Virus / Wurm oder Spyware? (Auffällige Logfiles)

#1 Hi folks,

mein Rechner läuft eigentlich okay. Ich habe keine Probleme, Werbeeinblendungen oder Fehlermeldungen. Allerdings ist mir neulich ein komischer Aspekt im CCleander aufgefallen. Egal wie oft ich ihn benutze, es tauchen konstant immer wieder dieselben Registrierungseinträge mit dem Hinweis "Uninstaller-Verweis Fehler" auf. Immer dieselbe Anzahl von Einträgen. Ich habe diese als Logfile gespeichert und einmal gegoogelt. Viel dabei herausgekommen ist nicht, außer einem tschechischen Forum in dem ein Nutzer dieselben Reg-Einträge als Infektion postet:

http://forum.zive.sk/viewtopic.php?f=927&t=1025617
"Possible Fujacks-type Worm"

Ansonsten haben ich nichts zu dem Problem gefunden. Unter Umständen ist aber doch mehr als Spyware, denn laut dem Log von Rootkit-Revealer sind da gleich einige komische Einträge :/ Die Logdatei habe ich ebenfalls angehängt. Ansonsten habe ich mich an die Vorgaben gehalten und die in der Anleitung erstellten Logdateien gesammelt. Die Sammlung als .zip anbei. Was mir wie gesagt sorgen bereitet:

HKLM\SOFTWARE\Classes\blue.Shortcut\ 31.07.2007 18:20 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\

im Revealer-Log, da dieser Eintrag in der Registry wenn ich sie aufrufe schlicht nicht vorhanden ist. Dazu die folgenden Einträge aus dem CCleaner, die konstant immer wieder auftauchen:

Uninstaller-Verweis Fehler {09966C32-C34D-4FF4-8C7E-94A9630DDEF8} HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{09966C32-C34D-4FF4-8C7E-94A9630DDEF8}
Usw. (siehe .txt)

Und dazu ein Eintrag im Hijackthis-Log, den ich fixen kann so oft ich will:

O23 - Service: TIMWZSJB - Unknown owner - C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\TIMWZSJB.exe (file missing)

Das ist jeweils immer ein anderer. Ich versuche das nach einem Neustart mal zu aktualisieren. Soweit von meiner Seite. Der Rechner läuft wie gesagt super, doch bei Wurm-Gefahr würde ich ihn wohl neu aufsetzen.


S3 TIMWZSJB;TIMWZSJB;C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\TIMWZSJB.exe []
S4 EQK;EQK;C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\EQK.exe []
S4 IAH;IAH;C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\IAH.exe []

#2 Hallo, onliner

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

TIMWZSJB

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche mit:

EQK und IAH
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina und vielen Dank für Deine Antwort. Das scheint der richtige Ansatz zu sein. Es werden immer dieselben Pfade angezeigt.

#4 Hallo,

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
TIMWZSJB
EQK
IAH

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TIMWZSJB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EQK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IAH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IAH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IAH]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

poste das neue Log von Combofix

-------------------------------------------------------------------

2.
lade avz a) updaten ... b) scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Das scheint soweit geklappt zu haben Die drei Einträge sind in der Quarantäne-Sektion von Combofix. Der Scan mit avz hat einige einträge gefunden, allerdings halte ich diese bis auf Divx für falschen alarm. TortoiseSVN ist eine bekannte Software zum Management von Online-Projekten, die leider immer wieder als Malware erkannt wird.

An dieser Stelle bereits vielen Dank

Edit: *seufz* Nachdem die drei ersten Prozesse nun entfernt und in Qurantäne sind, habe ich direkt drei neue:

Fehlende MUI Beziehung C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\KXGFJQ.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Fehlende MUI Beziehung C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\JWZN.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Fehlende MUI Beziehung C:\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\MCJRLQ.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

Wenn ich nach diesen Suche (KXGFJQ, usw.) erhalte ich dieselben Registrierungseinträge wie beim ersten Mal. 1:1 dasselbe, nur andere Werte am Ende.

#6 ««
Start - Ausführen - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Wertname: RestrictAnonymous
Datentyp: REG_DWORD
Wert : 1 - ist der wert 1 oder 0 ???

-----------------------------------------------------------

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

MCJRLQ

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit: KXGFJQ - JWZN

««
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html

««
scanne mit dem Kaspersky - im abgesicherten modus und lasse auch die mails mitscannen + berichte

««
wende an otscanit + + setze ein Häkchen vor "Rootkit Search" - Yes + poste den report
http://virus-protect.org/artikel/tools/otscanit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

Bitdefender läuft noch (2,5h), danach führe ich Kaspersky und otscanit aus. Solange schon einmal die Info, dass in der Registry der von Dir bschriebene Wert auf "0" steht:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Wertname: RestrictAnonymous
Datentyp: REG_DWORD
Wert : 0

Anbei schon einmal das Log der Regsearch und von OTScantit

Edit: OTscanit mag mein Kaspersky nicht. Sobald ich das ausführe, gehen alle Alarmlampen an. Er meldet eine Infektion mit "Trojan.Win32.Inject.mf" Ich nehme mal an, dass es sich um eine Falscherkennung handelt. Habe nun leider besuch bekommen. Lasse den panda scan über nacht laufen.

------

edit (Sabina)

[Win32 Services - Non-Microsoft Only]
(MCJRLQ) MCJRLQ [Win32_Own | Disabled | Stopped] -> %SystemDrive%\DOKUME~1\CHIEFC~1\LOKALE~1\Temp\MCJRLQ.exe -> File not found

#8 Hallo

1.
erstelle ein log von tempfiles.bat + hier posten
http://virus-protect.org/artikel/tools/tempfiles-bat.html

2.
erstelle eine neue
cfscript.txt + aufs Symbol von Combofix ziehen

Zitat

Driver::
MCJRLQ

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCJRLQ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MCJRLQ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MCJRLQ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MCJRLQ]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCJRLQ]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MCJRLQ]

File::
C:\Dokumente und Einstellungen\Chief Chaos\Lokale Einstellungen\Temp\MCJRLQ.exe
C:\Dokumente und Einstellungen\Chief Chaos\Lokale Einstellungen\Temp\JWZN.exe

__________
MfG Sabina

rund um die PC-Sicherheit