Beagle-Attacke wintems.exe, srosa.sys und hldrrr.exe

#16 Hallo,

Danke, Sys1 läuft wieder; Sys2 werd ich wohl auch mit der "Wunderdroge" Combofix hinkriegen.

Interessant. COMBOFIX ist eher unbekannt - aber es ist bisher das beste.
Zusammen mit REGRUN gibt es für Trojaner in Kombination mit SPYBOT scheinbar kein Entkommen.

Unglaublich ! Es brauchte stundenlange Net-Recherche, 3 Programme, Geduld, viel Arbeit und auch noch tieferes Wissen über Windows, um einen Trojaner rauszuschmeißen.

So stellt sich nur mehr eine Frage: Werlches Programm verhindert verläßlich, daß nicht der nächste Trojaner sich AUCH erst dann bei mir meldet, wenn er im Herzen von Windows sich rumtreibt und die interne Sicherheit abmurkst ?

Und:
Wie ultra-mies ist eigentlich Windows gesichert, wenn scheinbar schon gleich so einige Trojaner sich völlig unbemerkt reinschleichen können und die interne Firewall einfach so ausknipsen.
Wir reden ja nicht von irgendwelchen Zusatzprogrammen, sondern von Windows INTERNA, wo Viren fröhliche Urständ feiern!

Meine, ich verlange ja von Windows nichts großartiges - aber das is ja wirklich ne GROBE Sicherheitslücke - und hätte ansich NIEMALS passieren dürfen!
Meine wir-sind-Gottes-Monopol-Micro$oft hin oder her....irgendwo ist das schon ein Skandal.

*ärgerlich*
Fancy Destroyer

#17 wie wärs mit Linux ???
und... es läuft wieder alles .. soll ich noch mal nachgraben .. wenn du willst, poste das log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 ComboFix 08-01-17.5 - ******** 2008-01-19 2:21:44.5 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.116 [GMT 1:00]
ausgeführt von:: G:\temp\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-19 bis 2008-01-19 ))))))))))))))))))))))))))))))
.

