PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bot mit Virus-Link



truelife
13.12.2006, 21:22
Nachdem letzt ein Bot mir eine ellenlange SM-Story in mein Gästebuch eingetragen hat, folgte heute ein Eintrag zu einem angeblichen Sex-Viedo von Christina Agilera (stand wirklich so da!).

Link ging auf http://www.alwaysfreepornmovies.com/5sv/ti2/s2g3/gallery7.php?id=1219

Die Videos lassen sich nich öffnen, es fehlt ein Plugin. Es wird gebeten, die Datei "mediasetup.1219.exe" auf dem Server von www.activexsite.com herunterzuladen, allerdings wird keine Eingabe des Nutzer abgewartet.

Es handelt sich bei der Datei um den Dropper DR/Zlob.Gen.

Eine Kopie seiner selbst wird hier erzeugt:
• %PROGRAM FILES%\Media-Codec\uninst.exe

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\page.ReInstallUninstall.ini
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\ioSpecial.ini
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\modern-wizard.bmp
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\modern-header.bmp
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\Loader.dll
• %TEMPDIR%\ns%dreistellige zufällige Buchstabenkombination%.tmp\InstallOptions.dll

– %PROGRAM FILES%\Media-Codec\ecodec.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: DR/Zlob.PT.2.A

Quelle: avira.com

exe
14.12.2006, 11:05
Richtig schöne Software, was man sich da einfängt. So sieht ein damit iniziertes Wintendo 2000 (vorher frische Installation) aus:

http://img204.imageshack.us/img204/4121/maleware1ho5.jpg

http://img216.imageshack.us/img216/4107/maleware2cm1.jpg

Dazu kommen Sprechblasenmeldungen aus der Systray über eine Infektion des Systems. Der Benutzer soll animiert werden ein Antispyware-Tool zu erwerben (welches dann tatsächlich etwas finden wird...).

Bei der Installation werden mehrere Komponenten installiert, welche sich nur mit Neustarts deinstallieren lassen. Ich brauchte ca. 5-6 Reboots, bevor alles weg war. Zlob war übrigends immer noch auf dem Rechner, wie eine Untersuchung mit Ad-Aware zeigte. Also vorsicht vor solchen "Tools", mit sowas nur im Sandkasten spielen. ;)

kingager
08.01.2007, 08:35
Servus,

ich habe mir dieses Teil auch eingefangen :lil:

Nach 3 Stunden hatte ich das Teil wieder vom Rechner. Ad-Aware findet auch nichts mehr. Allerdings ist die Sprechblasenmeldung im Systray "System Alert!" immer noch vorhanden...

Hat jemand eine Lösung, wie ich diesen Eintrag im Systray wegbekomme?

Vielen Dank für die Hilfe

Liquid-Sky-Net
08.01.2007, 08:42
Hi kingager, willkommen im Forum.

Bist Du Dir sicher, daß das GANZE System sauber ist? Ich glaube nämlich nicht dran, zumindest steht irgendwo noch etwas in der Registry, sonst würdest Du die Meldung nicht bekommen.

Check das bitte mal mit hijackthis (http://www.hijackthis.de/) und poste mal die Textbox.

Gruß Tom

@ Mods, könnte man das bitte in ein neues Thema setzen? ;)

kingager
08.01.2007, 15:07
Hi Liquid-Sky-Net,

vielen Dank für die guten Wünsche und auch die schnelle Antwort.

Natürlich bin ich mir nicht 100%-ig sicher, dass mein System sauber ist... Irgendwoher muss ja der Systray-Eintrag kommen.

Hier nun mein HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at xx:xx:xx, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\PerfectDisk\PDSched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Meine empfangenen Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eve-online.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: (no name) - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155582443781
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95C73674-8D50-4366-BF9F-3CE83D182DB1}: NameServer = 192.168.1.5,0.0.0.0
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Programme\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Programme\PerfectDisk\PDSched.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

Gruß kingager

truelife
08.01.2007, 15:21
Kennst du diese Programme?

D:\Programme\PerfectDisk\PDSched.exe

O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll

O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

Ansonsten sehe ich nichts auffälliges. Ich nehme an, dass die C:\WINDOWS\system32\gwquvw.dll
schuld ist.

EDIT: Jep, ist Malware. Lösung folgt

truelife
08.01.2007, 18:15
Hallo liebe Betroffenen,

ladet bitte das hier herunter: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Entpacke das gesamte Archiv auf deinen Desktop oder in den neu zu erstellenden Ordner C:\smitfraudfix.

Doppelklicke auf die Datei smitfraudfix.cmd, die sich bei dir nun entweder auf dem Desktop oder im neu erstellten Ordner C:\smitfraudfix befindet. Wähle die Option 1, um einen Bericht über die Infektionsart zu erhalten.

