Virus aufm PC aber keiner findet was??!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von supervisior, 21. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. supervisior

    supervisior Byte

    Registriert seit:
    17. September 2002
    Beiträge:
    51
    Hi

    Ich hab ein Problem der besonderen Art. Aus mir nicht nachvollziehbaren Gründen hab ich seit gestern irgenwas maliciöses auf meinem PC, das in unregelmäßigen Abständen versucht eine TCP Verbindung zu mariayalbert.noip.com, bzw. zu der IP Adresse 65.23.198.233 aufzubauen. Der Verbindungsaufbau wird dabei durch die explorer.exe von W2K initiert, wobei die verwendeten Ports auch ständig durchwechseln. (laut Sygate FW Pro)

    Da auch der Check mittels mehrerer AV Scanner (NAV 2004, NAV 2005, Trendmicro HomeCall usw...) und auch unterschiedliche AntiSpy Programme keinen Hinweis auf einen Virus gefunden haben, hab ich mich in die Registry begeben und konnte in mehreren Run Anweisungen, sowie im Taskmanager 1 Prozess identifizieren, der hier nicht hingehört und auch keinen Bezug zu einem Programm hat.

    Unter dem Eintrag 'Ffix32' wird eine ausführbare Datei mit Namen dractx.exe gelistet, die sich im System Ordner von WINNT befindet. Ein Versuch dieses Datei zu löschen, bzw. die Einträge in der Registry zu entfernen blieb erfolglos, da die Datei. bzw. die Einträge sofort wiederhergestellt werden. Im Abgesicherten Modus konnte ich dann beides entfernen und wurden nach dem Neustart auch nicht wieder erneuert.

    Ich hab nun alle laufenden Prozesse im einzelnen gechecked und auch die damit verbundenen .dll's, aber nichts deutet auf 'etwas' hin, das einen Hinweis gibt, weshalb die explorer.exe diese Verbindung versucht aufzubauen. Die explorer.exe ist, wenn man den Eigenschaften von W2K glaubt, unverändert und identisch mit der Original Datei vin der Installations CD.

    Ich finde im ganzen Netz keinerlei Hinweise auf die angegebene IP Adresse, den Alias der IP, bzw. der genannten Datei (dractx.exe) und dem Regsitry Eintrag(Ffix32)

    Hat jemand irgendeine Ahnung? Wo sind die Cracks?
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  3. supervisior

    supervisior Byte

    Registriert seit:
    17. September 2002
    Beiträge:
    51
    Angaben nzur IP Adresse, wobei das wenig aussagt und der nur Anbieter für eine dyn.Ip ist

    Suchbegriff: 65.23.198.233
    Adresse: whois.arin.net
    Suchergebnis:


    OrgName: Puerto Rico Telephone Company
    OrgID: PRTC
    Address: Ave Roosevelt 1513 7th Floor
    Address: P.O. Box 360998
    City: San Juan
    StateProv: PR
    PostalCode: 00936-0998
    Country: US

    NetRange: 65.23.192.0 - 65.23.255.255
    CIDR: 65.23.192.0/18
    NetName: PRTC-NET-2
    NetHandle: NET-65-23-192-0-1
    Parent: NET-65-0-0-0-0
    NetType: Direct Allocation
    NameServer: NS1.PRTC.NET
    NameServer: NS2.PRTC.NET
    Comment:
    RegDate: 2003-03-18
    Updated: 2004-04-08

    TechHandle: ED101-ARIN
    TechName: Internet Backbone Administration, EDWIN
    TechPhone: 1+787-792-8475
    TechEmail: edwinri@prtc.net

    OrgTechHandle: JJ100-ARIN
    OrgTechName: Johnson, Jeff
    OrgTechPhone: +1-303-446-5711
    OrgTechEmail: jjohnson@tvcusa.com

    Da ich die Datei (dractx.exe) bereits erfolgreich gelöscht habe, kann ich sie bei Kasperky nicht ckecken lassen. Ich finde auch keine Hinweise bei Sophos oder Norton dazu.