2008-01-19 01:29 . 2008-01-17 14:08 1,552,034 --a------ G:\temp\ComboFix.exe
2008-01-19 01:15 . 2000-08-31 08:00 51,200 --a------ G:\WINDOWS\NirCmd.exe
2008-01-17 01:31 . 2008-01-17 01:31 <DIR> d-------- G:\Dokumente und Einstellungen\admin\Anwendungsdaten\PrevxCSI
2008-01-17 01:30 . 2008-01-17 01:30 <DIR> dr------- G:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-01-17 01:30 . 2004-08-05 13:00 221,184 --a------ G:\WINDOWS\system32\wmpns.dll
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> d--h----- G:\Dokumente und Einstellungen\admin\Vorlagen
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> dr------- G:\Dokumente und Einstellungen\admin\Startmenü
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> d--h----- G:\Dokumente und Einstellungen\admin\Netzwerkumgebung
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> d--h----- G:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-01-17 01:29 . 2008-01-17 01:30 <DIR> dr------- G:\Dokumente und Einstellungen\admin\Favoriten
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> d--h----- G:\Dokumente und Einstellungen\admin\Druckumgebung
2008-01-17 01:29 . 2005-12-02 01:29 <DIR> dr-h----- G:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-01-16 21:41 . 2008-01-16 21:41 <DIR> d--hs---- G:\FOUND.003
2008-01-16 20:28 . 2008-01-16 20:28 <DIR> d-------- G:\Programme\Trend Micro
2008-01-16 20:27 . 2008-01-16 20:28 812,344 --a------ G:\temp\HJTInstall.exe
2008-01-16 19:41 . 2008-01-16 19:41 <DIR> d-------- G:\Dokumente und Einstellungen\********\.housecall6.6
2008-01-16 19:39 . 2008-01-16 19:40 392,472 --a------ G:\temp\Webroot_Beagle_Remover-install-3067_setup_.exe
2008-01-16 19:39 . 2008-01-16 19:39 228,352 --a------ G:\temp\Webroot_Beagle_Remover-install-3067.exe
2008-01-16 19:32 . 2003-12-24 14:44 83,096 --a------ G:\WINDOWS\system32\SSSensor.dll
2008-01-16 18:57 . 2008-01-19 01:38 25,773 --a------ G:\WINDOWS\system32\drivers\regguard.sys
2008-01-16 18:28 . 2008-01-16 18:28 <DIR> d-------- G:\temp\regruns
2008-01-16 18:28 . 2008-01-16 18:28 <DIR> d-------- G:\Programme\PrevxCSI
2008-01-16 18:26 . 2008-01-16 18:27 6,969,328 --a------ G:\temp\regruns.zip
2008-01-16 18:24 . 2008-01-16 18:24 <DIR> d-------- G:\Dokumente und Einstellungen\********\Anwendungsdaten\PrevxCSI
2008-01-16 18:24 . 2008-01-16 18:24 <DIR> d-------- G:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prevx
2008-01-16 18:23 . 2008-01-16 18:23 949,304 --a------ G:\temp\PREVXCSIFREE.EXE
2008-01-16 17:52 . 2008-01-16 17:52 <DIR> d-------- G:\Programme\Sygate
2008-01-16 17:14 . 2008-01-16 17:14 <DIR> d-------- G:\WINDOWS\system32\drivers\down
2008-01-16 17:01 . 2008-01-16 17:01 0 --a------ G:\temp\vegas70b-trial.exe
2008-01-16 16:36 . 2008-01-16 16:36 <DIR> d-------- G:\Programme\Pure Motion
2008-01-16 16:36 . 2008-01-16 16:36 <DIR> d-------- G:\Programme\DebugMode
2008-01-16 16:34 . 2008-01-16 16:34 <DIR> d-------- G:\temp\wax20e(2)
2008-01-16 16:33 . 2008-01-16 16:34 2,715,366 --a------ G:\temp\wax20e(2).zip
2008-01-16 16:26 . 2008-01-16 16:26 <DIR> d-------- G:\temp\EMPG2_Dec_Strm_Pack_3_0
2008-01-16 16:26 . 2008-01-16 16:26 1,448,766 --a------ G:\temp\EMPG2_Dec_Strm_Pack_3_0.zip
2008-01-16 16:23 . 2008-01-16 17:06 51,622,242 --a------ G:\temp\ACEMCP603PRO.exe
2008-01-15 23:49 . 2008-01-15 23:49 <DIR> d-------- G:\Programme\KeyScrambler
2008-01-15 23:49 . 2007-12-29 15:35 112,992 --a------ G:\WINDOWS\system32\drivers\keyscrambler.sys
2008-01-15 03:49 . 2008-01-15 03:49 49,152 --a------ G:\temp\win32sec.exe
2008-01-14 23:52 . 2008-01-14 23:52 <DIR> d-------- G:\Programme\Vstplugins
2008-01-14 23:52 . 2008-01-14 23:52 <DIR> d-------- G:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sony
2008-01-11 12:42 . 2008-01-11 12:42 <DIR> d-------- G:\WINDOWS\Sun
2008-01-11 12:29 . 2008-01-11 12:29 <DIR> d-------- G:\Programme\MSBuild
2008-01-11 12:16 . 2008-01-11 12:16 <DIR> d-------- G:\WINDOWS\system32\XPSViewer
2008-01-11 12:14 . 2008-01-11 12:14 <DIR> d-------- G:\Programme\Reference Assemblies
2008-01-11 12:12 . 2006-06-29 13:07 14,048 --------- G:\WINDOWS\system32\spmsg2.dll
2008-01-02 23:25 . 2008-01-02 23:25 48 ---hs---- G:\WINDOWS\S91B34B21.tmp
2007-12-28 02:38 . 2008-01-02 11:59 336 -rahs---- G:\WINDOWS\system32\OP_CACHE.ATR
2007-12-28 02:38 . 2008-01-02 11:59 168 -rahs---- G:\WINDOWS\system32\OP_CACHE.IDX
2007-12-28 02:38 . 2007-12-28 02:38 24 -rahs---- G:\WINDOWS\OP_CACHE.ATR
2007-12-28 02:38 . 2007-12-28 02:38 12 -rahs---- G:\WINDOWS\OP_CACHE.IDX
2007-12-28 02:09 . 2007-12-28 02:09 <DIR> d-------- G:\Programme\Agnitum
2007-12-28 02:07 . 2007-12-28 02:08 <DIR> d-------- G:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Agnitum
2007-12-28 01:18 . 2007-12-28 01:21 21,962,568 --a------ G:\temp\OutpostProInstallPackage.exe
2007-12-28 00:22 . 2007-12-28 00:23 6,974,724 --a------ G:\temp\BIPCPSetup.exe
2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ G:\WINDOWS\system32\drivers\AnyDVD.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w G:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w G:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w G:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w G:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w G:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w G:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w G:\WINDOWS\system32\AVASTSS.scr
2007-04-14 01:41 696 --sha-w G:\WINDOWS\Bifrost\klog.dat
.

