oozeclosegreat.exe, ...macht genau was?? Einstellungen

[hypnosekroete]

Ein Kollege von mir Vermutet eine Infektion seines Rechners.
Beim Systemstart aufpoppende Fenster, versuchter Verbindungsaufbau (mit???) offenbar initiiert von "oozeclosegreat.exe'". Ich habs mir leider noch nicht vor Ort anschauen können, dh ist der Bericht hier auch so lückenhaft, hab aber die oozeclose von ihm per Mail bekommen. Bei VT und Jotti nix, sein stationäres Antivir mosert nicht, mein AVK'07 auch nicht.
Bei Google gibt's ein paar Hits (sogar einen Thread auf Rokop) Die einhellige Meinung scheint zu sein, das es sich um Malware handelt, was genau die macht, wird aber nicht klar. Leider auch keine Security-Software-Schmiede dabei...

Kann jemand mutiges, der über ein Testsystem oder eine Sandkiste & Ahnung verfügt das Teil mal laufen lassen und rückmelden, was es so treibt? Verschicke das File so, wie ihr wollt (Nativ, gepackt, gepackt+verschlüsselt)

Um das System des Kollegen kümmer ich mich noch und melde auch zurück (nicht so wie Holger damals, versprochen!)

Edit:
Der Kollege hat auch AdAware und Spybot drübergejagt: Nix...

Der Beitrag wurde von hypnosekroete bearbeitet: 27.01.2007, 19:21

[Gast_Scrapie_*]

Hi

Check your PN plz

Scrapie

[raman]

Ohne das gross Geprueft zu haben, tippe ich auf Swizzor/Lop Adware. Wird gerne mit Netpumper, Messenger Plus und einigen anderen Dingen installiert.

[hypnosekroete]

@Scrapie:
Sie haben Post!

@raman
Quelle??

Der Beitrag wurde von hypnosekroete bearbeitet: 27.01.2007, 21:11

[raman]

Erfahrung und google. Der Dateiname passt einfach zu gut zu Swizzor!

[Gast_Scrapie_*]

Hi

- Ist keine gültige Win32-Anwendung (in Olly und PE-Header passt auch nicht)
- Keine Installation / kopieren
- Keine RegKeys
- Keine Verbindung zum Netz
- Schmiert mit undefinierbarer Fehlermeldung ab
- Sieht mir eher als 'Zwischenlager' für versch. Pfade aus.
Zumindest enthält es ne Menge Strings. Einige davon enthalten auch einen Namen, daher poste ich sie mal nicht hier offen. Könnte ja der von deinem Freund sein.
Strings sind alle in der Form:

QUELLTEXT

\DEVICE\HARDDISKVOLUME1\PROGRAMME\INTERNET EXPLORER\
\DEVICE\HARDDISKVOLUME1\PROGRAMME\SPYWARE DOCTOR\

Meine Meinung:
Alleine harmlos, aber irgendwo gehört es wohl dazu und was das genau darstellt = ?,

Scrapie

[raman]

Obacht Swizzor ist upc gepackt!

[Gast_Scrapie_*]

Obacht Swizzor ist upc gepackt!

Wenn gepackt, dann wären die Strings nicht so lesbar (Klartext)...

@hypnosekroete:
Hat dein Kollege eine FujitsSiemens-Kiste

Scrapie

[hypnosekroete]

Hat dein Kollege eine FujitsSiemens-Kiste

Da fragste mich was... kA, sorry.
Warum die Fräge?

[Gast_Scrapie_*]

Da fragste mich was... kA, sorry.
Warum die Fräge?

Weil es sein könnte, das es was mit dem "Storage Control Center Agent" zu tun hat - wenn er nen Siemens hat.
Nur so ein Gedanke...

Scrapie

[hypnosekroete]

@scrapie
Ist keine Siemens-Kiste, sondern ein Dell-PC
Hab mir das File jetzt auch mal angeschaut, der Name ist der meines Kollegen....

[hypnosekroete]

Hab mir den Rechner mal vorgenommen:

AntiVir hatte folgendes in Quarantäne:
TR/Obfuscated.BE in:
2rgzyuuw.exe; tmdspzju.exe; Time Idol Rule.exe; AdminteersInterJunk owns.up.exe; greywindow.exe; oozeclosegreat.exe

Im Protokoll noch gefunden:
TR/Crypt.xPack.Gen in c:\system volume information\**
(Konnte nicht verschoben/gelöscht werden)


Nach Deaktivieren der Systemwiederherstellung und Reinigung durch Knoppicillin sieht alles gut aus.
Hijackthis-Log ist laut automatischer Auswertung frei von kritischen Einträgen, einige Fragliche sind dabei, diese beziehen sich alle auf Spywarefighter und Spywaredoctor, bin mir nicht sicher wie vertrauenswürdig die sind

Trotzdem platt machen oder ...

Ich kann auch das ganze HJT-Log zur Verfügung stellen, bin nur nicht sicher ob hier oder im HJT-Unterforum...
Krötigen Dank an alle Helferlein!

[raman]

Wie gesagt, das ist eine Swizzor Variante, poste bitte ein Hijackthis log und ein Combofix log( um den Task zu finden, der das ding wieder neu installiert)
http://virus-protect.org/artikel/tools/combofix.html

[hypnosekroete]

OK, hoffe mal das HJT-Log ist hier dann i.O
Combofiix folgt!
Und vorweg nochmal: Bin begeistert von diesem Forum! Mir gefällts sonst nirgendwo so gut!
Grosses Lob an alle Beteiligten!

Logfile of HijackThis v1.99.1
Scan saved at 17:06:17, on 30.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/299979f73c114d8c6c16/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093094894359
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - klaMacrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe