Trojaner macht Screenshots!! =7,6 GB & 53.000 Jpgs, winsys32.exe ist der Tatverdächtige Einstellungen

[Gast_NEUSTART_*]

Hi Leute,

ich habe Euer Forum vor ein paar Monaten mehr durch Zufall entdeckt.
Nun wurde mein Rechner heftigst von Trojanern befallen
und hoffe das Ihr mir etwas helfen könnt.

Gestern Nacht hat mein AVPersonal (kostenlose Privatlizenz) 187 Dateien gefuneden und gelöscht.

Im Taskmanager meldet sich der unbekannte Dienst : winsys32.exe

Heute bin ich fast vm Stuhl gefallen: Im Windows-Ordner auf C:\ habe ich ein Verzeichniß (c:\windows\data) entdeckt, das - festhalten - 7,6 Gigabyte an Screenshots enthält.

Das sind ziemlich genau 52.700 Jpg-Bilder auf denen zu sehen ist, was ich auf dem Rechner gemacht habe...

Also Screenshots die während des laufenden Betriebes gemacht wurden.
Im Absztand von 5-6 Sekunden.

Die Dateinamen haben alle Datums-Zeitstempel, die Aufzeichnung läuft seit dem 21.01.2005.

Kann mir jemand von Euch weiterhelfen .... ???

PS: Leider ist es ausgerechnet meine Produktivmaschine die Befallen ist.

Ich werde nun schnell einmal eine Log-Datei von Hi-Jack-This posten ...
Braucht ihr noch andere Infos ... ??

Für Eure Antworten bedanke ich schon mal im Vorraus .....!


Greetz
Dennis

ps: Mail und Browser sind eigentlich abgesichert.
Ich hab den Gast also quasi hereingebeten ....

ich denke ich hab mich mit einer üblen Software aus dem eDonkey-Netz infiziert.

Nicht lachen: ich hab zufällig Generatoren für Kreditkartennummern gefunden, wusste gar nicht das es sowas gibt ...
und die musste ich natürlich ausprobieren ;0)
Tja ... und dann waren sie sogar bloß gefakte Virenschleudern ...

shame on me .... ich weiß .... illegal obendrein ....
helft ihr mir trotzdem? ;0)

[Smoky]

schau mal hier Link

Startup Name - Process Name - Details
Config Loadr - winsys32.exe - Added by the AGOBOT-HN WORM!
Microsoft Update - winsys32.exe -Added by a variant of the RBOT WORM!
Windows Networking -winsys32.exe - Added by the GAOBOT.FL WORM!
WinSys32 Winsys32.exe - Added by the CIGIVIP TROJAN or RECKUS WORM!
winsys32 Driver - winsys32.exe -Added by the LOONY-O TROJAN!

Der Beitrag wurde von Smoky bearbeitet: 26.01.2005, 15:22

[Lucky]

*rofl*

- björn

[Gast_NEUSTART_*]

Hi Smoky .... erstmal danke für den Link ....

Was mich wundert ist, das Symantec gar nicht auf die Screenshots eingeht ...
Ist das also eine fingierte Aktion, ausgelöst durch die Person die die Backdoor im Hintergrund Kontrolliert ???

... sprich, das ist also kein symptom das der Trojaner von sich aus mitbringt ??

Danke für die prompte Antwort .....
Ich werd mal probieren was Symantec schreibt ....

Was mich wundert ist das der Trojaner immer noch aktiv ist,
obwohl ich ja gestern schon beim Viren-Scan 187 Files gelöscht habe ...
Nach der Darstellung von Symantec ist das ein erkanntes Problem
und wird nicht allzu ernst eingestuft, warum hat es AV-Personal also nicht hinbekommen ?

Ach ... Smoky ... könntest Du noch mal genauer sagen was ich znoch so zu beachten habe .... Du hast ja ne Menge möglicher Quellen genannt ...

@Lucky: was heißt *rofl* ...... ?

ja ja ... ich weiß .... schrieb ich ja auch schon ..... ;0)
bin halt nen spielkind. Deswegen hab ich ja auch ne WinDoze
und kein Mac wie Du ....

A propos ... was machst Du eigentlich hier auf dem Board ... windows-würmer gehen dich glücklicherweise doch gar nichts an ...


greetz
dennis

Der Beitrag wurde von NEUSTART bearbeitet: 26.01.2005, 15:39

[Gast_NEUSTART_*]

Hi .... *alll ....

Hier hab ich noch mal die Log-Datei von HiJack-This ....
Diese Log wurde erstellt, nachdem ich ...