((((((((((((((((((((((((((((( snapshot@2008-01-19_ 2.04.10.89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w G:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2001-09-27 01:39 245760 G:\WINDOWS\system32\atiptaxx.exe]
"NeroFilterCheck"="G:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"GhostSurfDelSatellite"="f:\Programme\GhostSurf 2005\DeleteSatellite.exe" [ ]
"avast!"="G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-01-19 01:21 79224]
"SunJavaUpdateSched"="G:\Programme\Java\j2re1.4.2_13\bin\jusched.exe" [2006-10-18 11:42 32881]
"Adobe Reader Speed Launcher"="G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"PrevxCSI"="G:\Programme\PrevxCSI\prevxcsi.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= G:\Programme\DVD Region+CSS Free\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2002-02-15 10:51 24638 G:\WINDOWS\system32\PCANotify.dll

[color=red]SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R3 axsaki;axsaki;G:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 21:38]
R3 axskbus;axskbus;G:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 11:58]
R3 KeyScrambler;KeyScrambler;G:\WINDOWS\system32\drivers\keyscrambler.sys [2007-12-29 15:35]
S2 TTDec;ATI WDM Teletext Decoder;G:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2001-09-26 23:22]
S3 ati2mtaa;ati2mtaa;G:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-27 00:32]
S3 Partizan;Partizan;G:\WINDOWS\system32\drivers\Partizan.sys []
S3 RegGuard;RegGuard;G:\WINDOWS\system32\Drivers\regguard.sys [2008-01-19 01:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b587a60-b218-11db-8145-0002441c293c}]
\Shell\AutoRun\command - J:\AutoRun.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5B9CB7CF-1F57-05AF-D7B8-6CA1769B02C1}]
G:\Dokumente und Einstellungen\********\Anwendungsdaten\server.exe s
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 02:23:51
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-19 2:24:26
ComboFix-quarantined-files.txt 2008-01-19 01:24:24
ComboFix2.txt 2008-01-19 01:04:34


Beagle remover war übrigens völlig wertlos....

#19 sieht wirklich gut aus hast ja fleissig gearbeitet...

G:\WINDOWS\system32\drivers\down - muss noch gelöscht werden

denk an Linux
Alles Gute

(die remover sind nur für bestimmte Beagle..deiner war wahrscheinlich eine neue Version)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 Onlinescanner
Scanne mit NOD32
Haacke an:YES, I accept the Terms Of Use.
Klicke : Start.
Klicke : Install.
Klicke : Start.
Jetzt wird der Scanner Initialisiert und ge-updatet
Haacke “Remove found threats” NICHT an,
Klicke : Scan.
Am Ende klicke den Reiter "Details"
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Oder via C:\Programme\EsetOnlineScanner\log.txt
__________
MfG Argus

#21 Tja Pinguin: Linux ist eine Alternative; aber keine LÖSUNG des Problemes.

