Achtung ! Es wird nie eine oder mehrere iTans....

[hersch24]

oMG ?

die Meldung wird mir auf einigen seiten im Content angezeigt:evil:. War gestern LAN und jetzt spackt die kiste halt rumm ^^. Kennt jemand den infect ?.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:02:31, on 30.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox 4.0 Beta 4\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [{7E81F517-489E-B248-9880-A48EF0F828B7}] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Seaxy\depig.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 5535 bytes

is ja echt peinlich jetzt :o.

kb geh jetzt pennen analysiere das morgen. Erklärt auf jedenfall mein ungewöhnliches Ladeverhalten von seiten (siehe mein youtube thread den so ein übereifriger mod schon geschlossen hat^^). Verhalten ist halt Content Komplett laden (alles was per http durch geht) und relevante daten ersetzen bzw. ihrgend ein JS einsetzen. Da ich OnlineBanking mache habe ich das fenster zum Taneingeben schon gesehen und mich gewundert da ich garkeine TANs habe ^^. Naja morgen mal alles reversen.

[mbeezy]

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Seaxy\ depig.exe

Was ist das

Und dein Java-Verzeichnis ist auch richtig ja C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[$ubZer0]

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection
IE7.inf,FirstUserStart (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')

O4 - HKCU\..\Run: [{7E81F517-489E-B248-9880-A48EF0F828B7}] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Seaxy\ depig.exe"

... würde ich fixen

[390-7|2!|²|³]

Joa der depig.exe klingt komisch aber bin ich hier der einzige der stutzig wird wen ein treiber in gemeinsame dateien rumfliegt ??
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Und eigentlich sind mehrere svchost.exe auch nicht wircklich unauffällig

[Ascor]

"Und eigentlich sind mehrere svchost.exe auch nicht wircklich unauffällig"

Schwachsinn.
Ich hatte mal bei nem bekannten an die 30 laufen und alles lief noch prima.
Und momentan hab ich hier 0 laufen

[Bonkers]

\InstallShield\Driver\11\Intel 32\IDriverT.exe

Sowas findet man oft auf Dell-Rechnern. Die Treiber liegen teilweise in komischen Ordnern unter C:\ und dann in Verzeichnissen, die nach irgendwelchen Zahlen benannt sind. Könnte also auch vom Hersteller so erzeugt worden sein.

[Starflow]

Richtig...das die svchost.exe mehrmals auftaucht ist relativ Normal, da sie zum aufrufen der Libarys (dlls) benutzt wird. Deshalb wird sie auch öfters von verschiedenen Prozessen gleichzeitig aufgerufen.
Afaik kann man mit Tasklist/svc im CMD rausfinden was genau hinter welchem svchost Prozess steckt

[390-7|2!|²|³]

Hmm das mit den dell rechnern war mir neu.
svchost kann zwar mehrfach auftreten, aber z.b. der conficker nistet sich bervorzugt in svchost prozesse ein. Ok bei einfachen viren die sich da einnisten/ so nennen könnte man das über tasklist / svc rausfinden, prinzipiell zumindest.
Ok ab hier begebe ich mich mal auf "Fachl-glatteis"
bitte korrigiere mich wen ich mich irre aber die meisten binder Produzieren beim
ausführen der gebundenen datei einen prozess svchost.exe was ja auch logisch ist, da svchost ja die dll ausführt.

Bi ich gerade auf die nase gefallen ?

[hersch24]

jaja hört mal lieber auf scheisse zu labern .... svchost inject ist wohl sehr unratsam möchte ich mal erwähnen. Zu dem Thema muss lediglich ich noch was schreiben und das ist meine Auswertung.

mfg

le arsch