HJT-Log nach Trojanerinfektion Einstellungen

[Obedia]

Hallo!

Ich bräuchte dringend mal Rat von ein paar Experten...

Mir ist vor 3-4 Tagen aufgefallen, dass nach dem booten ein prozess mehr im taskmanager aufgelistet war als sonst immer. Und zwar eine weitere "services.exe", die sich aber im Gegensatz zu der "echten" services.exe nicht in \windir\systems32 sondern nur in \windir befand - und außerdem nur 6 kb groß war und im Sysinternals Process Explorer auch als nicht zu der "Microsoft Corporation" gehörend angezeigt wurde.

Manuelles löschen der Datei und Neustart zeigten keine Ergebnisse, der Fremdling wurde immer noch gestartet.

Also hab ich folgendes gemacht: Auf kaspersky.de eine Trialversion von Anti-Virus Personal geladen (30 Tage testbar), installiert und alles im abgesicherten Modus gescannt. Oben erwähnte serives.exe war mit "Trojandownloader.Delf.cq" infiziert. Dazu noch 2 weitere .executables (Deren Namen getupd.exe und msappg.exe oder so ähnlich lauteten) mit gleicher Infektion, wobei auf die msappg.exe auch ein Verweis in der Registry gefunden wurde, irgendein Schlüssel unter run/activex oder sowas. Vermutlich wurde der Dienst auf diesem Weg gestartet.
Alle infizierten Dateien wurden laut Kaspersky AV jedoch erfolgreich gelöscht, und der Rechner verhält sich zur Zeit auch sonst so wie in den Monaten zuvor.

Ich habe mich mal ein wenig in die Thematik eingelesen und weitere Schritte ausgeführt, u.a. mit CWShredder und HijackThis (beide Programme ohne Schwierigkeiten start- und ausführbar).

Seltsamerweise unterscheidet sich bei mir ein HijackThis-Log beim ersten Scan ein wenig von dem Log, das nach dem Speichern des ersten Logs und abermaligem Scannen entsteht (Wenn nach dem Speichern auf dem Button wieder "Scan" steht). Der Unterschied besteht in ein paar Einträgen zu default start- und searchpages, doch seht selbst:

Log 1:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:49, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97




Log 2:

Logfile of HijackThis v1.98.2
Scan saved at 15:45:01, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97



Was haltet ihr von der Sache?

gez. O.

[Voyager]

sieht sauber aus...

Der Beitrag wurde von bond7 bearbeitet: 22.11.2004, 03:50

[Remover]

Ja ist sauber...die Eintrage bei Log 2 sind nur die Default Eintraege vom Betriebssystem.

[Obedia]

Ok, danke...

Tut mir leid für die späte Anwort, aber ich war die paar Tage auf nem Kurztrip.


Eines würde mich ja noch interessieren, denn ein Freund meinte die Delf-Trojaner bringen irgendwelche Backdoors mit sich, über die ein Angreifer Zugang zum System erlangen könnte. Beunruhigend zu wissen, wenn man in letzter Zeit viel Onlinebanking betrieben hat.

Ich hab in ein paar Virendatenbanken nachgesehen, und viruslist.com z.B. kennt anscheinend die ganze Delf-Familie, leider ohne nähere Beschreibung. Andere Websites hatten auch ne ganze Menge Delfs, viele, von der Beschreibung her, zum Glück recht harmlos. Hoffentlich war meiner einer von denen....


Gruss
Obedia

[Voyager]

denn ein Freund meinte die Delf-Trojaner bringen irgendwelche Backdoors mit sich

delf trojan typen sind selbst die hintertürprogramme (backdoor)
google: backdoor w32 Delf trojan

[Gast_Witti_*]

Es kann sicher nicht schaden, wenn Du Deine PIN und auch sonstige Passwörter änderst.

[Gast_Jens1962_*]

Diese services.exe verursacht normalerweise ständigen Traffic von wenigen kB. Alle Paßwörter ändern ist hier absolut angebracht, ich konnte nicht nachvollziehen, was das Prog wohin sendet.
Wenn sie gelöscht wurde, dann wird sie über irgendeine "Phantasiedatei" wie mssyncr.exe oder wahrscheinlich auch der von Dir beschriebenen exe wieder installiert.
Die Starter-Datei (zumindest war es bisher so) hat dieselbe Größe und dasselbe Erstelldatum wie diese services.
Als Infektionsweg kenne ich bisher nur unsaubere Cracks, obwohl ein Prog zu cracken immer unsauber ist.

Jens

[Obedia]

Du hast wohl Recht was den Infektionsweg angeht. Es war sicherlich keine Mail oder Website, allerdings habe ich keine Ahnung mehr, welche andere ausführbare Datei auf meinem Rechner es dann war. Ein Crack wars jedoch auch nicht, aber es könnte ja theoretisch sein, dass die infizierte Datei mit irgendwelchen Cracks ausgeliefert wird und dann auf welchem Weg auch immer an andere Orte gelangt ist und schließlich auch zu mir. Ich vermute mal es war eines dieser "Jokeprogramme" die mir ein Freund vor ewiger Zeit mal geschickt hat.

Passwörter habe ich geändert, ich hoffe nicht zu spät.
Gibt es irgendeinen Weg, die Backdoor(s) aufzuspüren oder zur Not per TCPView o.ä. zu identifizieren?

Gruss
Obedia

[Gast_Witti_*]

Wenn Du alle Zweifel beseitigen willst, installiere Dein System komplett neu, verwende nur Original-Medien bzw. Software von der Hersteller- u. Autorenseite, spiele alle Patches auf, benutze einen alternativen Browser/Mail-Client, kauf Dir einen vernündtigen Virenscanner u. ändere dann nocheinmal die Passwörter.