[sкavєи]

Hi,

ich wurde heute morgen von meiner mutter aus dem Bett geholt weil sich ihr Rechner extrem komisch verhielt. Sie hat lediglich ihre Mails mit Outlook Express heruntergeladen dabei filterte der McAfee Spamkiller eine Mail von eBay heraus. Danach fing OE an sämtliche Mails wieder und wieder herunterzuladen. Bis meine Mutter plötzlich an die 750 neue EMails hatte, welche sich jedoch letztenendes auf 7 verschiedene beschränkten.
Außerdem ist es so dass ich per Sicherheitslog des Routers herausgefunden habe, dass sobald ihr Rechner läuft eine TCP-Flood auf sämtlichen Ports (Outbound) entsteht. Keiner der Rechner im Netzwerk hat dann noch irgendeine Verbindung zum Internet (außer ping). ping an Google, Winfuture sowie Microsoft funktioniert, jedoch ein aufbauen der Seiten über FF oder IE ist unmöglich.
McAfee VirusScan (aktuellste Version) hat bei einem kompletten Scan des Rechners meiner Mutter nicht gefunden. Auch ein scan mit Kaspersky AVPP (auch aktuellste Version) über's Netzwerk von meinem Rechner aus gestartet hat nicht gebracht, genau so wenig wie ein Scan mit AntiVir Personal (natürlich auch aktuell) über's Netzwerk vom Rechner meines Vaters aus hat nichts gebracht.
Jetzt kommt das wirklich komische an dem ganzen, ich habe die Netzwerkverbindung am Rechner meiner Mutter getrennt und später sogar die WLAN-Karte herausgenommen und der hat fleißig weiter Mails heruntergeladen.

Bei dem Rechner meiner Mutter handelt es sich um einen Dell Dimension 2400 der weitestgehend noch mit Standardkonfiguration arbeitet ich habe nur folgende Änderungen vorgenommen:
Hardware: SMC EZConnect 2602W WLAN-Adapter eingebaut
Software: Firefox als Standardbrowser installiert, Microsoft Word 2005 installiert

Das Betriebssystem ist Windows XP Home SP2 (Lieferzustand, abgesehen von der gepatchten uxtheme.dll)

Was zum Teufel ist da los?!?

Dieser Beitrag wurde von TheSuicider bearbeitet: 03. April 2005 - 17:50

[Graumagier]

Überprüf mal die hosts-Datei auf verdächtige Einträge und poste die HijackThis!-Logdatei vom PC deiner Mutter.

[sкavєи]

Hosts-File ist sauber, der einzige Eintrag ist:

HOSTS sagte:

127.0.0.1      localhost

HiJackThis muss ich nochmal machen. Kann ich nur zur Zeit nicht, weil mein Vater noch mit dem USB-Stick unterwegs ist, ich keine Rohlinge mehr habe und das Netzwerk ja komplett zusammenbricht sobald der Rechner meiner Mutter läuft. Daher kann ich zur Zeit kein HiJackThis auf diesen Rechner bringen.

[sкavєи]

So hier das Log:
Allerdings ist da nur ein unbekannter Eintrag bei, den werde ich jetzt mal gleich fixen und dann werde ich mal sehen ob's geht. der Eintrag klingt nämlich meiner Meinung nach extrem nach Böse.
Es handelt sdich dabei um folgenden:

Zitat

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 20:46:49, on 04.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\BRITTA~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

Außerdem poste ich nochmal die HOSTS-File, allerdings ist da wie schon gesagt nix besonderes.

Zitat

# Copyright © 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97    rhino.acme.com          # Quellserver
#      38.25.63.10    x.acme.com              # x-Clienthost

127.0.0.1      localhost

Dieser Beitrag wurde von TheSuicider bearbeitet: 04. April 2005 - 19:53

[flo]

also zur igfxsrvc.dll habe ich das gefunden

http://www.e-systems...gfxsrvc.dll.htm

Das scheint nichts Böses zu sein


Scan dein system mal mit escan im abgesicherten modus

http://www.trojaner-...ker/escan.shtml

Dieser Beitrag wurde von Flo01 bearbeitet: 04. April 2005 - 20:00

[sкavєи]

Zitat (Flo01: 04.04.2005, 20:58)

also zur igfxsrvc.dll habe ich das gefunden

http://www.e-systems...gfxsrvc.dll.htm

Das scheint nichts Böses zu sein<{POST_SNAPBACK}>

Hat auch nix gebracht

Zitat (Flo01: 04.04.2005, 20:58)

Scan dein system mal mit escan im abgesicherten modus

http://www.trojaner-...ker/escan.shtml<{POST_SNAPBACK}>

Werde ich mal probieren.

[sкavєи]

Nothing! Der Scan hat rein gar kein Ergebnis gebracht.

[puppet]

Schon rausgefunden welches Programm die TCP-Flood verursacht?

[flo]

Zitat

Nothing! sad.gif Der Scan hat rein gar kein Ergebnis gebracht.

hast du alles ganau nach beschreibung gemacht?

auch scan all files und scan all drives

[puppet]

Zitat (TheSuicider: 03.04.2005, 18:48)

Auch ein scan mit Kaspersky AVPP (auch aktuellste Version)

Zitat (Flo01: 04.04.2005, 20:58)

Scan dein system mal mit escan im abgesicherten modus

Verwendet eScan nicht die KAV Engine oder irre ich mich da?

Finde mal raus welches Programm sendet und was es senden will bzw sendet.

[flo]

Zitat

Verwendet eScan nicht die KAV Engine oder irre ich mich da?

ja tut es, aber ich weiß nicht ob es da unterschiede gibt deswegen sollte er das mal machen, escan findet normalerweise alles

[sкavєи]

Zitat (Flo01: 04.04.2005, 23:04)

hast du alles ganau nach beschreibung gemacht?

auch scan all files und scan all drives<{POST_SNAPBACK}>

Ja!

Zitat (puppet: 04.04.2005, 23:08)

Finde mal raus welches Programm sendet und was es senden will bzw sendet.<{POST_SNAPBACK}>

Hm... netstat will er aus unerfindlichen Gründen nicht.
Also wenn ich mal vermuten soll, dann vemute ich dass es entweder OE ist (aus welchem Grund auch immer) oder das McAfee Security Center (welches mich nach jedem Start anmeckert, dass es keine Updates herunterladen könne).

[puppet]

Mh naja aber ob die Programme auch so eine Netzwerkauslastung verursachen? Schon mal eine neuinstall beider probiert?

[flo]

Zitat

Hm... netstat will er aus unerfindlichen Gründen nicht.

nim doch TCP View von sysinternals

Dieser Beitrag wurde von Flo01 bearbeitet: 04. April 2005 - 22:19

[Rika]

Tja, das war wohl Gaobot. Mit 'm RootkitRevealer von Sysinternals wirst du vielleicht auch tatsächlich was finden, an Bereiigung brauchst du aber gar nicht erst denken. Mach die Kisten platt und spiele entweder ein sauberes Backup ein oder installiere neu.

Und benutze in Zukunft ein echtes eMail-Programm anstatt einen Trojanisches-Pferd-Installer zum Mailen.