Virus/Trojan Gefunden in antivir nicht bekannt

#0
03.03.2004, 19:38
...neu hier

Beiträge: 3
#1 Auf einmal konnte ich weder taskman noch regedit oder msconfig öffnen.
Nachdem ich meine ganze festplatte überprüft hatte und keine ergebnise hatte, habe ich versucht ob da ein ungewöhnlicher prozess ist. ich hab dan mit process.exe ( von Craig.Peacock(AT!)beyondlogic(DOT!)org ) so lange prozesse gekillt bis ich wieder taskman öffnen konnte. Als ich smss.exe gekillt habe ging wieder alles. Ich habe dan nach smss.exe gesucht und es 3 mal gefunden in system32 in I368\SYSTEM32 und in ServicePacksFiles\i368. Die erste und dritte datei waren gleich und hatten die selbe größe. die in I368 war aber mehr als 10mal so groß (497 KB (508.928 Bytes)). ich gehe mal davon aus das da ein Virus oder Trojan drinne ist.
Seitenanfang Seitenende
03.03.2004, 19:56
Member
Avatar Dafra

Beiträge: 1122
#2 Poste bitte mal ein Hijackthis Log (unten steht wies geht).
MFG
DAFRA
Seitenanfang Seitenende
03.03.2004, 20:31
...neu hier

Themenstarter

Beiträge: 3
#3

Zitat

Dafra postete
Poste bitte mal ein Hijackthis Log (unten steht wies geht).
MFG
DAFRA
Mir ist ein kleiner fehler unterlaufen ich muss bei dem prozess killen in der zeile verutscht sein oder so. Als ich smss.exe nochmal gekickt habe konnte ich den taskman immer noch nichbenutzen. Ich such noch weiter nach dem prozess

achja und noch der log:

Logfile of HijackThis v1.97.7
Scan saved at 20:24:07, on 03.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\RealVNC\WinVNC\winvnc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\FMNTW.EXE
D:\Programme\AntiVir\AVGNT.EXE
D:\Programme\AntiVir\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\BENUTZERNAMEN\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.99.155.205:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Metacrawler - {2685A3D0-1459-45EE-8426-5B8CF98899A8} - C:\WINDOWS\Downloaded Program Files\metabar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ChkMail] èn‡
O4 - HKLM\..\Run: [CheckMedi8or] D:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Config] FMNTW.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AntiVir\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IECHECK.EXE] C:\WINDOWS\iecheck.exe
O4 - HKCU\..\RunOnce: [Windows Config] FMNTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2685A3D0-1459-45EE-8426-5B8CF98899A8} (Metacrawler) - http://www.metacrawler1.de/metabar/metabar.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B0CB41-047F-45C1-9DEC-DEE2E285FA7A}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D815E7D0-F932-4319-A9A9-ACC37CADE91A}: NameServer = 192.168.1.1,0.0.0.0



Und noch eine Liste mit allen prozessen:
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org

