hmunmlcl##.exe im Temp-Ordner

#0
14.10.2008, 02:20
Member
Avatar Gool

Beiträge: 4730
#1 Seit einiger Zeit finde ich in meinem Temp-Verzeichnis (Windows Vista) unter C:\Users\Gool\AppData\Local\Temp\~tmp\ hin und wieder versteckte Verzeichnisse mit dem Namen hmunmlcl## (wobei ## eine variable Zahl darstellen) mit einer gleichnamigen .exe-Datei (bspw. hmunmlcl98.exe). Mein Virenscanner (G DATA AntiVirus 2009) erkennt diese Dateien hin und wieder (!) auch mal als "Win32.Trojan-gen {other}", was natürlich zu Spekulationen einlädt. Bei http://virusscan.Jotti.org eingeworfen, erhalte ich bei der aktuellen Datei weitere Namen:

AntiVir: Found TR/Agent.iob
CPsecure: Found Troj.Proxy.W32.Horst.av
Dr.Web: Found Win32.HLLW.Medbod.origin
Ikarus: Found Virus.Win32.Virut.as
Norman Virus Control: Found W32/Smalldoor.CQGT
Sophos Antivirus: Found Mal/NotSocial-A

Zusatz-Info:
MD5: 01ec663174168de260b1ce034cdb7f68
Packers detected: PE_PATCH.UPX, UPX

Die übrigen Virenscanner (auch G DATA) liefern zu dieser Datei keine Ergebnisse.

Jetzt ist natürlich die Frage, wo kommt das her?

Mit Sophos habe ich nun mal meinen PC gescannt, aber nichts weiter verdächtiges feststellen können (natürlich wurde die Datei erkannt und in die Quarantäne verschoben). Auch im HijackThis konnte ich nichts auffälliges entdecken. Der Virenscanner von Dr. Web läuft noch durch, aber ich habe wenig Hoffnung, dass er was verwertbares findet.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 14.10.2008 um 04:12 Uhr von Managor editiert.
Seitenanfang Seitenende
14.10.2008, 04:33
Moderator

Beiträge: 5694
#2 Hallo

Arbeite folgendes ab:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
14.10.2008, 16:59
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#3 Ich mach sowas ja nicht zum ersten Mal - aber den Combofix hatte ich außer Acht gelassen. Ich habe ihn jetzt zur Sicherheit nochmal durchlaufen lassen, was allerdings auch zu keinem Ergebnis geführt hat. Zwar hat er eine install.exe gefunden, die er auch gelöscht hat, aber bei Jotti wurde diese Datei auch nicht als infiziert erkannt. Diese Datei gehört zu "Microsoft Visual C++ 2005 Redistributable".

Aber vielleicht schiebe ich auch grundlos Panik und diese merkwürdigen Dateien enthalten nur Signaturen eines Trojaners, sind aber letztendlich harmlos und Bestandteil einer legitimen Software (bspw. SandboxIE). Ich werde aber auf jeden Fall weiter nachforschen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
15.10.2008, 17:30
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#4 So, im Verzeichnis ..\AppData\Roaming habe ich gestern noch eine Datei Namens esentutl.exe* gefunden, die bei Jotti von Ikarus und A-Squared als Win32.Tervemoy.A identifiziert wurde (alle anderen Virenscanner haben nichts erkannt).

Außerdem befand sich eine mit Win32.Tervemoy.A infizierte Datei im SandboxIE-User-Ordner, was mich auf die Idee bringt, dass das Ding wohl aus der Sandbox ausgebrochen ist. Ich hatte vor einiger Zeit mal ne merkwürdige Datei getestet. Ok, zukünftig mach ich das doch nur noch in virtuellen Maschinen, das ist mir sicherer.

Seit ich diese ganzen Dateien unschädlich gemacht habe (außerdem habe ich das Verzeichnis ~tmp im Temp-Verzeichnis angelegt und alle Zugriffsrechte entzogen), ist bisher nichts wieder aufgefallen. Aber abwarten...

* Ohne Microsoft Zertifizierung, also war es nicht die legitime Esentutl.exe, die sowieso eigentlich nur auf Windows Servern zu finden wäre und dann im System32-Verzeichnis.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 15.10.2008 um 17:40 Uhr von Managor editiert.
Seitenanfang Seitenende
15.10.2008, 18:39
Moderator

Beiträge: 7805
#5 Im Zweifelsfalle schicke die Dateien an meine Adresse unten, es duerfen ruhig mehrere Varianten deiner hmunmlcl sein.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.10.2008, 17:49
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#6 Jetzt habe ich es nochmal gewagt und die Rechte wieder normal gesetzt (bzw. den Ordner gelöscht). Die heutigen Dateien hießen gmrg01.exe (mal was neues) und hmunmlcl03.exe. Nachdem ich per Zufall über ein eigentlich alt bekanntes Tool, den Prozess-Monitor von Microsoft/Sysinternals gestolpert bin, werde ich jetzt mal mit loggen und gucken, wie sich das Ding dort einnistet. Mein Virenscanner hat Alarm gegeben, als die Druckerwarteschlange darauf zugreifen wollte - hmmm... merkwürdig.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.10.2008, 20:34
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#7 Also, das Ding wird tatsächlich von spoolsv.exe angelegt und gestartet. Die hmunmlcl##.exe wird wie folgt gestartet:

C:\Users\Gool\AppData\Local\Temp\~tmp\hmunmlc03\hmunmlc03.exe iu=http://w2.stat-run.com/work/task.php?c=hotmail&unml=1;n=50;t=5;l=5;b=ag;k=1;dl=0

Wenn ich diese Adresse aufrufe, erhalte ich ein XML-Dokument als Antwort mit folgendem Inhalt:

<err>0</err>
<URL>http://j1.stat-run.com/work/timeout.php</URL>
<URL>http://w2.stat-run.com/work/post5.php</URL>
<URL>http://j1.stat-run.com/work/status.php</URL>
<URL>http://j1.stat-run.com/work/report.php</URL>
<URL>http://t.stat-run.com/hm/adlnks.php</URL>

In Betrieb, nimmt es den Kontakt zu verschiedenen, offenbar nicht zusammen hängenden Servern über verschiedene Ports auf. Interessanterweise sind da auch einige Microsoft-Server dabei. Was aber auch durchaus damit zu erklären wäre, dass dieser Schädling ein Spambot sein könnte.

Ich werde erstmal die stat-run.com und die Subdomains auf 127.0.0.1 erden.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.10.2008, 21:51
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#8 So, ich denke, ich hab's...

Kein Programm konnte die Dinger entdecken. Unter c:\Users\Gool\AppData\Roaming\Microsoft waren 4 .exe-Dateien. Einmal die comrepl.exe (nach der hatte ich sogar schon gesucht, aber sie nicht gefunden), eine spoolsv.exe (aha!), eine dllhst3g.exe und eine rsvp.exe. Die Dateien ließen sich problemlos im abgesicherten Modus entfernen. Ich habe sie aber noch vorher archiviert (falls jemand Interesse hat). Auf die Idee, in dem oben genannten Verzeichnis zu suchen, bin ich gekommen, nachdem ich mal ne Firewall installiert hatte, um kurzfristig für diese Sache einen genaueren Überblick zu erhalten, welche Prozesse (zumal ich die spoolsv.exe ja sowieso schon im Auge hatte) auf das Internet zugreifen und verdächtige Prozesse zu blockieren.

Der Autostart ging über HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows im Wert "load"

Ärgerlich ist jetzt nur, dass Combofix mir mein System etwas durcheinander gebracht hat, aber bei der Problemlösung nicht helfen konnte.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
23.10.2008, 17:56
...neu hier

Beiträge: 1
#9 Danke, managor, für die Dokumentation. Ich hatte gerade ebenfalls das Vergnügen mit TR/Agent.iob, und sie hat mir bei der Lösung geholfen. Bei mir waren die erstellten .exe-Dateien im ~tmp-Ordner die gleichen, und es tauchten ebenfalls verdächtige .exe in c:\Users\name\AppData\Roaming\Microsoft auf. Ausgangspunkt des Ganzen war bei mir allerdings eine cisv.exe im Ordner c:\windows\system, die über Autostart lief. Erst nachdem ich die im abgesicherten Modus gelöscht hatte, war der Spuk vorbei.

Hoffe, das hilft anderen im Fall der Fälle weiter.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: