hijack this log - bitte auswerten

[miezmutz]

Hallo nikita,
mein PC hat sich gerade beim Hochfahren aufgehängt, was sonst nie geschieht, deshalb habe ich den Verdacht, ich hab mir vielleicht beim letzten Besuch im Internet was eingefangen...
die automatische Auswertung zeigt einen Eintrag als böse an, aber bevor ich irgendwas mache, wollte ich dich bitten, selbst mal zu schauen...

Logfile of HijackThis v1.99.0
Scan saved at 22:04:01, on 25.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\CYBER FIREWALL 2003\SOS.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\PROGRAMME\MAXMEM\MAXMEM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
G:\PROGRAMME DIE NICHT INSTALLIERT WERDEN MüSSEN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.informationsarchiv.net/foren/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] REM SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [LexStart] REM lexstart.exe
O4 - HKLM\..\Run: [SOS] C:\PROGRAMME\CYBER FIREWALL 2003\SOS.EXE /s
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ICQ Lite] REM D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Maxmem] D:\Programme\MaxMem\maxmem.exe
O4 - HKCU\..\Run: [Yahoo! Pager] REM d:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.c ... mplete.cab

[Nikita]

Hallo@miezmutz

Lade:
StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/

klicke : Startuplist.exe und
kopiere die startuplist.txt ind Forum

[miezmutz]

danke für die schnelle Hilfe...

StartupList report, 25.12.04, 22:55:27
StartupList version: 1.34.0
Started from : G:\TEMP\DOWNLOADS\STARTUPLIST.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\CYBER FIREWALL 2003\SOS.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\PROGRAMME\MAXMEM\MAXMEM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
D:\PROGRAMME\TOTALCMD\TOTALCMD.EXE
G:\TEMP\DOWNLOADS\STARTUPLIST.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemTray = REM SysTray.Exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
Lexmark X74-X75 = REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
LexStart = REM lexstart.exe
SOS = C:\PROGRAMME\CYBER FIREWALL 2003\SOS.EXE /s
WinDSL MTU-Adjust = WinDSL_MTU.exe
Tweak UI = RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
ICQ Lite = REM D:\Programme\ICQLite\ICQLite.exe -minimize
AVGCtrl = D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Maxmem = D:\Programme\MaxMem\maxmem.exe
Yahoo! Pager = REM d:\Programme\Yahoo!\Messenger\ypager.exe -quiet

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {89820200-ECBD-11cf-8B85-00AA005B4383}

[>PerUser_MSN_Clean] *
StubPath = C:\WINDOWS\msnmgsr1.exe

[PerUser_LinkBar_URLs] *
StubPath = C:\WINDOWS\COMMAND\sulfnbk.exe /L

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "C:\PROGRA~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "C:\PROGRA~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:IE50 /user /install

[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = C:\WINDOWS\SYSTEM\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=
run=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll power.drv

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 19/12/2004, 12:58:12)

[Rename]
NUL=C:\WINDOWS\SYSTEM\WININET.DLL
C:\WINDOWS\SYSTEM\WININET.DLL=C:\WINDOWS\SYSTEM\SETA0A4.TMP
NUL=C:\WINDOWS\SYSTEM\SHDOCVW.DLL
C:\WINDOWS\SYSTEM\SHDOCVW.DLL=C:\WINDOWS\SYSTEM\SETA0A5.TMP
NUL=C:\WINDOWS\SYSTEM\SHLWAPI.DLL
C:\WINDOWS\SYSTEM\SHLWAPI.DLL=C:\WINDOWS\SYSTEM\SETA0A6.TMP
NUL=C:\WINDOWS\SYSTEM\BROWSEUI.DLL
C:\WINDOWS\SYSTEM\BROWSEUI.DLL=C:\WINDOWS\SYSTEM\SETA0B0.TMP

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------

C:\CONFIG.SYS listing:

device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
Country=049,850,C:\WINDOWS\COMMAND\country.sys

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - d:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab

[YInstStarter Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YINSTHELPER.DLL
CODEBASE = http://download.yahoo.com/dl/yinst/yinst_current.cab

[YAddBook Class]
InProcServer32 = D:\PROGRAMME\YAHOO!\COMMON\YADDBOOK.DLL
CODEBASE = http://us.dl1.yimg.com/download.yahoo.c ... mplete.cab

--------------------------------------------------
End of report, 6.345 bytes
Report generated in 0,268 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[Nikita]

nun, ich verstehe folgendes nicht:

[Yahoo! Pager] REM d:\Programme\Yahoo!\Messenger\ypager.exe -quiet

[Lexmark X74-X75] REM "C:\Programme\Lexmark

[SystemTray] REM SysTray.Exe

ueberpruefe mal SysTray.Exe
mit:
(nun kommt deine Arbeit gleich zu Ehren
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

[miezmutz]

SysTray.exe ist OK laut Scan...
über die REM-Zusätze habe ich mich auch gewundert, die waren nämlich vorher nicht da...
kann ich noch was anderes ausprobieren?

[Nikita]

#eScan-Erkennungstool

mwav.exe laden
http://www.rokop-security.de/board/inde ... topic=3867

mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

[miezmutz]

ich hatte ein paar Probleme beim Updaten und Scannen, aber jetzt hab ich's geschafft...

Sat Dec 25 23:53:08 2004 => File C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\6iaen5so.default\Mail\Local Folders\Inbox infected by "I-Worm.Sober.i" Virus. Action Taken: File Deleted
Sat Dec 25 23:53:44 2004 => File C:\WINDOWS\Anwendungsdaten\Thunderbird\Profiles\6iaen5so.default\Mail\Local Folders\Trash infected by "I-Worm.Sober.i" Virus. Action Taken: File Deleted.

sie sind ja schon gelöscht worden, soll ich noch irgendwas machen?

P.S.: Mit einem Doppelklick auf die Datei mwavscan.com wird eScan gestartet

[Nikita]

so, so der Sorber....

wie genau funktioniert denn nun dieser eScan ?

mwav.exe oder mwavscan.com ???

[miezmutz]

Doppelklick auf mwavscan.com, nachzulesen unter:
http://www.trojaner-info.de/hijacker/escan.shtml

wie kann ich mir den Sober denn eingefangen haben?
ich bekomme zwar ständig Mails, die vom Sober verseucht sind, aber ich lösche sie sofort und leere auch gleich den Papierkorb...

[Nikita]

Der Wurm war ja auch in : Inbox und nicht in Windows

[miezmutz]

du meinst also, der ungewöhnliche Absturz hätte damit gar nichts zu tun?
mich wundert nur, wieso die Signatur des Wurms in Inbox und Trash zu finden waren, wo ich doch alles, was sich dort befand, definitiv gelöscht hatte...oder wird auch davon immer ein Backup erstellt?

Na ja, ich werd die Sache mal weiter beobachten...

hast du inzwischen schon eine Erklärung für die REM Einträge im Hijack This log?

[Nikita]

keine Ahnung...googlen hat auch nichts gebracht.
Vielleicht findest du etwas