ImageName PID Threads Priority CPU Owner
Idle 0 1 0 49 Error 0x6 : Das Handle ist ung³ltig.
System 4 57 8 0 Error 0x5 : Zugriff verweigert
smss.exe 560 2 11 0 NT-AUTORIT─T\SYSTEM
csrss.exe 612 10 13 0 NT-AUTORIT─T\SYSTEM
winlogon.exe 636 21 13 0 NT-AUTORIT─T\SYSTEM
services.exe 680 25 9 0 NT-AUTORIT─T\SYSTEM
lsass.exe 692 25 9 0 NT-AUTORIT─T\SYSTEM
svchost.exe 868 11 8 0 NT-AUTORIT─T\SYSTEM
svchost.exe 1024 6 8 0 Error 0x5 : Zugriff verweigert
svchost.exe 1048 14 8 0 Error 0x5 : Zugriff verweigert
spoolsv.exe 1268 14 8 0 NT-AUTORIT─T\SYSTEM
explorer.exe 1580 14 8 5 LAPTOP\BENUTZERNAMEN
AVGUARD.EXE 1680 10 8 44 NT-AUTORIT─T\SYSTEM
ati2evxx.exe 1712 3 8 0 NT-AUTORIT─T\SYSTEM
AVWUPSRV.EXE 1820 3 8 0 NT-AUTORIT─T\SYSTEM
mdm.exe 1856 5 8 0 NT-AUTORIT─T\SYSTEM
Tablet.exe 1948 6 13 0 NT-AUTORIT─T\SYSTEM
winvnc.exe 1996 4 8 0 NT-AUTORIT─T\SYSTEM
atiptaxx.exe 208 1 8 0 LAPTOP\BENUTZERNAMEN
SynTPLpr.exe 272 3 8 0 LAPTOP\BENUTZERNAMEN
SynTPEnh.exe 284 3 8 0 LAPTOP\BENUTZERNAMEN
LaunchAp.exe 288 1 8 0 LAPTOP\BENUTZERNAMEN
HotkeyApp.exe 300 1 8 0 LAPTOP\BENUTZERNAMEN
ctrlvol.exe 312 1 8 0 LAPTOP\BENUTZERNAMEN
WButton.exe 324 1 8 0 LAPTOP\BENUTZERNAMEN
qttask.exe 428 5 8 0 LAPTOP\BENUTZERNAMEN
fmntw.exe 444 5 8 0 LAPTOP\BENUTZERNAMEN
AVGNT.EXE 460 2 8 0 LAPTOP\BENUTZERNAMEN
AVSCHED32.EXE 524 1 8 0 LAPTOP\BENUTZERNAMEN
ctfmon.exe 340 1 8 0 LAPTOP\BENUTZERNAMEN
cmd.exe 176 1 8 0 LAPTOP\BENUTZERNAMEN
svchost.exe 1068 8 8 0 NT-AUTORIT─T\SYSTEM
Process.exe 1588 1 13 0 LAPTOP\BENUTZERNAMEN



------------------- EDIT 2 --------------------------
so ich hab ihn gefunden es ist fmntw.exe in Wwindir\System32\
is 30kb groß
eine suche nach fmntw in google ergab nur eine seite auf der alle wörter von aaaaa-zzzzz standen.
Bin wohl der erste der den hat.
werd ihn mir mal im hexeditor anschauen und nach texten suchen.
ich glaub ich schreib ein remove tool.
Dieser Beitrag wurde am 03.03.2004 um 20:46 Uhr von jix editiert.
Seitenanfang Seitenende
03.03.2004, 20:42
Moderator

Beiträge: 7795
#4 Diese Daei wird wohl der Virus sein. Bitte das "fix"en:
O4 - HKCU\..\RunOnce: [Windows Config] FMNTW.EXE
O4 - HKCU\..\Run: [IECHECK.EXE] C:\WINDOWS\iecheck.exe
O4 - HKLM\..\Run: [Windows Config] FMNTW.EXE

Nach einem Neustart hier mal durcharbeiten: http://board.protecus.de/t9373.htm

und einen Onlinescann mit RAV/ Trend machen:
http://www.bul-online.de/av/onlinescan.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.03.2004, 20:56
...neu hier

Themenstarter

Beiträge: 3
#5

Zitat

raman postete
Diese Daei wird wohl der Virus sein. Bitte das "fix"en:
O4 - HKCU\..\RunOnce: [Windows Config] FMNTW.EXE
O4 - HKCU\..\Run: [IECHECK.EXE] C:\WINDOWS\iecheck.exe
O4 - HKLM\..\Run: [Windows Config] FMNTW.EXE

Nach einem Neustart hier mal durcharbeiten: http://board.protecus.de/t9373.htm

und einen Onlinescann mit RAV/ Trend machen:
http://www.bul-online.de/av/onlinescan.shtml
war gerade am editieren als der post kam.

hat sich geklärt:

fmntw.exe Packed: UPX
fmntw.exe Infected: Backdoor.Spyboter.gen

das ich keine google ergebnisse hatte lag wahrscheinlich an einem zufalls namen.


aber das antivir den nich findet mit aktueller datenbank spricht nicht grad für antivir
Dieser Beitrag wurde am 03.03.2004 um 20:59 Uhr von jix editiert.
Seitenanfang Seitenende
03.03.2004, 21:21
Moderator

Beiträge: 7795
#6 Datei einfach an virus@protecus.de schicken und er wird ihn bald erkennen!;) Aber gehe die anderen Sachen nochmal durch, die ich oben genannt hatte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende