![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() ![]() |
![]() |
![]()
Beitrag
#1
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
Ein Kollege von mir Vermutet eine Infektion seines Rechners.
Beim Systemstart aufpoppende Fenster, versuchter Verbindungsaufbau (mit???) offenbar initiiert von "oozeclosegreat.exe'". Ich habs mir leider noch nicht vor Ort anschauen können, dh ist der Bericht hier auch so lückenhaft, hab aber die oozeclose von ihm per Mail bekommen. Bei VT und Jotti nix, sein stationäres Antivir mosert nicht, mein AVK'07 auch nicht. Bei Google gibt's ein paar Hits (sogar einen Thread auf Rokop) Die einhellige Meinung scheint zu sein, das es sich um Malware handelt, was genau die macht, wird aber nicht klar. Leider auch keine Security-Software-Schmiede dabei... Kann jemand mutiges, der über ein Testsystem oder eine Sandkiste & Ahnung verfügt das Teil mal laufen lassen und rückmelden, was es so treibt? Verschicke das File so, wie ihr wollt (Nativ, gepackt, gepackt+verschlüsselt) Um das System des Kollegen kümmer ich mich noch und melde auch zurück (nicht so wie Holger damals, versprochen!) Edit: Der Kollege hat auch AdAware und Spybot drübergejagt: Nix... Der Beitrag wurde von hypnosekroete bearbeitet: 27.01.2007, 19:21 -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
Gast_Scrapie_* |
![]()
Beitrag
#2
|
Gäste ![]() |
Hi
Check your PN plz ![]() Scrapie |
|
|
![]()
Beitrag
#3
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Ohne das gross Geprueft zu haben, tippe ich auf Swizzor/Lop Adware. Wird gerne mit Netpumper, Messenger Plus und einigen anderen Dingen installiert.
-------------------- MfG Ralf
|
|
|
![]()
Beitrag
#4
|
|
![]() Threadersteller Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
@Scrapie:
Sie haben Post! ![]() @raman Quelle?? Der Beitrag wurde von hypnosekroete bearbeitet: 27.01.2007, 21:11 -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
![]()
Beitrag
#5
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Erfahrung und google. Der Dateiname passt einfach zu gut zu Swizzor!
![]() -------------------- MfG Ralf
|
|
|
Gast_Scrapie_* |
![]()
Beitrag
#6
|
Gäste ![]() |
Hi
- Ist keine gültige Win32-Anwendung (in Olly und PE-Header passt auch nicht) - Keine Installation / kopieren - Keine RegKeys - Keine Verbindung zum Netz - Schmiert mit undefinierbarer Fehlermeldung ab - Sieht mir eher als 'Zwischenlager' für versch. Pfade aus. Zumindest enthält es ne Menge Strings. Einige davon enthalten auch einen Namen, daher poste ich sie mal nicht hier offen. Könnte ja der von deinem Freund sein. Strings sind alle in der Form: QUELLTEXT \DEVICE\HARDDISKVOLUME1\PROGRAMME\INTERNET EXPLORER\ \DEVICE\HARDDISKVOLUME1\PROGRAMME\SPYWARE DOCTOR\ Meine Meinung: Alleine harmlos, aber irgendwo gehört es wohl dazu und was das genau darstellt = ?, Scrapie |
|
|
![]()
Beitrag
#7
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Obacht Swizzor ist upc gepackt!
-------------------- MfG Ralf
|
|
|
Gast_Scrapie_* |
![]()
Beitrag
#8
|
Gäste ![]() |
ZITAT(raman @ 27.01.2007, 21:34) [snapback]183619[/snapback] Obacht Swizzor ist upc gepackt! Wenn gepackt, dann wären die Strings nicht so lesbar (Klartext)... @hypnosekroete: Hat dein Kollege eine FujitsSiemens-Kiste Scrapie |
|
|
![]()
Beitrag
#9
|
|
![]() Threadersteller Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
ZITAT(Scrapie @ 27.01.2007, 21:39) [snapback]183620[/snapback] Hat dein Kollege eine FujitsSiemens-Kiste Da fragste mich was... kA, sorry. Warum die Fräge? -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
Gast_Scrapie_* |
![]()
Beitrag
#10
|
Gäste ![]() |
ZITAT(hypnosekroete @ 27.01.2007, 21:50) [snapback]183621[/snapback] Da fragste mich was... kA, sorry. Warum die Fräge? Weil es sein könnte, das es was mit dem "Storage Control Center Agent" zu tun hat - wenn er nen Siemens hat. Nur so ein Gedanke... Scrapie |
|
|
![]()
Beitrag
#11
|
|
![]() Threadersteller Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
@scrapie
Ist keine Siemens-Kiste, sondern ein Dell-PC Hab mir das File jetzt auch mal angeschaut, der Name ist der meines Kollegen.... ![]() -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
![]()
Beitrag
#12
|
|
![]() Threadersteller Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
Hab mir den Rechner mal vorgenommen:
AntiVir hatte folgendes in Quarantäne: TR/Obfuscated.BE in: 2rgzyuuw.exe; tmdspzju.exe; Time Idol Rule.exe; AdminteersInterJunk owns.up.exe; greywindow.exe; oozeclosegreat.exe Im Protokoll noch gefunden: TR/Crypt.xPack.Gen in c:\system volume information\** (Konnte nicht verschoben/gelöscht werden) Nach Deaktivieren der Systemwiederherstellung und Reinigung durch Knoppicillin sieht alles gut aus. Hijackthis-Log ist laut automatischer Auswertung frei von kritischen Einträgen, einige Fragliche sind dabei, diese beziehen sich alle auf Spywarefighter und Spywaredoctor, bin mir nicht sicher wie vertrauenswürdig die sind Trotzdem platt machen oder ... ![]() Ich kann auch das ganze HJT-Log zur Verfügung stellen, bin nur nicht sicher ob hier oder im HJT-Unterforum... Krötigen Dank an alle Helferlein! -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
![]()
Beitrag
#13
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Wie gesagt, das ist eine Swizzor Variante, poste bitte ein Hijackthis log und ein Combofix log( um den Task zu finden, der das ding wieder neu installiert)
http://virus-protect.org/artikel/tools/combofix.html -------------------- MfG Ralf
|
|
|
![]()
Beitrag
#14
|
|
![]() Threadersteller Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 ![]() |
OK, hoffe mal das HJT-Log ist hier dann i.O
![]() Combofiix folgt! Und vorweg nochmal: Bin begeistert von diesem Forum! Mir gefällts sonst nirgendwo so gut! Grosses Lob an alle Beteiligten! ![]() ![]() ![]() Logfile of HijackThis v1.99.1 Scan saved at 17:06:17, on 30.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\SPYWAREfighter\spfprc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SPYWAREfighter\spftray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\DitExp.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=h**p://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/299979f73c114d8c6c16/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093094894359 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - klaMacrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 25.06.2024, 13:40 |