Hilfe, was ist das? Einstellungen

[GMAX]

Hi,

auf einmal bekomme ich meine WIndows-Firewall nicht mehr aktiviert. Sie stellt sich jedes al von selbst wieder aus. Mit Hilfe von HiJackThis habe ich dann folgendes entdeckt:

O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll,


Was ist denn da los?

[Joerg]

Laut Google gehört die Datei wl_hook.dll zur Outpost-Firewall... hast Du diese (oder ein Produkt, das die Technologie der Outpost-FW verwendet) installiert?

Der Beitrag wurde von Joerg bearbeitet: 06.10.2005, 18:51

[Gast_rock_*]

vielleicht bringt der gesamte log mehr info...

wenn du den nicht posten möchtest kannst du den log auch automatisch auswerten und die dinge die dir nichts sagen, hier posten.

rock

[GMAX]

Hallo,

nein, habe nur die Windows-Firewall (WinXP SP2). Ich bekomme jedenfalls auf Teufel komm raus' die Win-Fw nicht mehr aktiviert. Sie deaktiviert sich ganz von selbst nach einigen Sekunden.

Viren, etc. habe ich anscheinen auch nicht. Mache gerade nochmals einen intensiven Scan mit mehrern AV-Scannern (Kaspersky online & Nod32).

Alles sehr merkwürdig!

[GMAX]

NACHTRAG:
Das hier ist seltsam und NEU:

O4 - HKLM\..\Run: [rtz456z445winsyst] c:\windows\system32\msnsyst32win.exe
O4 - HKLM\..\RunServices: [rtz456z445winsyst] c:\windows\system32\msnsyst32win.exe


Die entsprechende Datei enthält jedoch keinen Virus, Malware, etc. zumindest laut Kaspersky & NOD32.

[Voyager]

dem buchstabelsalat , installationsfolder und gleichzeitigem aufruf als RUN + Runservice nach zu urteilen ist es malware .

poste mal das ganze hijackthislog.

[GMAX]

Hier mal die gemachte LOG:
(Bis auf die genannten beiden Einträge scheint alles normal zu sein
-----------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:43:07, on 06.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Creative\Feature Mode Utility\CTModUtl.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Creative\Sound Blaster Audigy 2\DVDAudio\CTDVDDET.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
c:\windows\system32\msnsyst32win.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://r.wanadoo.fr/r/WGrecherche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster Audigy 2\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTFeatureModeUtility] C:\Programme\Creative\Feature Mode Utility\CTModUtl.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [rtz456z445winsyst] c:\windows\system32\msnsyst32win.exe
O4 - HKLM\..\RunServices: [rtz456z445winsyst] c:\windows\system32\msnsyst32win.exe
O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O15 - Trusted Zone: http://zypartner.zyxel.com
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15016/CTPID.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll,
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

[GMAX]

ALso es muss mit dieser .exe zusammenhängen, denn das ist die einzige unbekannte Datei von 1994 auf meinem System.

[Voyager]

wie gesagt , msnsyst32win.exe setzt sich meines erachtens aus MSN - System 32bit - WIN zusammen und sieht für mich wieder nach einer geschickten malware-namensfälschung aus wie 99% der würmer und viren dies machen.
zusätzlich kommt hinzu das die prozessbezeichnung nur aus einer reinen ansammlung von zeichen besteht , auch normal bei malware .
zu guter letzt ist der bevorzugte installationsort von viren und würmer meist immer windows und systemfolder.
alle diese anzeichen sprechen für einen malwarebefall , du solltest diese exe-datei sofort sichern und zur analyse an geeignete stellen weitergeben.

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll,

das sieht genauso gefährlich aus , zumal du auch noch windows-firewallprobleme bei dir feststellst.

Der Beitrag wurde von bond7 bearbeitet: 06.10.2005, 19:25

[GMAX]

Danke bond7 werde ich umgehend weiterleiten!

[GMAX]

So, die Datei wurde an die Hersteller versendet. Nun warte ich auf Feedback.
Sobald ich mehr weiß poste ich umgehend.

Nochmals DANKE an euch!

GMAX

[Gast_vampire_*]

wie groß ist die datei, GMAX ?

[GMAX]

Halte sie mit 852kB als recht groß.

[Gast_vampire_*]

sieht ganz verdächtig nach nem fullfeatured trojaner aus.
von der größe her tippe ich auf OptixPro...

[GMAX]

Hmm... habe ihn zum Glück rechtzeitig bemerkt.
Was hätte der denn anrichten können? Was sind denn die Spezialitäten von OptixPro?

[Gast_vampire_*]

damit kann man so ziemlich alles anrichten, derjenige hatte deinen rechner voll unter seiner kontrolle.

aber warte erstmal ab, vielleicht war es ja auch nur so'n spambot...

[GMAX]

okay! Hoffe der Gegner konnte nichts anrichten oder stehlen!

[GMAX]

So, nach acht Stunden hat Kaspersky folgendes geantwortet:
"Backdoor.Win32.Optix.Pro.13"


Alles klar, habe mir wohl so ein Ding eingefangen und kein Virenscanner hat es entdeckt.

Grüße,

GMAX

[Luzifer]

Ist deine Win legale???
Hast die originale Disk?
dann mache Repaire, Ausbesserung, braucht zwar viel Geduld, aber wuerste sicherer.
Rate dir, mach es selbst, den Handwerkern oder solche, die meinen Spezies, suchen nur Freierim, Zahler auf nix.

[Lucky]

Also sicherer wäre er bei so einem Trojaner wenn er sein Windows komplett neuaufsetzt. So ist jedenfalls nicht ausgeschlossen das er sich noch was anderes eingefangen hat.

- björn