Fake "Security Center Alert" für Win32.Brontok -Wurm

#1 Mich hat es wieder erwischt...

Alle 15 Minuten und direkt nach dem Hochfahren des Systems erscheint ein PopUp-Fenster, das vortäuscht, dass die Windows-Firewall die verdächtige Software "Win32.Brontok" geblockt wurde. Klickt man die einzige Option "Enable Protection", so wird man nach dem (wiederum täuschend echten) Update Fenster aufgefordert eine Anti-Viren-Software herunterzuladen, die nichts mit Windows-Update usw. zu tun hat.
Etwas ähnliches ist mir vor einiger Zeit schon mal passiert und mir wurde klar gemacht, dass ich mir einen sog. "ZLOB" eingefangen habe.
Anti-Vir findet und hilft in diesem Fall nicht. Das mal zum Anfang; in kürze folgt das HiJackThis-Logfile....

Für Hilfe voraus schon Dankbar...

Piet002

#2

Zitat

Piet002 postete
... in kürze folgt das HiJackThis-Logfile....
Piet002

Hier das HJT-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:45:23, on 24.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\PeterW\Eigene Dateien\Downloads\Security-Software\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189174216317
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 4302 bytes

#3 ... Habe danach ComboFix ausgeführt. Hier das dazugehörige Log-File. ...
----------------------------------------------------------------------

ComboFix 09-07-23.02 - PeterW 24.07.2009 10:44.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.127.72 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\PeterW\Eigene Dateien\Downloads\Security-Software\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\ocprg23017248.exe
c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\Shell32.dll
c:\windows\system32\tmp.reg
c:\windows\Sysvxd.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-24 bis 2009-07-24 ))))))))))))))))))))))))))))))
.

2009-07-24 05:50 . 2009-07-24 05:50 4956408 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\pdinstall.exe
2009-07-24 05:34 . 2009-07-24 05:34 422 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\BitTorrent\mario.exe
2009-07-24 05:34 . 2009-07-24 05:34 16141 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Help\flamiks32.exe
2009-07-24 05:34 . 2009-07-24 05:34 145131 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Corel\pingo.dll
2009-07-24 05:34 . 2009-07-24 05:34 13221 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\AdobeUM\xl12.exe
2009-07-24 05:34 . 2009-07-24 05:34 11232 ----a-w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Adobe\norigami.dll
2009-07-14 07:18 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-14 07:18 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-14 07:18 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-14 07:18 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-14 07:17 . 2009-07-14 07:17 -------- d-----w- c:\programme\Avira
2009-07-14 07:17 . 2009-07-14 07:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-14 06:23 . 2009-07-14 06:23 -------- d-sh--w- c:\dokumente und einstellungen\PeterW\PrivacIE
2009-06-26 01:01 . 2009-06-26 01:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-06-25 14:41 . 2009-06-25 14:41 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-25 14:39 . 2009-06-25 14:40 -------- d-sh--w- c:\dokumente und einstellungen\PeterW\IETldCache
2009-06-25 13:11 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-25 13:09 . 2009-06-25 13:12 -------- d-----w- c:\windows\ie8updates
2009-06-25 13:07 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-25 13:07 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-25 13:02 . 2009-06-25 13:07 -------- dc-h--w- c:\windows\ie8

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 07:42 . 2007-09-20 03:45 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\uTorrent
2009-07-24 05:34 . 2007-09-20 22:59 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\BitTorrent
2009-07-24 05:34 . 2006-01-21 20:51 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Corel
2009-07-24 05:34 . 2005-11-08 14:54 -------- d-----w- c:\dokumente und einstellungen\PeterW\Anwendungsdaten\AdobeUM
2009-07-14 08:28 . 2005-10-29 17:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-14 08:23 . 2005-10-29 17:25 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-14 07:01 . 2005-10-31 12:51 -------- d-----w- c:\programme\Google
2009-07-14 06:51 . 2007-12-09 19:06 -------- d-----w- c:\programme\PartyGaming.Net
2009-07-14 06:39 . 2007-09-08 21:45 -------- d-----w- c:\programme\Opera
2009-07-13 07:59 . 2007-09-20 03:44 -------- d-----w- c:\programme\uTorrent
2009-06-16 14:53 . 2004-08-05 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:26 . 2004-08-05 12:00 1296384 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:02 . 2004-08-05 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-09 16:04 . 2004-08-05 12:00 63976 ----a-w- c:\windows\system32\perfc007.dat
2009-05-09 16:04 . 2004-08-05 12:00 391574 ----a-w- c:\windows\system32\perfh007.dat
2009-05-07 15:42 . 2004-08-05 12:00 346624 ----a-w- c:\windows\system32\localspl.dll
2007-09-07 13:14 . 2005-10-31 12:52 135680 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus C66 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE" [2003-11-27 99840]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\programme\Office2K\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0pgdfgsvc C 1

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\uTorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=

S1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [2005-12-26 81408]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-07-14 108289]
S3 ALiIRDA;ALi-Infrarotgerätetreiber;c:\windows\system32\DRIVERS\alifir.sys [2001-08-17 26624]
S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\DRIVERS\LTSM.sys [2001-08-17 802683]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-07-21 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2009-07-14 13:31]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-realteks - c:\dokumente und einstellungen\PeterW\Anwendungsdaten\Google\ocprg23017248.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-24 11:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2420)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\atievxx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-24 11:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-24 09:22
ComboFix2.txt 2007-09-11 10:38

Vor Suchlauf: 1.480.531.968 Bytes frei
Nach Suchlauf: 1.471.070.208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

137 --- E O F --- 2009-07-15 04:23

#4

Zitat

Piet002 postete
... Habe danach ComboFix ausgeführt. Hier das dazugehörige Log-File. ...

Nach der Ausführung von ComboFix scheint das Problem behoben zu sein. Der gefälschte "Security-Alert" tritt jedenfalls nicht mehr als PopUp auf.

Falls jemand mit mehr Wissen über diesen Fall noch ein Problem aus dem oben geposteten Log-Files erkennt, wäre es nett, dies in diesem Thread mir mitzuteilen.

Danke in voraus....

Piet002

#5 MalwareBytes' Anti-Malware
Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download MalwareBytes' Anti-Malware

Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”>> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus