cmd.exe ruft IE-Seiten eigenständig auf

[lauro.d]

Hallo zusammen

Ich beschreibe mal kurz, wo mein Problem liegt: Wenn ich am PC etwas schaffe, spiele, im Internet surfe usw., wird meine Tätigkeit in relativ regelmässigen Abständen unterbrochen, und zwar von einer sich selbst "ausführenden" Datei (keine Ahnung wie man das nennen sollte) namens C:\WINDOWS\system32\cmd.exe. Dieser "Prozess" öffnet - ohne meine Einwilligung - einfach 2 IE-Seiten auf (immer Werbeseiten).

Das Problem habe ich seit ca. 4 Tagen und ich weiss mir wirklich nicht mehr zu helfen, denn ich bin nicht einer, der sich super gut mit dem PC auskennt. Ich habe natürlich schonmal einen Virenscann gemacht, der auch einiges gefunden hat, das Problem aber nicht beheben konnte, und ich habe dieses Programm "HijackThis.exe" mal auf meinem Computer laufen lassen, welches auch wieder einiges fand. Da habe ich auch alles gelöscht, was es mir "empfohlen" hatte, doch eine Verbesserung der Lage? Nein. Noch immer öffnen sich 2 IE-Seiten (ach ja, ich benutze eigentlich nur Mozilla Firefox). Das nervt vorallem während Spielen, welche dann einfach unterbrochen werden...

Ich habe mich ein wenig erkundet, was das sein könnte, und bin dabei auf den Namen bzw. Wurm Nimda-Wurm gestossen. Nur ist der schon gute 4 Jahre alt, was mich ein bisschen wunderte. Kann der noch immer PCs infizieren?

Ich benutze ausserdem Windows XP, habe Norton Antivirus und mein PC ist ein gutes Jahr alt.

Ich hoffe, jemand kann mir weiterhelfen

MfG

lauro.d

[Chief Wiggum]

Hijackthis war schon einmal eine sehr gute Idee.

Poste doch bitte mal das Logfile, da können wir dann genauer sehen, was los ist.

[lauro.d]

Logfile of HijackThis v1.99.1

Scan saved at 17:29:40, on 28.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Programme\HP\hpcoretech\hpcmpmgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Creative\MediaSource\Detector\CTDetect.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\little_helper2\little_helper2.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Raoul\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewar.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [steam] "c:\programme\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\ovbc32gt.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hier die gewünschte Logfile. Wie gesagt, ich habe schon einen Teil gefixed, was mir eben empfohlen wurde. Mal schauen ob ihr mehr rausfindet,

Noch etwas, in den letzten 3 Stunden hatte ich das problem nicht mehr, ich habe allerdings nichts verändert.

[Manitu71]

na das Logfile sieht doch gar ned so schlecht aus

probier die noch zusätzlich aus:

SpyBotSD

CWShredder

ich mach auch immer ne Kombi. Denn was der eine ned find, findet der andere

[Chief Wiggum]

Den hier: O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe solltest du auch noch beseitigen. Der sollte eigentlich verantwortlich für deinen Ärger sein.

http://securityresponse.symantec.com/avcenter/venc/data/adware.littlehelper.html

[Manitu71]

den habe ich auch schon gesehen. Der taucht auch noch an anderer Stelle im Log auf. Wird teilweise auch als nützliches Tool gehandhabt, habe ich gelesen. Drum hatte ich hierzu nichts bemerkt

[lauro.d]

Vielen Dank erstmal für die Antworten. Habe den littlehelper mal gelöscht und bin gespannt auf das Resultat.

Wenn das problem behoben ist, seid ihr die Grössten (Ihr seid auch so genial)

Falls wir uns nicht mehr lesen, ein schönes neues Jahr

lauro.d

[babl]

Lösch den Kram sonst per "Killbox" ( wenn die File sich weigert - umbenennen und Dummy erstellen ...

Mit kILLbox lässt sich jeder fast jeder Trojaner weglöschen ...

[cane]

Ein vernünftiger "Trojaner" läßt sich so gut wie gar nicht bemerken löschen.

Vor allem auf lange durchlaufenden Kisten werden von Leuten mit Plan von der Materie nur noch Tools engesetzt die sich per DLL-Injection einbringen, also noch nicht mal eigene Prozesse forken und komplett im RAM laufen. Die sind mittlerweile so weit evolutioniert das man beliebige DLLs nachladen kann die auch im RAM bleiben. Können natürlich auch auf die Platte schreiben, dann ist es aber recht komplex sie u verstecken da einfache Syscal-Hoks mittlerweile ganz gut zu entdecken sind...

Ich bin recht fit in dem Bereich aber mitlerweile existieren sicher Technken um auch diese Erkennungsvektoren zu umgehen...

Fazit: Wenn jemand mit Wissen versteckt bleiben will tut er das, wer noch als Admin arbeitet oder auf Virenscaner vetraut den kann man nur noch Auslachen...

Jeder gängige Trojaner ist innerhalb einigen Minuten so zu modifizieren das er zu 90 % nicht von gängiger AV-Software erkannt wird da diese immer noch größtenteils signaturbasiert arbeitet. Man ändert ein paar Offsets im Code und fertig...

Ist keine Panikmache --> Ist Fakt...

mfg

cane

[babl]

die inject.c Geschichte hat mittlerweile aber schon nen verdammt langen Bart

[cane]

die inject.c Geschichte hat mittlerweile aber schon nen verdammt langen Bart

Kenne ich gar nicht - redest Du von DLL-Injection oder ist das lediglich Source zum Einblenden von Code in den Raum eines Prozesses der dann einen neuen Prozess forked?

mfg

cane