Virus aufm PC aber keiner findet was??!!

Hi

Ich hab ein Problem der besonderen Art. Aus mir nicht nachvollziehbaren Gründen hab ich seit gestern irgenwas maliciöses auf meinem PC, das in unregelmäßigen Abständen versucht eine TCP Verbindung zu mariayalbert.noip.com, bzw. zu der IP Adresse 65.23.198.233 aufzubauen. Der Verbindungsaufbau wird dabei durch die explorer.exe von W2K initiert, wobei die verwendeten Ports auch ständig durchwechseln. (laut Sygate FW Pro)

Da auch der Check mittels mehrerer AV Scanner (NAV 2004, NAV 2005, Trendmicro HomeCall usw...) und auch unterschiedliche AntiSpy Programme keinen Hinweis auf einen Virus gefunden haben, hab ich mich in die Registry begeben und konnte in mehreren Run Anweisungen, sowie im Taskmanager 1 Prozess identifizieren, der hier nicht hingehört und auch keinen Bezug zu einem Programm hat.

Unter dem Eintrag 'Ffix32' wird eine ausführbare Datei mit Namen dractx.exe gelistet, die sich im System Ordner von WINNT befindet. Ein Versuch dieses Datei zu löschen, bzw. die Einträge in der Registry zu entfernen blieb erfolglos, da die Datei. bzw. die Einträge sofort wiederhergestellt werden. Im Abgesicherten Modus konnte ich dann beides entfernen und wurden nach dem Neustart auch nicht wieder erneuert.

Ich hab nun alle laufenden Prozesse im einzelnen gechecked und auch die damit verbundenen .dll's, aber nichts deutet auf 'etwas' hin, das einen Hinweis gibt, weshalb die explorer.exe diese Verbindung versucht aufzubauen. Die explorer.exe ist, wenn man den Eigenschaften von W2K glaubt, unverändert und identisch mit der Original Datei vin der Installations CD.

Ich finde im ganzen Netz keinerlei Hinweise auf die angegebene IP Adresse, den Alias der IP, bzw. der genannten Datei (dractx.exe) und dem Regsitry Eintrag(Ffix32)

Hat jemand irgendeine Ahnung? Wo sind die Cracks?

 

Hallo,

IP Adresse => http://www.iks-jena.de/cgi-bin/whois

dractx.exe => Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

 

Angaben nzur IP Adresse, wobei das wenig aussagt und der nur Anbieter für eine dyn.Ip ist

Suchbegriff: 65.23.198.233
Adresse: whois.arin.net
Suchergebnis:


OrgName: Puerto Rico Telephone Company
OrgID: PRTC
Address: Ave Roosevelt 1513 7th Floor
Address: P.O. Box 360998
City: San Juan
StateProv: PR
PostalCode: 00936-0998
Country: US

NetRange: 65.23.192.0 - 65.23.255.255
CIDR: 65.23.192.0/18
NetName: PRTC-NET-2
NetHandle: NET-65-23-192-0-1
Parent: NET-65-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.PRTC.NET
NameServer: NS2.PRTC.NET
Comment:
RegDate: 2003-03-18
Updated: 2004-04-08

TechHandle: ED101-ARIN
TechName: Internet Backbone Administration, EDWIN
TechPhone: 1+787-792-8475
TechEmail: edwinri@prtc.net

OrgTechHandle: JJ100-ARIN
OrgTechName: Johnson, Jeff
OrgTechPhone: +1-303-446-5711
OrgTechEmail: jjohnson@tvcusa.com

Da ich die Datei (dractx.exe) bereits erfolgreich gelöscht habe, kann ich sie bei Kasperky nicht ckecken lassen. Ich finde auch keine Hinweise bei Sophos oder Norton dazu.

Logfile von HiJackThis:

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\LEXPPS.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\hidserv.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINNT\system32\MSTask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
D:\WINNT\Explorer.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\cfos\cFosDNT.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Moony\moony.exe
C:\Programme\MailBell\mailbell.exe
D:\WINNT\system32\notepad.exe
E:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - c:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe Ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cfos\cFosDNT.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
O4 - HKCU\..\Run: [Mailbell] "C:\Programme\MailBell\mailbell.exe"
O4 - Startup: Verknüpfung mit LEDMeter.exe.lnk = C:\Programme\LEDMeter\LEDMeter.exe
O8 - Extra context menu item: &Copy Location - D:\WINNT\WEB\graburl.htm
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Highlight - D:\WINNT\WEB\highlight.htm
O8 - Extra context menu item: &Links List - D:\WINNT\WEB\urllist.htm
O8 - Extra context menu item: &Web Search - D:\WINNT\WEB\selsearch.htm
O8 - Extra context menu item: Deutsch <> Englisch - H:\Internet\PC Welt Translate\pcwTranslate.js
O8 - Extra context menu item: I&mages List - D:\WINNT\Web\imglist.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Frame in &New Window - D:\WINNT\WEB\frm2new.htm
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zoom &In - D:\WINNT\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - D:\WINNT\WEB\zoomout.htm
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Preispiraten 2.1.2 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone (HKLM)
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra button: Offline (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38248.0793518519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C71AF43-B0B4-48FA-ADAD-6CEF6B46364C}: NameServer = 213.20.173.12 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5C71AF43-B0B4-48FA-ADAD-6CEF6B46364C}: NameServer = 213.20.173.12 193.189.244.205

 

Hallo supervisior

In deinem HijackThis-Log fehlen die vier obersten Zeilen, wo u. a. die verwendete HijackThis-Version, das Betriebsystem nebst Version sowie der verwendete Browser nebst Version stehen.

Ansonsten sieht das von meiner Warte soweit OK aus.

Gruß
Nevok

 

besser nicht,denn das ist der Promise Controller

 

Der wurde aber auf www.hijackthis.de als "böse" angezeigt...

 

das ist die Gefahr bei der Auswertung mittels Script.....such mal per Google nach der dll

 

Das sagt gar nix. Die automatische Auswertung bewertet bei mir eine Verknüpfung (von mir selbst erstellt) zur taskmgr.exe (das Original von Win2000) im Autostart als böse. Nur als Beispiel...