Linux ist sicher ne Alternative - bloß das müßte ich komplett erst lernen - und sogar WENN: Die gesamte online-Welt (beruflich wie privat) läuft auf Windows.
Und das kann man fast garnicht ändern - oder nur mit extremen, finanziellen Aufwand.

Und das Problem ist, daß sich Viren neuerdings einfach so in den Kern von Windows reinbeamen - und nichts sie davon abhaltet; obwohl das schon seit JAHREN bekannt ist.

D.h. NICHT NUR Microsoft, sondern auch alle gängigen Virenkiller und Firewalls befinden sich im Tiefschlaf, bzw. ruhen sich auf ihren Lorbeeren aus.
Erst was praktisch unbekanntes wie Combofix holt einen aus der Sch... raus.

Ist einfach nur TRAURIG & ein Skandal.

*verärgert*
Fancy Destroyer

#22 Schau bitte, was du in diesem Ordner findest: G:\WINDOWS\Bifrost
__________
MfG Ralf
SEO-Spam Hunter

#23 Hello,

yesterday i spend a couple of hours with the same horrible virus/rootkit. This disables virus scanners, personal firewalls and lead to a strange system behavior.
Fist i examine c:\windows\system32\wintems.exe with Process Explorer from Sysinternals. Since i can’t kill this process, i look for the exe in system32 dir. Not found even with cmd->dir *.* Hmm. Scanning with Blacklight from F-Secure and HiJackThis give the next clues leading me to srosa.sys, mdelk.exe and hldrrr.exe. Srosa was also invisible but with cmd->dir sr*.* i can make it out in the system32\drivers dir. System32\mdelk.exe was visible but i can’t delete it. Writing down date and time from mdelk and search system for exe’s and dll’s which are changed from that date on. In my case these files were manipulated so program start/reinstall was not longer possible:
a lot of files in dir Antivir PersonalEdition Classic
spyxx.exe from Microsoft
smc.exe from my Sygate personal firewall
helper.exe from Mozilla Firefox
The registry was infected too, but i don’t analyse this in detail. Deleting of regkey …\srosa.sys was not possible even with explicit admin rights. I figure out that i can kill the wintems process by killing all his threads, but after restart it reappears. No clues how this was started. Trying to erase srosa, mdelk and hldrrr with use of recovery console gives me the BSOD.
I frequently use ERUNT (Emergency Recovery Utility) so i can easiliy recover my former registry settings. After this i could start the recovery console and delete all the suspicious files. Because i suppose that the virus was starting outside windows, i launch FIXMBR in the console. That helps.

Conclusion:
Detect the virus with all involved files, use programs mentioned above
Boot from a save place or restore registry settings (Erunt, Linux, BartPE)
Delete suspicious files
Try to restore a former registry, maybe from a backup, to get access to the recovery console
Boot recovery console, Fix MBR

Hope that helps,

regards
jcb

#24 Mist!

Zum ersten Mal, daß was schief lief mit combofix.

Durchsuchte auch einen älteren pc auf dem win2000 lief.

Autsch.

Seit combofix lief sygate nimmer, avast konnte plötzlich nix mehr beschützen und ich komme nicht mehr ins Internet von der Maschine.
Hab schon alle "common" Fehler abgecheckt.
Sollte eigentlich online gehen können. Geht aber nicht.
Seltsamer Weise habe ich eine Verbindung laut sys-inetverbindung.
Schickte 66 Pakete - kriegte aber nix zurück.
Die Hosts Datei ist auch ok.

