PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Malware, Stealer, komische Verbindungen zufall?


Iaa_1
30.07.2010, 15:27
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:26:00, on 30.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Ivacy Monitor\IvacyMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8BABB7-EA4C-4A88-BAFA-3EC134CD0788}: NameServer = 1.254.3.2 1.254.3.3
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6713 bytes


Ich hatte echt einige komische Verbindungen, bin mir aber nicht sicher.
Fixi
30.07.2010, 15:33
Mhm ich bin zwar kein Profi in Hijackthis Logs auswerten aber mir ist nichts Besonderes aufgefallen außer diesem Eintrag hier


O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8BABB7-EA4C-4A88-BAFA-3EC134CD0788}: NameServer = 1.254.3.2 1.254.3.3 Wenn du weißt wohin oder von wem diese Ip ist ok aber wenn nicht fixe diesen Eintrag mal.



MFG
Iaa_1
30.07.2010, 15:36
Mhm ich bin zwar kein Profi in Hijackthis Logs auswerten aber mir ist nichts Besonderes aufgefallen außer diesem Eintrag hier


O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8BABB7-EA4C-4A88-BAFA-3EC134CD0788}: NameServer = 1.254.3.2 1.254.3.3 Wenn du weißt wohin oder von wem diese Ip ist ok aber wenn nicht fixe diesen Eintrag mal.

Kann es sein, dass der Eintrag von dem VPN-Anbieter / VPN-Programm "Ivacy" kommt?
//Edit: Ja, ist von Ivacy.
Fixi
30.07.2010, 15:38
Mhm kann ich dir leider nicht sagen sry. Aber könnte sein ja.
Wie gesagt kenne mich auch nicht sehr gut mit Hijackthis Log Files aus :/




MFG
Iaa_1
03.08.2010, 23:06
Malwarebytes' Anti-Malware 1.46
Malwarebytes (http://www.malwarebytes.org)

Datenbank Version: 4370

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.07.2010 16:46:12
mbam-log-2010-07-30 (16-46-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123824
Laufzeit: 10 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das ist das Logfile von Malwarebytes (neueste Updates gemacht).

Ist es normal, dass ggf. svchost.exe Verbindungen ins Inet machen? Vll. zum Updaten von Windows oder so. Die Verbindung zu den Hostern + affiliate.otto.de könnte ich mir so denken, dass es durch die Werbeeinblendung im Player war, aber es war als Systemprozess angezeigt. (TCPViewer)

TCP-Viewer (zeichnet nicht alles auf, weil einiges nur eine Sekunde da ist und weg):