Speichere das Logfile #1 unter dem Namen Rapport_1.txt auf deinem Desktop. Die Vergabe dieses Dateinamens ist deshalb wichtig, damit das Logfile #1 später nicht vom zweiten Logfile überschrieben wird.

Boote im abgesicherten Modus, siehe hier: http://www.tu-berlin.de/www/software/virus/savemode.shtml

Doppelklicke auf smitfraudfix.cmd.

Wähle nun die Option 2, um die für die Infektion verantwortlichen Dateien vom System zu entfernen. Beantworte die Frage: "Voulez-vous nettoyer le registre?" (Wollen Sie die Registry reinigen?) mit y für "yes", was zu deutsch "ja" bedeutet.

Der Fix stoppt, wenn die "gwquvw.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté?" (Wollen Sie die infizierte Datei ersetzen?) ein weiteres mal mit y. Speichere das Logfile #2 nun unter dem Namen Rapport_2.txt auf deinem Desktop.

Starte dein System neu.

Poste nun beide Logfiles des Smitfraudfix (Rapport_1.txt und Rapport_2.txt, die sich auf deinem Desktop befinden)

kingager
08.01.2007, 18:21
Hi truelife,

auch Dir vielen Dank.

D:\Programme\PerfectDisk\PDSched.exe

- gehört zum Festplattendefragmentierungsprogramm PerfectDisk von Rasco-Soft (war auf der Computer-Bild CD 26/2006)


O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

- ist der UPnP-Service (Universal Plug and Play für Audio/Video, ein herstellerunabhängiges Protokoll für digitale Medien im Netzwerk) von dem Programm Magix MP3 Maker 12 von der Firma Magix AG


O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll

- das kenn ich auch nicht!!! Die Datei steht in C:\windows\system32. Und nur dort... Und sie hat als Erstellungsdatum den 06. Januar 2007. Also dem Tag X ;)

Wie bekomme ich die Datei weg?

Edit: Ups, Post hat sich überschnitten. Ich poste die Rapport-Files später.

truelife
08.01.2007, 18:29
Da war ich wieder schneller... Schau auf meinen letzen Beitrag genau über dir...

Edit: OK, hast es schon gemerkt...

kingager
08.01.2007, 20:38
So, da bin ich wieder. Aufgaben ausgeführt.

Hier ist das erste Rapport-File "Rapport1.txt:

SmitFraudFix v2.132

Scan done at xx:xx:xx,07, 08.01.2007
Run from C:\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Alexander


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Alexander\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ALEXAN~1\FAVORI~1

C:\DOKUME~1\ALEXAN~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler]
"{8d8c2387-7f80-4022-9be6-43630a969558}"="carbinyl"

[HKEY_CLASSES_ROOT\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}\InProcServer32]
@="C:\WINDOWS\system32\gwquvw.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}\InProcServer32]
@="C:\WINDOWS\system32\gwquvw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


und nun das zweite "Rapport2.txt":


SmitFraudFix v2.132

Scan done at xx:xx:xx,42, 08.01.2007
Run from C:\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler]
"{8d8c2387-7f80-4022-9be6-43630a969558}"="carbinyl"

[HKEY_CLASSES_ROOT\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}\InProcServer32]
@="C:\WINDOWS\system32\gwquvw.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}\InProcServer32]
@="C:\WINDOWS\system32\gwquvw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\gwquvw.dll -> Hoax.Win32.Renos.gen.i
C:\WINDOWS\system32\gwquvw.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Und der "Sprechblasengenerator" im Systray ist auch verschwunden. Ist nun alles wieder sauber?

Vielen herzlichen Dank für die Hilfe!

Wuschel_MUC
08.01.2007, 20:50
...Ist nun alles wieder sauber?
Du hast das Ungeziefer ausgeräuchert, das der Virenscanner gefunden hat. Aber niemand kann sagen, ob das alles war oder ob der Virus neuer ist als der letzte Virenscanner-Update.

Wenn du ganz sicher gehen willst, müsstest du den Rechner plätten und neu aufsetzen. Aber da würde ich erst mal drüber nachdenken.

Wuschel

kingager
09.01.2007, 12:35
Da denk ich überhaupt nicht drüber nach. Die Frage bezog sich einzig und allein auf das oben angesprochene Problem.

Auf jeden Fall allen die geholfen haben herzlichen Dank. :)

Viele Grüße kingager

truelife
09.01.2007, 15:53
Hallo Kingager, das dürfte alles gewesen sein, lass dein AV-Programm nochmal drüberlaufen, natürlich mit aktuellen Virendefinationen und dann schauen wir mal.