Der INternet-Explorer kommt aber nicht online. Die auch installierte Fernsteuerung anderer Pcs kommt auch nicht online.

Hat bis vor kurzem aber noch alles funktioniert.

Also: Wo könnte ich noch suchen ?
Was könnte combofix da verbogen haben ?
Hat Combofix eine Funktion, um seine Änderungen rückgängig zu machen...oder steht das irgendwo drinnen ?

Alles, was ich weiß ist, daß combofix ftpx.dll in die quarantäne gesteckt hat.
Das Zurückkopieren brachte nix.
Ist übrigens scheinbar ne harmlose Datei - also falscher Alarm.

Was auch kurios ist: Ich komme nachwievor übers lan auf einen anderen PC.
Geht also alles, bis auf die Möglichkeit mit dem Explorer online zu gehen.

Hat wer ne Idee, was da passiert sein könnte ?


Danke für die Tips im voraus.

Hier mal das combofix log:

ComboFix 08-01-09.2 - ******* 01.01.2008 21:52:07.1 - [color=red]FAT32[/color]x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.183 [GMT 1:00]
ausgeführt von:: D:\****\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINNT\system32\FTPx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-09 bis 2008-01-09 ))))))))))))))))))))))))))))))
.

2008-01-23 21:35 . 23.01.08 21:35 16,384 --a----t- D:\WINNT\system32\Perflib_Perfdata_240.dat
2008-01-01 21:52 . 01.01.08 21:52 16,384 --a----t- D:\WINNT\system32\Perflib_Perfdata_2a4.dat
2008-01-01 21:50 . 31.08.00 08:00 51,200 --a------ D:\WINNT\NirCmd.exe
2007-12-16 15:25 . 16.12.07 15:25 <DIR> d-------- D:\Dokumente und Einstellungen\*******\vw
2007-12-16 15:24 . 16.12.07 15:24 <DIR> d-------- D:\Programme\CallerIP
2007-12-16 13:41 . 16.12.07 13:41 16,384 --a------ D:\WINNT\system32\Perflib_Perfdata_220.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2001-07-15 18:37 271 ---h--w D:\Programme\desktop.ini
2001-07-15 18:37 22,080 ---h--w D:\Programme\folder.htt
1999-12-10 11:00 32,528 ----a-w D:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 D:\WINNT\system32\internat.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="D:\WINNT\system32\Macromed\Flash\FlashUtil9b.exe" [09.11.06 14:46 190072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 112400 D:\WINNT\system32\mobsync.exe]
"hpfsched"="D:\WINNT\hpfsched.exe" [23.09.98 23:42 35328]
"avast!"="c:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe" [05.08.06 08:23 108160]
"SmcService"="C:\PROGRA~2\spf\smc.exe" [15.10.04 19:40 2577632]
"NeroFilterCheck"="D:\WINNT\system32\NeroCheck.exe" [09.07.01 10:50 155648]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.5.0_07\bin\jusched.exe" [03.05.06 02:56 36975]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 D:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="D:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 21:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 15.02.02 10:51 24638 D:\WINNT\system32\PCANotify.dll

R0 Cdr4vsd;Cdr4vsd;D:\WINNT\system32\drivers\Cdr4vsd.sys [05.10.00 00:00 ]
R2 aswMon;avast! Standard Shield Support;D:\WINNT\system32\drivers\aswMon.sys [05.08.06 17:25 ]
R2 FastPara;FastPara;D:\WINNT\system32\drivers\FastPara.sys [28.07.97 16:23 ]
R2 HPFECP14;HPFECP14;D:\WINNT\system32\drivers\HPFECP14.SYS [25.09.98 10:54 ]
R3 mga64;mga64;D:\WINNT\system32\DRIVERS\mga64m.sys [29.11.99 17:47 ]
R3 ne2000;Novell/Eagle NE2000-Adaptertreiber;D:\WINNT\system32\DRIVERS\ne2000.sys [30.09.99 15:25 ]
S3 CallerIP;Visualware CallerIP;D:\Programme\CallerIP\cip-nt.exe [16.08.04 00:55 ]
S3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;D:\WINNT\system32\DRIVERS\el90xbc5.sys [23.10.99 12:22 ]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 21:56:33
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 09.01.2008 21:59:08
ComboFix-quarantined-files.txt 2008-01-09 20:59:04