alg.exe 3652 TCP pvk-53bb464adf9 1049 pvk-53bb464adf9 0 LISTENING
firefox.exe 816 TCP pvk-53bb464adf9 1737 lm-in-f147.1e100.net http ESTABLISHED 2 994 2 2.212
firefox.exe 816 TCP pvk-53bb464adf9 1784 proxy101.ethproxy.com http ESTABLISHED 15 11.120 24 31.073
firefox.exe 816 TCP pvk-53bb464adf9 1788 proxy101.ethproxy.com http ESTABLISHED 18 13.458 17 2.423
firefox.exe 816 TCP pvk-53bb464adf9 1789 proxy101.ethproxy.com http ESTABLISHED 17 12.735 17 2.424
firefox.exe 816 TCP pvk-53bb464adf9 1785 proxy101.ethproxy.com http ESTABLISHED 16 11.931 17 2.425
firefox.exe 816 TCP pvk-53bb464adf9 1786 proxy101.ethproxy.com http ESTABLISHED 19 14.230 20 2.855
firefox.exe 816 TCP pvk-53bb464adf9 1787 proxy101.ethproxy.com http ESTABLISHED 16 11.944 14 1.994
firefox.exe 816 TCP pvk-53bb464adf9 1791 global.underhostnetworks.com http ESTABLISHED
ICQ.exe 608 TCP pvk-53bb464adf9 1694 bos-d037c-rdr1.blue.aol.com 5190 ESTABLISHED 2 20
ICQ.exe 608 UDP pvk-53bb464adf9 1665 * *
jqs.exe 2168 TCP pvk-53bb464adf9 5152 localhost 1388 CLOSE_WAIT
jqs.exe 2168 TCP pvk-53bb464adf9 5152 pvk-53bb464adf9 0 LISTENING
LEXPPS.EXE 1656 TCP pvk-53bb464adf9 1025 pvk-53bb464adf9 0 LISTENING
lsass.exe 772 UDP pvk-53bb464adf9 isakmp * *
lsass.exe 772 UDP pvk-53bb464adf9 4500 * *
PnkBstrA.exe 2588 UDP pvk-53bb464adf9 44301 * *
PnkBstrB.exe 2732 UDP pvk-53bb464adf9 45301 * *
svchost.exe 1956 TCP pvk-53bb464adf9 1164 stun.client.akadns.net https ESTABLISHED 2 134 2 130
svchost.exe 1160 TCP pvk-53bb464adf9 netbios-ssn pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9421 pvk-53bb464adf9 0 LISTENING
svchost.exe 1036 TCP pvk-53bb464adf9 epmap pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9422 pvk-53bb464adf9 0 LISTENING
svchost.exe 1548 TCP pvk-53bb464adf9 2869 pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 1168 pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9423 pvk-53bb464adf9 0 LISTENING
svchost.exe 1548 UDP pvk-53bb464adf9 1900 * * 117 35.118
svchost.exe 1160 UDP pvk-53bb464adf9.t-com modem ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1165 * *
svchost.exe 1160 UDP pvk-53bb464adf9 netbios-ns * * 33 9.627
svchost.exe 1160 UDP pvk-53bb464adf9 ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1169 * * 48 2.675 5 325
svchost.exe 1548 UDP pvk-53bb464adf9.t-com modem 1900 * *
svchost.exe 1160 UDP pvk-53bb464adf9 netbios-dgm * *
svchost.exe 1160 UDP pvk-53bb464adf9 1058 * *
svchost.exe 1160 UDP pvk-53bb464adf9 ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1166 * * 83 4.521 3 196
svchost.exe 1956 UDP pvk-53bb464adf9 1035 * *
svchost.exe 1956 UDP pvk-53bb464adf9 phone * *
svchost.exe 1548 UDP pvk-53bb464adf9 1900 * *
System 4 TCP pvk-53bb464adf9.t-com modem 1060 pptp3.ivacy.com pptp ESTABLISHED 2 40 2 32
System 4 TCP pvk-53bb464adf9 microsoft-ds pvk-53bb464adf9 0 LISTENING
System 4 TCP pvk-53bb464adf9.t-com modem netbios-ssn pvk-53bb464adf9 0 LISTENING
System 4 TCP pvk-53bb464adf9 pptp pvk-53bb464adf9 0 LISTENING
System 4 UDP pvk-53bb464adf9.t-com modem netbios-dgm * *
System 4 UDP pvk-53bb464adf9.t-com modem netbios-ns * * 6 300
System 4 UDP pvk-53bb464adf9 microsoft-ds * *
T4EPlayer.exe 2644 TCP pvk-53bb464adf9 1780 89-149-245-248.just4play.de http ESTABLISHED 1 78 39 949.527

Was ist dies z.B.?
[System Process] 0 TCP pvk-53bb464adf9 1840 img.jaron.de:http http TIME_WAIT 3 7.621
Das selbe existiert auch mit *irgendwas*.deinprovider.net

Nachdem ich das System an sich für Sauber gehalten habe kam heute folgende Meldung:


In der Datei 'C:\WINDOWS\Installer\{30988956-A604-4974-9333-10B63252522D}\Icon9727C0A41.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Kann das auch irgendwie nicht böse / normal sein? Vll. von einem Programm, dass Icons ändern kann? Es wurde heute, vor wenigen Minuten, von Antivir erkannt. Malwarebytes und Hijackthis erkennen nichts. Jedoch braucht mein Netstat -b nicht mehr lange, bis er die Ausgabe anzeigt, sondern tut dies nun sofort. TCPViewer kann ebenfalls nichts verdächtiges entdecken.

//Edit: In dem Ordner waren noch 2 Exe-Dateien: Beide sind 0 / 42 und beide weisen nichts böses, laut Anubis, auf. Ich denke, dass die 3. Exe eine Falschmeldung war.