- winsys32.exe
- wdfmng.exe

.... im Taskmanager beendet habe, falls das einen Einfluß auf die Erkennung hat.

Vielen Dank fürs angucken !
___________________________________________


Logfile of HijackThis v1.99.0
Scan saved at 15:44:43, on 26.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe winsys32.exe
F3 - REG:win.ini: run=winsys32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Programme\AlcoholSoft\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [systemdll.dll] winsys32.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\RunServices: [systemdll.dll] winsys32.exe
O4 - HKLM\..\RunServices: [] winsys32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: booom[1].exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.od2.com
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8BD834-92C3-4938-8F78-F97F308DD6CB}: NameServer = 213.191.92.87 213.191.74.18
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8BD834-92C3-4938-8F78-F97F308DD6CB}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Der Beitrag wurde von NEUSTART bearbeitet: 26.01.2005, 15:46

[Catweazle]

Hallo, wie fit bist du im Umgang mit dem Computer ?

Wenn du dich auskennst kannst du dir das mal herunterladen, und dein System damit scannen.

Aber auf eigene Gefahr !!!

Hallo, wie währe es hier mit ---> Knoppicillin.3.1-HEiSE, FTP download ftp://212.112.234.57/Tools/Knoppicillin.3.1-HEiSE/

Infos dazu: http://www.heise.de/ct/aktuell/meldung/54852

Bitte sorgfähltig lesen, und anwenden !

ROFL ----> http://www.stino.ch/driver/sonstiges/emoticon.htm


Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 26.01.2005, 15:54

[Gast_NEUSTART_*]

Hi Catweazle,

ich bin *relativ fit ... also kein Netz-Admin, aber auch kein ComputerBild-Leser ...
arbeite übrigens als Web-Grafiker und HTMLer ...

*g* ... Die Knoppix-Cd habe ich heute morgen gleich als erstes reingelegt ...
Leider konnten zwei der drei Virenscanner die Signaturen nicht automatisch aktualisieren ...
(glaub Sophos und F-Prot warens)

Kapersky hat dann auch eine Backdoor gefunden .....
Hab den Scanner nicht über alle Laufwerke laufen lassen .... nur über C:\ ...

Beim Hochfahren danach hatte ich prompt wieder winsys32.exe im Taskmanager und das System lahmte ....

Zb kann ich den Rechner nicht runterfahren wenn winsys32.exe noch aktiv ist ...
wenn ich es beende dann kann ich plötzlich nicht mehr den "Arbeitsplatz" öffnen,
einen beliebigen anderen Ordner schon ....

________________________


ich werde jetzt mal den Rechner im Safe-Modus neustarten und dann die Symantec Anleitung ausprobieren ... ich vermute aber das es damit nicht gatan ist .....

Kann mir jemand einen Rat geben, wie ich sonst noch den oder die mehreren Trojaner identifizieren kann ?

Passiert mir in den letzten 4 Jahren zum ersten mal ..... jedenfalls so dick ....


greetz
dennis

[Catweazle]

Hm, mit Knoppix geht das auch ?

Ich schrieb von Knoppicillin ?!

Catweazle

[Gast_NEUSTART_*]

Hi ....

Hab grad den Heise-Link probiert ... da stehts ja ...

ein versehentlicher Bug verhindert die aktualisierung von sophos ....
es gibt aber ein update ....

ich lass die scanner dann noch mal durchlaufen ....
und melde mich gegebenenfalls ... warscheinlich ....

____________

Sagt mal ... kann ich rausbekommen wer diese Screenshots im Hintergrund anfertigt ?
Wer also quasi am anderen Ende sitzt ?
Die Screenshots wurden doch bestimmt versendet ... eine IP wird es doch geben ???

Hab ein log-file meiner firewall .....

Was sagt ihr übrigens dazu ... ??
ich finde das schon von der menge der screenshots ganz schön heftig ....

53.000 tausend stück .... das sind mehr als 7,6 Gigabyte .....

thnx!

[Smoky]

also fixen solltest du auf jedenfall folgendes :

F2 - REG:system.ini: Shell=Explorer.exe winsys32.exe
F3 - REG:win.ini: run=winsys32.exe
O4 - HKLM\..\Run: [systemdll.dll] winsys32.exe
O4 - HKLM\..\RunServices: [] winsys32.exe
O4 - HKLM\..\RunServices: [systemdll.dll] winsys32.exe


diese evt. falls sie dir nichts sagen

O15 - Trusted Zone: *.od2.com
O4 - Startup: booom[1].exe

Der Beitrag wurde von Smoky bearbeitet: 26.01.2005, 16:09

[Gast_NEUSTART_*]

@catweazle ....

mhh .... ja .... aufmerksam wie ich generell bin habe ich überlesen das es die knoppilicin war ... nicht die knoppix .... ;0)


aber danke !



greetz
dennis

ps: seit ihr später auch noch da ????

es dauert ne weile bis die scanner durch sind ....
hab insgesamt 240 Gig zu durchforsten .....

[Catweazle]

Oh das kann dauern.....

Ja es sind immer Hilfreiche User hier Tag und Nacht

Fixe erstmal was dir Smoky geschrieben hat !

Catweazle

[Gast_NEUSTART_*]

@smoky ....

Ich frag mal gerade heraus: wie "fixe" ich die ....
ini-dateien mit dem Editor ändern ... klar ...
aber was ändere ich da ....

einfach den eintrag löschen ???

die Reg.Einträge lösche ich auf jedenfall einfach oder ?


greetz
dennis

[Gast_NEUSTART_*]

... mögt ihr nochmal nen kommentar zu den screenshots geben ?
auch wenn ich da nicht in Panik verfalle, mich irritiert das doch sehr ....

auch aus neugierde ....

Habt ihr Hintergrund-Infos zu sowas ???
Da wird versucht herauszubekommen was für Passwörter ich verwende oder was ?
im system werden doch passwörter gar nicht im klartext angezeigt ...
warum also diese "überwachung" ....???


greetz
dennis

[raman]

Das Problem ist natuerlih, das du das auf deine Kappe nehmen musst. Man sollte "unsichere"2 Software wie Edonkey nicht nutzen, bzw schon gar nicht auf einer "Produktivmaschine". Dir bleibt eigentlich nur Neu aufsetzen und alle Passworte usw zu aendern.


Das ist was passendes dazu:What is public isn't safe

[raman]

Teste deine Verdaechtigen Dateien mal hier:
http://virusscan.jotti.org/ und schreib, was gefunden wurde. vieleicht laesst sich so eine Brauchbarere Beschreibung finden. Diese "Screenshots" ist wohl nur ein Teil der Schadroutine. Wer weiss, ob da nicht ein Keylogger mitgelaufen ist.

[Lucky]

*rofl* Erklärung oder warum ich das schrieb? Ich schrieb es weil du auf nem Produktivsystem sowas machst.

Bei 187 gelöschten Files, kann man nur noch zum formatieren raten, wie raman schon anmerkte.

Versuchen irgendwas zu retten würde ich nicht mehr, da man nicht weiß wie weit das System schon kompromitiert ist.

- björn

[Gast_NEUSTART_*]

... ja ... logisch ...
ich hoffe es kam raus das ich mir bewusst bin, das ich das selbst verschuldet hab ....

ich begegne dem irgendwie mit einer gewissen faszination und neugierd,e wenn ich ehrlich bin ....

Ich bin Freelancer, hab hier also nur einen Client stehen und gefährde dadurch nicht etwa ein Netzwerk oder Server, von Online-Banking halte ich sowieso nichts ....

in den seltensten Fällen heutzutage werden willkürlich daten gelöscht ... so wie früher

Bei allem Ärger ....

die ganze Mühe hat sich mein Gegenüber ziemlich umsonst gemacht ... jedenfalls gabs bei mir nicht viel zu holen .... ausser ein bischen Privacy und bunte Bilder ....

Dank erst mal an euch beide !

greetz & bis später (vielleicht)
dennis

[Smoky]

ich meinte damit im hijack this diese einträge markieren und dann fix checked drücken

[Gast_NEUSTART_*]

.
ok ... da kam während ich schrieb ja noch was .....

ich werd mal gucken das ich mit den Tipps bisher zurande komme ....
Warscheinlich habt ihr recht und ich werd am ende neu aufsetzen müssen ....

Inwiefern muss ich denn befürchten, das meine archivirten Dateien nicht auch infiziert wurden ..?

Also sich mein System nach einer Neuinstallation wieder infiziert ....

Ich denke die ursprüngliche lokale Quelle ist schnell eleminiert,
aber kann sowas auch andere, zuvor unberührte Dateien "irgendwie impfen" ... ?

Kann also aus dem beispielsweise vertrauten "Urlaubsbilder.rar"
plötzlich eine neue Virenfalle entstehen?


thnx !


greetz
dennis