*ratloser Blick*
Fancy Destroyer

#25 fancydestroye

hat Arnold mir per PN geschrieben - irgendwas stimmt nicht mit der CF

Zitat

Gelingt auch,nur nach dem scan kommt kein logfile !! In Qoobox stet eine Datei "Test"
Als ich CF mit Combofix /U wieder entferne kam ich nicht mehr ins Internetz auch Systemwiederherstellung kann ich nicht benutzen

schreib ihm mal eine PN und frag, wie er das Problem geloest hat...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 Pm ist geschrieben.

Und jetzt die blöde Frage des Abends: Was meinst du mit CF ?
Die Abkürzung ist mir momentan leider nicht geläufig.

Danke.

#27 Combofix ...... ........................
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#28 Arnold hat schon geantwortet.
Hat mir leider nicht helfen können.

Verflixt!
Wenn ich nur wüßte WO ich einen Hebel ansetzen KÖNNTE ...!

Ich überlege, ob vielleicht doch irgend ein Trojaner gelöscht wurde & jetzt der Pc nimmer weiß, wohin er mit den Daten soll.

Hab im Netz was in die Richtung gelesen.
Leider haben die zugehörigen Wunderproggies nix gebracht...

*ratlos*
Fancy Destroyer

EDIT EDIT EDIT:

*puuhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh*

Hab bis jetzt keine Ahnung, was combofix da angestellt hat...ABER...manchmal hat mann ja wesentlich mehr Glück, als Verstand.

Hab irgendwann mit irgendwas eher zufällig ein sysbackup gemacht - bzw. konnte ich die Dateien software und system rücksichern.

Und...*Trommelwirbel+Schweißausbruch*...jetzt läuft das Internet wieder!

Ich sah mich schon das Sys neu aufsetzen - aber jetzt ist wieder alles ok.

Danke dennoch für die Tips und den Versuch zu Helfen.

mfg
Fancy Destroyer

#29 Hoppllaaaa!
Ich war garnicht so klug bzw. hatte Glück.
Combofix legt heimlich, still und leise ein Backup an und speichert das unter erdnt im Windowsordner

So zum Downloaden ist das übrigens unter http://www.larshederer.homepage.t-online.de/erunt/

mfg
Fancy Destroyer

#30 Hallo erstmal !
Nachdem ich Euer Forum öfter mal zu Hilfe genommen habe (immer mit Erfolg),habe ich mich heute doch mal selber hier angemeldet um auch mal meine "Erfahrung" mit diesem Virus (wahrscheinlich W32.Beagle.KF) niederzuschreiben der die hldrrr.exe und mdelk.exe bzw. die srosa.sys und die dazugehörigen Reg.- Einträge setzt.
Das Ding habe ich mir letzte Woche auch irgendwie "unterjubeln" lassen...Und komischerweise hatte ein Kollege von mir auch vor kurzem mit genau diesem Ding zu tun obwohl unsere PC's weder E-Mail-Kontakt oder sonstigen Datentausch zueinander gehabt hatten.
Da ich nicht ganz so mit einigen Begriffen umgehen kann (bin kein Profi),wie einige Andere Benutzer hier, -deshalb mal einen Bericht mit "meinen" Worten:
Habe einen Rechner mit Zwei Partitionen: C=Hauptpartition mit Win XP und all meinen Programmen (Diese war infiziert) und noch eine D-Partition wo WinXp nochmal als "Reserve-Betriebsystem" installiert ist.
Nachdem ich dann am PC gearbeitet habe (und wirklich nur mit harmlosen Dateien und Ordnern) blieb die Maus auf einmal stehen,der PC hing sich auf, und ging in den Shut-Down.Dann erschien eine Warnmeldung dass Windows beendet worden ist um den PC nicht zu beschädigen...-Fehlermeldung "STOP: 0X0000007E " (?) (später mit Hinweis, dass es mit srosa.sys zusammenhängen könnte)
-Nochmaliger Versuch des Hochfahrens,- Das Resultat war das gleiche.......
-Versuch mit dem abgesicherten Modus ins System zu kommen war auch nicht möglich (PC ist gleich wieder abgeschmiert)
-Na dann mit dem "zweiten" OS (auf "D") hochgefahren -hat geklappt
...die srosa.sys gesucht und auch die Dateien die zur selben Zeit hergestellt wurden (hldrrr.exe, mdelk.exe in W/system32 drivers)---versteckte Dateien!
-diese erstmal gelöscht !
Man staune -zur selben Zeit war eine Symantec Datei (dll ) die bei der Installation von NAV erstellt wurde, geändert worden ! (böses Zeichen)
-wieder versucht das Haupt OS zu starten ...Juhuuuu Erfolg ! Beim Hochfahren hat mir Secury Task Manager gemeldet, dass der Prozess "hldrrr.exe auf Grund des Reg.-Eintrages...bla bla bla bei jeden Start mit hochfahren will (zulassen?) ich natürlich auf "NEIN" geclickt --Just in dem Moment schmiert der PC wieder ab.
-Wieder mit Hilfs-XP(D) gestartet ,-siehe Da,- hldrrr.exe, mdelk.exe 'drüben auf "C" auch wieder da!!
-erneut gelöscht und nochmal die Dateien anhand des Datums+Uhrzeit durchsucht (alles von "D" aus) -Im Qurantäneordner von NAV auf "C" noch eine EXE.Datei manuell gelöscht
(ich nehme mal an, es war die (eine?) "Mutter" von " hldrrr.exe, mdelk.exe"----Datum, Zeit hat gestimmt!)
Dann war ich überrascht,dass Ad Aware, dass auf "C" installiert war, und erst upgedatet wurde, sich von "D" aus mit allen neuen Definitionen starten ließ...(wieder Jubel)
-Ad Aware durchlaufen lassen,- Resultat; etwa 20 Dateien in C/ WINDOWS/TASKS hats angemeckert (AT1-AT20. job waren die Namen der Einträge) ---> gefixt und entgültig entfernt die Dinger
jetzt PC wieder auf "C" hochgefahren --hat geklappt
Secury Task Manager hat zwar wieder gemeckert, aber diesmal hat es mein "NEIN" für die Zulassung der Programmstarts von "hldrrr.exe" "respektiert"
Mit der Angst vor dem nächsten Shut Down im Nacken dann schnell Hijackthis VON "C" AUF "C" durchgejagt, eiligst die Reg-Einträge gefixt die irgendwas mit "hldrrr.exe, mdelk.exe und srosa.sys" zutun hatten.(Auf die genaue logfile Auswertung von Hijackthis im Internet habe ich zu diesem Zeitpunkt wohl aus verständlichen Gründen verzichtet ---hatte kein Zweit-PC zur Hand -und Internetstecker war gezogen)
-Jetzt konnte ich in Ruhe erstmal das wahre Trümmerfeld besichtigen : Norton AV -abgeschossen, Sygate Firewall-abgeschossen.Versteckte Systemdateien, die ich eigentlich sichtbar gemacht hatte ---wurden nicht mehr angezeigt, Wollte die Option wieder anwählen, da fehlten sogar die Auswahleinträge (wo man normalerweise einen Punkt (Häkchen) setzt in der Liste (die dazugehörigen Registry-Einträge wurden wahrscheinlich auch durch den Virus manipuliert)
-Jetzt erstmal eigene Dateien , Adressbuch (wab) Datei, Favoriten usw gesichert.
-Nun habe ich etwas umstrittenes und abgeratenes gemacht : Versuch einer Systemwiederherstellung, natürlich mit Rückstelldatum das weeeiiiit vor der Infizierung lag.
-Dies angewählt- und das System fing an, fleißig im "Dateikeller" (System Volume Information) zu wühlen.
Nach dem Wiederhochfahren des PC's dann die Meldung: IHR SYSTEM KONNTE NICHT AUF DAS GEWÜNSCHTE DATUM ZURÜCKGESETZT WERDEN!
Es kam wie es kommen mußte: hldrrr.exe, mdelk.exe &CO waren WIEDER DA
-Die ganze Leier (Dateien manuel löschen von "D" aus) wieder von vorne durchgespielt!!!!!!.................und gleich die Systemwiederherstellung deaktiviert.
Anfangs hatte ich die Absicht Norton und die Firewall neu zu installieren.
Deshalb habe ich, als alles wieder (nach meinem Ermessen) "clean" war und das System auch nicht abstürtzte, die Windows CD eingelegt und eine Reperatur durchgeführt.
-Telefonisch neu registriert, und hochgefahren, komischerweise waren die Auswahlpunkte für die Ordneroptionen (versteckte Ordner anzeigen etc) auch nach dem Recovery
verschwunden
(Frage hierzu : Wo gibt es eine Reg Datei die alle (zerstörten) Reg Funktionen (für einzelne habe ich sie hier schon gesehen) wieder auf Standard zurücksetzt ?, hatte auch schon mal den Fall, wo mir einige Einträge zur Auswahl von Sytemtönen --ping.Wav.-- aus der Liste gefixt wurden, habe dann nach langem Suchen und Vergleichen aus dem zweiten OS die Ordner in der Registry manuell mit dem Wert dazu erstellt-erfolgreich .---Dieser Ton (Eintrag) ist damals von einem Virus deaktiviert worden , weil er ua. bei einer Vierenwarnung ertönt -Z.B.)- Es wird nicht der Ton gelöscht sondern die Optionszeile "Standard Warnsignal"---fehlt dann ganz!

