HJT-Log nach Trojanerinfektion |
Willkommen, Gast ( Anmelden | Registrierung )
HJT-Log nach Trojanerinfektion |
22.11.2004, 02:09
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 22.11.2004 Mitglieds-Nr.: 1.606 Betriebssystem: Windows 2000 SP4 |
Hallo!
Ich bräuchte dringend mal Rat von ein paar Experten... Mir ist vor 3-4 Tagen aufgefallen, dass nach dem booten ein prozess mehr im taskmanager aufgelistet war als sonst immer. Und zwar eine weitere "services.exe", die sich aber im Gegensatz zu der "echten" services.exe nicht in \windir\systems32 sondern nur in \windir befand - und außerdem nur 6 kb groß war und im Sysinternals Process Explorer auch als nicht zu der "Microsoft Corporation" gehörend angezeigt wurde. Manuelles löschen der Datei und Neustart zeigten keine Ergebnisse, der Fremdling wurde immer noch gestartet. Also hab ich folgendes gemacht: Auf kaspersky.de eine Trialversion von Anti-Virus Personal geladen (30 Tage testbar), installiert und alles im abgesicherten Modus gescannt. Oben erwähnte serives.exe war mit "Trojandownloader.Delf.cq" infiziert. Dazu noch 2 weitere .executables (Deren Namen getupd.exe und msappg.exe oder so ähnlich lauteten) mit gleicher Infektion, wobei auf die msappg.exe auch ein Verweis in der Registry gefunden wurde, irgendein Schlüssel unter run/activex oder sowas. Vermutlich wurde der Dienst auf diesem Weg gestartet. Alle infizierten Dateien wurden laut Kaspersky AV jedoch erfolgreich gelöscht, und der Rechner verhält sich zur Zeit auch sonst so wie in den Monaten zuvor. Ich habe mich mal ein wenig in die Thematik eingelesen und weitere Schritte ausgeführt, u.a. mit CWShredder und HijackThis (beide Programme ohne Schwierigkeiten start- und ausführbar). Seltsamerweise unterscheidet sich bei mir ein HijackThis-Log beim ersten Scan ein wenig von dem Log, das nach dem Speichern des ersten Logs und abermaligem Scannen entsteht (Wenn nach dem Speichern auf dem Button wieder "Scan" steht). Der Unterschied besteht in ein paar Einträgen zu default start- und searchpages, doch seht selbst: Log 1: Logfile of HijackThis v1.98.2 Scan saved at 15:44:49, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\System32\SCardSvr.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\stisvc.exe D:\WINNT\SCARDS32.EXE D:\Programme\WinGate\WinGate.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.EXE D:\Programme\WinGate\wgengmon.exe C:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97 Log 2: Logfile of HijackThis v1.98.2 Scan saved at 15:45:01, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\System32\SCardSvr.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\stisvc.exe D:\WINNT\SCARDS32.EXE D:\Programme\WinGate\WinGate.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.EXE D:\Programme\WinGate\wgengmon.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97 Was haltet ihr von der Sache? gez. O. |
|
|
22.11.2004, 03:37
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
sieht sauber aus...
Der Beitrag wurde von bond7 bearbeitet: 22.11.2004, 03:50 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
22.11.2004, 07:01
Beitrag
#3
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Ja ist sauber...die Eintrage bei Log 2 sind nur die Default Eintraege vom Betriebssystem.
-------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
27.11.2004, 04:15
Beitrag
#4
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 22.11.2004 Mitglieds-Nr.: 1.606 Betriebssystem: Windows 2000 SP4 |
Ok, danke...
Tut mir leid für die späte Anwort, aber ich war die paar Tage auf nem Kurztrip. Eines würde mich ja noch interessieren, denn ein Freund meinte die Delf-Trojaner bringen irgendwelche Backdoors mit sich, über die ein Angreifer Zugang zum System erlangen könnte. Beunruhigend zu wissen, wenn man in letzter Zeit viel Onlinebanking betrieben hat. Ich hab in ein paar Virendatenbanken nachgesehen, und viruslist.com z.B. kennt anscheinend die ganze Delf-Familie, leider ohne nähere Beschreibung. Andere Websites hatten auch ne ganze Menge Delfs, viele, von der Beschreibung her, zum Glück recht harmlos. Hoffentlich war meiner einer von denen.... Gruss Obedia |
|
|
27.11.2004, 04:23
Beitrag
#5
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
QUOTE denn ein Freund meinte die Delf-Trojaner bringen irgendwelche Backdoors mit sich delf trojan typen sind selbst die hintertürprogramme (backdoor) google: backdoor w32 Delf trojan -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Witti_* |
27.11.2004, 04:29
Beitrag
#6
|
Gäste |
Es kann sicher nicht schaden, wenn Du Deine PIN und auch sonstige Passwörter änderst.
|
|
|
Gast_Jens1962_* |
27.11.2004, 12:06
Beitrag
#7
|
Gäste |
Diese services.exe verursacht normalerweise ständigen Traffic von wenigen kB. Alle Paßwörter ändern ist hier absolut angebracht, ich konnte nicht nachvollziehen, was das Prog wohin sendet.
Wenn sie gelöscht wurde, dann wird sie über irgendeine "Phantasiedatei" wie mssyncr.exe oder wahrscheinlich auch der von Dir beschriebenen exe wieder installiert. Die Starter-Datei (zumindest war es bisher so) hat dieselbe Größe und dasselbe Erstelldatum wie diese services. Als Infektionsweg kenne ich bisher nur unsaubere Cracks, obwohl ein Prog zu cracken immer unsauber ist. Jens |
|
|
27.11.2004, 18:58
Beitrag
#8
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 22.11.2004 Mitglieds-Nr.: 1.606 Betriebssystem: Windows 2000 SP4 |
Du hast wohl Recht was den Infektionsweg angeht. Es war sicherlich keine Mail oder Website, allerdings habe ich keine Ahnung mehr, welche andere ausführbare Datei auf meinem Rechner es dann war. Ein Crack wars jedoch auch nicht, aber es könnte ja theoretisch sein, dass die infizierte Datei mit irgendwelchen Cracks ausgeliefert wird und dann auf welchem Weg auch immer an andere Orte gelangt ist und schließlich auch zu mir. Ich vermute mal es war eines dieser "Jokeprogramme" die mir ein Freund vor ewiger Zeit mal geschickt hat.
Passwörter habe ich geändert, ich hoffe nicht zu spät. Gibt es irgendeinen Weg, die Backdoor(s) aufzuspüren oder zur Not per TCPView o.ä. zu identifizieren? Gruss Obedia |
|
|
Gast_Witti_* |
27.11.2004, 19:35
Beitrag
#9
|
Gäste |
Wenn Du alle Zweifel beseitigen willst, installiere Dein System komplett neu, verwende nur Original-Medien bzw. Software von der Hersteller- u. Autorenseite, spiele alle Patches auf, benutze einen alternativen Browser/Mail-Client, kauf Dir einen vernündtigen Virenscanner u. ändere dann nocheinmal die Passwörter.
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.05.2024, 19:37 |