das hab ich damals wohl als Ersatz installiert, glaub ich und benutze es täglich ... also wo ich da noch alte Reste deinstallieren oder löschen kann, ist mir unklar.

Zitat

Sollte sich der PC dann wieder normal verhalten, poste bitte ein Combofix report: http://virus-protect.org/artikel/tools/combofix.html

Da ich noch nicht ganz sicher bin, hab ich das noch nicht gemacht. Auffällig ist allerdings, daß sich meine Maus schon mal wieder vernünftig benimmt; die war unberechenbar geworden, oft mußte ich zwei- sogar dreimal klicken, bis sich was tat, in anderen Fällen waren mit 1 Klick aber auch gleich 2 bis 3 Sachen weg, seit etwa 14 Tagen. Das scheint verschwunden.

Zitat

Zu guter letzt musst du danach noch via www.windowupdate.com dein Windows aktualisieren.

Seufz ... ich krieg's nicht mehr gebacken. Automatisches Update hat von vornherein nicht funktioniert, obwohl es angeblich so eingestellt war, sagte mein Compi-Laden, der mir diese Kiste zusammengestielt hat. Eine Zeitlang hab ich manuell upgedated, aber seit Windows diese Gültigkeitsprüfung oder wie das heißt eingeführt hat, geht's nicht mehr. Diese Prüfung hat nämlich noch nie überhaupt nur funktioniert, trotz meiner absolut legalen Software. Da ich Internet Explorer nie benutze und alles auf rigoroseste Sicherheit eingestellt gelassen hab, weiß ich nicht, welche Einstellungen ich ändern müßte, damit überhaupt diese Prüfung durchgeführt werden kann, von Updaten noch gar nicht zu reden. Und den Überblick, welche Patches ich brauche und welche nicht, hab ich schon längst verloren. ICH HASSE DIE WINDOWS-SEITEN!, nicht daß ich da jemals durchgeblickt hätte! (Nein, ich schrei nicht Dich an!, das ist nur ein generell in die Luft gerichteter Verzweiflungsausbruch )

Der HijackThis-Logfile sieht jetzt so aus - und Trojancheck kommt da immer noch vor! - :

Logfile of HijackThis v1.99.1
Scan saved at 21:37:13, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC38233-3677-43BF-B1F1-9EE92838932C}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe

Nochmal vielen Dank & lieben Gruß

Rosabel

#4 War leider ein paar Tage weg, daher die Verzögerung. Hier ist jetzt der Combofix Logfile:

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Benutzer01\Desktop\ComboFix.exe
"Benutzer01" - 2007-06-28 21:06:31 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NM
-------\nm


((((((((((((((((((((((((( Files Created from 2007-05-28 to 2007-06-28 )))))))))))))))))))))))))))))))


2007-06-28 21:06 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-24 20:58 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-06-24 20:58 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-24 20:58 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-24 20:58 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-24 20:58 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-06-24 20:58 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-24 20:58 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-24 18:31:56 -------- d-----w C:\Programme\Trojancheck 6
2007-05-29 01:43:09 -------- d-----w C:\Programme\Opera
2007-05-06 03:32:39 -------- d-----w C:\Programme\Digitale Bibliothek 4


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 18:23]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=YES

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"=01000000
"ClearRecentDocsOnExit"=1 (0x1)
"NoWinKeys"=01000000
"NoUserNameInStartMenu"=01000000
"NoLowDiskSpaceChecks"=1 (0x1)
"NoRecentDocsHistory"=01000000

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WmdmPmSN"=3 (0x3)
"UPS"=3 (0x3)
"Themes"=3 (0x3)
"spupdsvc"=2 (0x2)
"rpcapd"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"Automatisches LiveUpdate - Scheduler"=2 (0x2)
"aswUpdSv"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"ATIPTA"=REM C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"HydraVisionDesktopManager"=C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-28 21:08:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-28 21:09:34 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-28 21:09

--- E O F ---

Nachdem ich Combofix hab durchlaufen lassen und bevor der Report erstellt wurde, wurde der Rechner neu gestartet (von Combofix, so stand es jedenfalls da). Vor dem Logfile kam die Meldung "Das System kann den Pfad nicht finden", der Report kam dann aber trotzdem, und als ich wieder online ging, um ihn hier zu posten, kam die Meldung, daß Firefox nicht mein Standardbrowser sei und ob ich ihn als Standard festlegen wollte - was er seit 6 Jahren ist. Keine Ahnung, ob diese Infos als Ergänzung eine Rolle spielen, fand sie jedenfalls auffällig.

Lieben Gruß,

Rosabel

#5 Das passt schon. Auch sehe ich nichts auffaelliges.
__________
MfG Ralf
SEO-Spam Hunter

#6 DANKE, Ralf!

Sowas Schönes hab ich schon lange nicht gehört

Gruß, Rosabel