Unterm Strich habe ich mich nach einer Datensicherung doch entschlossen die Platte platt zu machen und neu zu formatieren .
Für mich war nicht so 100% ig klar wo die Datei war, aus der die " hldrrr.exe, mdelk.exe & CO" immer wieder erstellt wurden (die waren zwischen 600 und 700 kb groß)
War es eine weitere(Mutter) Datei, wurde sie aus der Sysem Volume Information hergeholt obwohl das System nicht zurückgesetzt werden konnte?
Oder sogar im Boot-Sector (??) und hat den MBR gefaked (wie hier irgendwo zu lesen war) oder können die ".job" -Dateien (in Windows/Tasks) diese Informationen getragen haben ? Warum ist der PC immer abgeschmiert?- Durch Überlastung, weil der Virus XX Prozesse gestartet hat, oder als Schikane mit einem Shut-down Befehl (ähnlich wie Sasser vor einiger Zeit) ??????

Ich hoffe mit diesem etwas langem Beitrag auch mal ein paar Hinweise gegeben zu haben,und dass vielleicht der ein oder andere User auf einige ("Fehler"?) die ich gemacht habe vorgewarnt ist. Dummerweise kann ich nicht mit einem Hijackthis log dienen, denn ausgerechnet die Datei ist mir bei der Datensicherung durch die Lappen gegangen.
Dies alles aber mal als Dankeschön und als Revanchierung (Einstand) für die Hilfe in all' den Jahren betrachten, wo mir dieses Forum (durch bloßes durchlesen) immer aus der Tinte geholfen hat.
Hier noch einen Link wo weitere Informationen und Empfehlungen gegeben werden über diesen Schädling :
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2006-061613-2224-99&tabid=2