PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Infiziert


GanonTC
26.08.2010, 17:16
Jo hiho FH....

Ich war vor 2 Tagen auf einer Lan und habe die ein oder anderen Dinge geöffnet.
Habe daraufhin gestern das hier auf C:/ gefunden:

OWNER03179008.txt
OWNER92517051.txt

=====================================
============ ProHackerz Stealer 1.0 ============
=====================================

InternetExplorer



Firefox 1.x>3.x
PK11_Authenticate Failed!
PK11_Authenticate Failed!
PK11_Authenticate Failed!

=====================================
======== FF 1>3 & IE7 Stealer =======
=====================================


Ich habe schon nen paar Sachen gefunden und gelöscht.
Bin mir aber nicht 100% sicher ob ich clean bin.
Wäre nice wenn ihr einmal drüber gucken könntet

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:09:32, on 26.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\ICQ7.2\ICQ.exe
C:\Programme\Teamspeak2_bot\TeamSpeak.exe
D:\World of Warcraft\Wow.exe
C:\WINDOWS\system32\sndvol32.exe
C:\Dokumente und Einstellungen\Ganontc\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Ask.com Deutschland - die andere Suchmaschine (http://de.ask.com?o=14302&l=dis)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 6879 bytes


Startuplist:

StartupList report, 26.08.2010, 18:16:47
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Ganontc\Desktop\HiJackThis.EXE
Detected: Windows XP SP3 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18702)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\ICQ7.2\ICQ.exe
C:\Programme\Teamspeak2_bot\TeamSpeak.exe
D:\World of Warcraft\Wow.exe
C:\WINDOWS\system32\sndvol32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Ganontc\Desktop\HiJackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

StartCCC = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Launch LgDeviceAgent = "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
Launch LCDMon = "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
Launch LGDCore = "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
avgnt = "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
=

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[AdobeUpdater]
=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

AcroIEHelperStub - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll - {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
(no name) - (no file) - {5C255C8A-E604-49b4-9D64-90988571CECB}
(no name) - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
(no name) - C:\Programme\Java\jre6\bin\jp2ssv.dll - {DBC80044-A445-435b-BC74-9C25C1C588A9}
JQSIEStartDetectorImpl - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Install_NSS.job

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\Bonjour\mdnsNSP.dll
NameSpace #5: C:\WINDOWS\system32\PrxerNsp.dll
Protocol #1: C:\WINDOWS\system32\PrxerDrv.dll
Protocol #7: C:\WINDOWS\system32\PrxerDrv.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Programme\Avira\AntiVir Desktop\aeheur.dll.tmp|||i

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WPDShServiceObj: C:\WINDOWS\system32\wpdshserviceobj.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 6.307 bytes
Report generated in 0,062 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



mfg Ganontc
H4CK0R
26.08.2010, 17:29
lass anti virus drüber laufen ;)

glaub kaum das irgendeiner grad bock hat alles durchzuschauen :D

aber ich wünsch dir das beste

mfg
100
26.08.2010, 17:37
Die Sache ist ja die, dass Schadcode sich auch in fremde Binarys injizieren kann. So könnte der Explorer.exe genau so infiziert sein, wie irgendeine andere Datei. Das geht aus solchen Logs nicht hervor. Wenn es nur ein Stealer war, so wars vermutlich eine einmalige Sache (Stealer schickt logs und löscht sich selber, da er ja keine doppelten Logs brauch). Wahrscheinlich wäre für mich aber, dass jemand dir nen Trojaner geschickt hat. Das kannst du relativ leicht rausfinden, wenn du mal mit TCPView 2 Minuten die Connections beobachtest.

Ansonsten würde ich im Zweifel (hängt davon ab was du auf deinem PC hast) immer mein OS neu installieren. Manuelle Entfernung von unbekannter Malware (und du weißt ja nicht was da noch alles drauf ist) kostet Zeit und ist ungenau, wenn man nicht wirklich Ahnung davon hat. Daten Backup, neu installieren und nen Backup von C machen, sodass du das Backup zukünftig binnen weniger Minuten laden kannst. Pass hierbei aber auf, dass du keine infizierten Daten mit backupst ;)
GanonTC
26.08.2010, 17:39
Die Sache ist ja die, dass Schadcode sich auch in fremde Binarys injizieren kann. So könnte der Explorer.exe genau so infiziert sein, wie irgendeine andere Datei. Das geht aus solchen Logs nicht hervor. Wenn es nur ein Stealer war, so wars vermutlich eine einmalige Sache (Stealer schickt logs und löscht sich selber, da er ja keine doppelten Logs brauch). Wahrscheinlich wäre für mich aber, dass jemand dir nen Trojaner geschickt hat. Das kannst du relativ leicht rausfinden, wenn du mal mit TCPView 2 Minuten die Connections beobachtest.

Ansonsten würde ich im Zweifel (hängt davon ab was du auf deinem PC hast) immer mein OS neu installieren. Manuelle Entfernung von unbekannter Malware (und du weißt ja nicht was da noch alles drauf ist) kostet Zeit und ist ungenau, wenn man nicht wirklich Ahnung davon hat. Daten Backup, neu installieren und nen Backup von C machen, sodass du das Backup zukünftig binnen weniger Minuten laden kannst. Pass hierbei aber auf, dass du keine infizierten Daten mit backupst ;)


Dein Post ist sehr Hilfreich, aber ich bin geistlich soweit...
Mir geht es halt darum das ich nicht neu aufsetzen kann.
Jury
26.08.2010, 17:40
Hab gerade bei mir geschaut und den gleichen Ordner gefunden + Logs...
100
26.08.2010, 17:44
Damit meine ich nicht dich sondern auch mich, man sucht nur nach eine Nadel im Heuhaufen obwohl man nichtmal weiß ob es nur eine ist. War nurn Tipp ist nämlich definitiv das Beste was man machen kann, auch wenn man nicht infiziert ist.
GanonTC
26.08.2010, 17:46
Damit meine ich nicht dich sondern auch mich, man sucht nur nach eine Nadel im Heuhaufen obwohl man nichtmal weiß ob es nur eine ist. War nurn Tipp ist nämlich definitiv das Beste was man machen kann, auch wenn man nicht infiziert ist.

;) Hast schon recht... Nur ich mag mir das nicht gerne antun mit all den Treibern wieder installieren usw..
Ich suche lieber nebenbei nen bisschen :>
Aufjendefall danke für deine Hilfe..

mfg
Ganontc
Apex
27.08.2010, 14:41
"Antun".. Backup vom Driver Ordner, dann haste alle deine Treiber wieder zusammen. Normalerweiße speichert man alle Installationsdateien von den Treibern oder zumindest alle Stammordner auf ner Ext. Festplatte oder CD aber, aber das macht man nur normalerweiße.

Ansonsten fällt mir in deinem Log nicht's auf, vielleicht mal mit Malwarebytes drübergehen, vielleicht findet der noch was. Aber danach dürftest clean sein. Im Sinne von "Es sind keine unauffälligen Dateien da". Wie es jedoch mit Injections oder so aussieht kann ich nicht sagen, sieht man ja nicht. :P