[HaBo]

splitti

Hallo!

Ich hab mir auf meinem eee900 einen Trojaner (oder irgendwas in der Art) eingefangen.
Eigentlich sollte der Rechner seine IP und Nameserver per DHCP beziehen. Der Nameserver wird aber immer wieder auf 85.255.112.89 umgebogen.

Ich hab schon mal HijackThis laufen lassen, und die vermeindlichen Einträge gelöscht. Leider wird der Nameserver nach einem Reboot wieder auf die o.g. IP verbogen.

Hier mal das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:46, on 23.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Asus\EeePC ACPI\AsTray.exe
C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\GPSoftware\Directory Opus\dopus.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\GPSoftware\Directory Opus\dopusrt.exe
C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe
D:\Programme\Launchy\Launchy.exe
D:\Programme\HotSpot Manager\HotSpotMgr.exe
D:\Programme\eeectl\eeectl.exe
C:\Programme\Gemeinsame Dateien\T-Com\HotspotMgr\HotSpotFSvc.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [LogonStudio] "d:\Programme\WinCustomize\LogonStudio\logonstudio .exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "d:\Programme\Stardock\WinCustomize\BootSkin\boots kin.exe" /StartupJobs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DOpus] D:\Programme\GPSoftware\Directory Opus\dopus.exe
O4 - HKCU\..\Run: [Directory Opus Desktop Dblclk] "D:\Programme\GPSoftware\Directory Opus\dopusrt.exe" /dblclk
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programme\Uniblue\RegistryBooster\RegistryBoost er.exe /S
O4 - HKCU\..\Run: [CursorXP] "d:\Programme\Stardock\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSpot Manager.lnk = D:\Programme\HotSpot Manager\HotSpotMgr.exe
O4 - Startup: Verknüpfung mit eeectl.lnk = D:\Programme\eeectl\eeectl.exe
O4 - Global Startup: Launchy.lnk = D:\Programme\Launchy\Launchy.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD48C16-4095-4D28-A410-F28C79F24932}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\Windows Live\Messenger\usnsvc.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 6182 bytes

Die Sachen unter O17 sind die bösen Buben. Aber wie gesagt, wenn ich die Einträge fixe, sind sie nach einem Reboot wieder da ;-(

Ich hoffe, ihr könnt mir helfen?!

MfG
splitti

lightsaver

So sehe ich auch erstmal nichts, ich würde dir also raten, das System neu aufzusetzen. Wenn sich die Sachen, die die NS umbiegen schon nicht so einfach zu finden sind, dürfte bestimmt noch anderes versteckt sein.
Damit ist der einzig sichere Weg eine komplette neuinstallation

xrayn

Lad dir mal Rku (http://www.rootkit.com/vault/DiabloN....8.342.554.rar) und lass dir einen Report erstellen und poste ihn.

3X!_d0S

*Zwischenfrage*

Überlebt ein Trojaner eine Neuinstallation von Windows dank "persistence"?
Wenn nein, wozu bieten Trojaner diese Option?

ThX 3X!_d0S

xrayn

Nein, wenn du die gesamte Festplatte formatierst, kann keine Malware das ueberleben, es sei denn sie kann unabhaengig von der Festplatte existieren. Das das irgendein Trojaner kann bezweifle ich stark!

bitmuncher

Nicht, wenn sie nicht im MBR der Festplatte liegen, was heutzutage kaum noch möglich ist, da auch dieser von Antiviren-Programmen und zumeist auch vom BIOS überwacht wird.

Diese "Option" ist lediglich dazu da, dass sie sich selbst nachladen, wenn sie unsachgemäß entfernt werden.

Im Fall eines Trojaners auf dem Rechner sollte man aber immer neu aufsetzen, da nur so gewährleistet ist, dass der Rechner wieder komplett sauber ist.

__________________

3X!_d0S

Okay, ThX bitmuncher.

Um wirklich sicher zu gehen, reicht es also, die Platte zudem neu zu partitionieren und komplett, nicht schnell, zu formatieren?

ThX 3X!_d0S

lightsaver

Die (schnelle) Formatierung reicht aus. Da du danach ja dein System neu installieren musst, sind ja keine Reste vom Trojaner mehr vorhanden.
Wichtig ist, dass wenn du nicht alle Partitionen formatierst (z.B. weil auf einer dein Windows ist und auf ner anderen Daten sind und du nur die mit Windows formatierst), dann kann es passieren, dass halt noch infizierte Dateien auf deiner Datenpartition sind und du diese dann durch erneutes ausführen wieder installierst.
Persönlich formatiere ich aber in solch einem Fall in der Regel nur die Windowspartition. Nur wenn kurz danach das System wieder kompromitiert ist (ist weder bei mir noch bei den Leuten, denen ich das System neu aufgesetzt habe, bisher passiert) würde ich wirklich alles formatieren und auch nur noch Dokumente und Dateien, die ich nirgendwo mehr herbekommen kann (z.B. neu laden oder aus einer Datensicherung) würde ich vorher noch sichern und dann aber auch vor dem zurückspielen nochmal auf Viren/Trojaner untersuchen lassen.

zero-9

Was genau ist mit "Persistence" gemeint? Also, wie wird diese "Hartnäckigkeit" erreicht? Über bestimmte Reg - Keys? Hab unter "Malware Persistence", "Malware Persistence Techniques" usw. nix gescheites finden können.

lightsaver

Ich denke mal, damit ist das gemeint, was bitmuncher schon sagte. Gelöst wird das z.B. über 2 Prozesse, die sowohl sich gegenseitig überwachen, als auch die Reg-Einträge.

@bitmuncher:
Es muss wohl aber auch nicht zwingend der MBR benutzt werden, um den Schädling weiterleben zu lassen. Es gibt wohl auch die Möglichkeit, Speicher von PCI-Karten zu verwenden (Beispiele waren Grafikkarten und Netzwerkkarten).
Ob diese Verfahren aber massenhaft angewendet werden, zweifle ich mal wegen der dann speziellen Anpassung für die jeweils genutzte Karte aber an.

bitmuncher

Zumeist wird diese Persistence durch Registry-Einträge erreicht. Eine andere Möglichkeit ist das Infizieren von System-DLLs, so dass der Trojaner beim Ausführen der DLL auf seine Funktionalität getestet und ggf. neugeladen wird. Ausserdem kann man im MBR einen Code platzieren, der ggf. gelöschte Registry-Einträge wieder neu schreibt. Bei heutigen Bootloadern reicht der verfügbare Speicher des MBR dazu aber meist nicht mehr aus, weswegen eine Infizierung des Bootloaders oftmals viel erfolgreicher ist.

@lightsaver: Erweiterungsspeicher der Hardware zu nutzen ist eher bei gezielten Vor-Ort-Angriffen üblich. Kann mir vorstellen, dass Geheimdienste sowas einsetzen. Es remote durchzuführen ist meines Wissens nach fast unmöglich, da ein Direktzugriff auf die Hardware zum "flashen" notwendig ist.

__________________

lightsaver

Sollte auch nur noch eine Alternative aufzeigen, habe ja auch geschrieben, dass ich die Massenverwendung anzweifel. Aber das mit dem Direktzugriff sollte meiner Meinung nach das geringste Problem sein. Der Schädling kann ja schon auf dem System sein. Und mitlerweile bieten ja fast alle Hersteller das Flashen direkt aus Windows heraus an, der Zugriff sollte somit also von dieser Seite aus möglich sein, vielleicht sogar mit den Tools der Hersteller (Vermutung von meiner Seite)