    Logfile von HiJackThis:

    Running processes:
    D:\WINNT\System32\smss.exe
    D:\WINNT\system32\winlogon.exe
    D:\WINNT\system32\services.exe
    D:\WINNT\system32\lsass.exe
    C:\Programme\Sygate\SPF\smc.exe
    D:\WINNT\system32\svchost.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    D:\WINNT\system32\LEXBCES.EXE
    D:\WINNT\system32\spoolsv.exe
    D:\WINNT\system32\LEXPPS.EXE
    D:\WINNT\System32\svchost.exe
    D:\WINNT\system32\hidserv.exe
    D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    D:\WINNT\system32\MSTask.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    D:\WINNT\Explorer.EXE
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\Programme\cfos\cFosDNT.exe
    D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Moony\moony.exe
    C:\Programme\MailBell\mailbell.exe
    D:\WINNT\system32\notepad.exe
    E:\temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - c:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
    O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe Ptipbm.dll,SetWriteBack
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cfos\cFosDNT.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
    O4 - HKCU\..\Run: [Mailbell] "C:\Programme\MailBell\mailbell.exe"
    O4 - Startup: Verknüpfung mit LEDMeter.exe.lnk = C:\Programme\LEDMeter\LEDMeter.exe
    O8 - Extra context menu item: &Copy Location - D:\WINNT\WEB\graburl.htm
    O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Highlight - D:\WINNT\WEB\highlight.htm
    O8 - Extra context menu item: &Links List - D:\WINNT\WEB\urllist.htm
    O8 - Extra context menu item: &Web Search - D:\WINNT\WEB\selsearch.htm
    O8 - Extra context menu item: Deutsch <> Englisch - H:\Internet\PC Welt Translate\pcwTranslate.js
    O8 - Extra context menu item: I&mages List - D:\WINNT\Web\imglist.htm
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Open Frame in &New Window - D:\WINNT\WEB\frm2new.htm
    O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Zoom &In - D:\WINNT\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - D:\WINNT\WEB\zoomout.htm
    O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Preispiraten 2.1.2 (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra 'Tools' menuitem: Add to R&estricted Zone (HKLM)
    O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone (HKLM)
    O9 - Extra button: eBay Homepage (HKLM)
    O9 - Extra button: Offline (HKLM)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38248.0793518519
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5C71AF43-B0B4-48FA-ADAD-6CEF6B46364C}: NameServer = 213.20.173.12 193.189.244.205
    O17 - HKLM\System\CS1\Services\Tcpip\..\{5C71AF43-B0B4-48FA-ADAD-6CEF6B46364C}: NameServer = 213.20.173.12 193.189.244.205
     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo supervisior

    In deinem HijackThis-Log fehlen die vier obersten Zeilen, wo u. a. die verwendete HijackThis-Version, das Betriebsystem nebst Version sowie der verwendete Browser nebst Version stehen.

    Ansonsten sieht das von meiner Warte soweit OK aus.

    Gruß
    Nevok
     
  5. Yorgos

    Yorgos Viertel Gigabyte

    Registriert seit:
    2. Februar 2003
    Beiträge:
    3.963
    besser nicht,denn das ist der Promise Controller
     
  6. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Der wurde aber auf www.hijackthis.de als "böse" angezeigt... :confused:
     
  7. Yorgos

    Yorgos Viertel Gigabyte

    Registriert seit:
    2. Februar 2003
    Beiträge:
    3.963
    das ist die Gefahr bei der Auswertung mittels Script.....such mal per Google nach der dll
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das sagt gar nix. Die automatische Auswertung bewertet bei mir eine Verknüpfung (von mir selbst erstellt) zur taskmgr.exe (das Original von Win2000) im Autostart als böse. Nur als Beispiel...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen