| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Abnow Trojaner (und vielleicht noch anderes) Logs im AnhangWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.03.2012, 20:22
| #1 |
| |  Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Halli Hallo, ich musste gerade feststellen, dass auch ich nicht vor Viren sicher bin. Genauer gesagt geht es um den PC meines Vaters. Es handelt sich um den fiesen Abnow Virus, ich will nicht wissen, wie er sich den eingefangen hat. Ich weiß jedoch, dass eine Neuinstallation z.Zt. nicht möglich ist, da es sich um den CAD Rechner meines Vaters handelt und er die CAD Software von seiner Firma gestellt bekommt. Problem ist, dass er erst einen Aufwändigen Antrag auf herausgabe der CD's stellen muss, der von der GF abgenickt werden muss. Daher muss der PC jetzt erstmal bereinigt werden. Es handelt sich um ein Windows XP Pro. Systemfestplatte ist E:\ Ich war auch schoneinmal so frei, die "ersten Schritte" durchzuführen: Defogger, DDS und GMER sind drübergelaufen. Die Logs befinden sich im Anhang. Ich hoffe wir bekommen das heute noch recht schnell wieder geregelt, der Rechner muss morgen früh leider wieder in den Produktiveinsatz  Vielen Dank schoneinmal im voraus. GMER: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-15 20:16:34
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e Hitachi_HDT721010SLA360 rev.ST6OA31B
Running: 3p4eg179.exe; Driver: E:\DOKUME~1\Achim\LOKALE~1\Temp\awdcrpod.sys
---- System - GMER 1.0.15 ----
SSDT BA7D8114 ZwClose
SSDT BA7D80CE ZwCreateKey
SSDT BA7D811E ZwCreateSection
SSDT BA7D80C4 ZwCreateThread
SSDT BA7D80D3 ZwDeleteKey
SSDT BA7D80DD ZwDeleteValueKey
SSDT BA7D810F ZwDuplicateObject
SSDT BA7D80E2 ZwLoadKey
SSDT BA7D80B0 ZwOpenProcess
SSDT BA7D80B5 ZwOpenThread
SSDT BA7D80EC ZwReplaceKey
SSDT BA7D80E7 ZwRestoreKey
SSDT BA7D8123 ZwSetContextThread
SSDT BA7D80D8 ZwSetValueKey
SSDT BA7D80BF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9815000, 0x288B98, 0xE8000020]
? E:\DOKUME~1\Achim\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ...
---- Files - GMER 1.0.15 ----
File E:\WINDOWS\$NtUninstallKB9588$\2768666509 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\@ 2048 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L\wgezhine 75264 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\loader.tlb 2632 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@00000001 45968 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000c0 2560 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cb 3072 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cf 1536 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@80000000 73728 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000c0 43008 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cb 25600 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cf 31232 bytes
File E:\WINDOWS\$NtUninstallKB9588$\357110804 0 bytes
---- EOF - GMER 1.0.15 ----
DDS: Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_29
Run by Achim at 18:00:25 on 2012-03-15
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3070.2503 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
E:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Medion Info Display\MdionLCM.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
E:\WINDOWS\vsnpstd3.exe
E:\Programme\FreePDF_XP\fpassist.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
E:\Programme\Avira\AntiVir Desktop\avshadow.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
E:\WINDOWS\system32\svchost.exe -k imgsvc
E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
E:\WINDOWS\system32\wuauclt.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = my.daemon-search.com
BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - e:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - e:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - e:\programme\daemon tools toolbar\DTToolbar.dll
uRun: [CTFMON.EXE] e:\windows\system32\ctfmon.exe
mRun: [MedionVFD] "e:\programme\medion info display\MdionLCM.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [avgnt] "e:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "e:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [snpstd3] e:\windows\vsnpstd3.exe
mRun: [FreePDF Assistant] e:\programme\freepdf_xp\fpassist.exe
dRun: [CTFMON.EXE] e:\windows\system32\CTFMON.EXE
dRunOnce: [3DxAssociateFileExts] e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxviewer\register.exe "FileExts"
StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\solidw~1.lnk - e:\programme\gemeinsame dateien\solidworks installations-manager\backgrounddownloading\sldBgDwld.exe
StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\start3~1.lnk - e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxware\3dxsrv.exe
IE: Nach Microsoft E&xel exportieren - e:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - e:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - e:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - e:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1294572509625
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - e:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - e:\dokumente und einstellungen\achim\anwendungsdaten\mozilla\firefox\profiles\w7qlromn.default\
FF - prefs.js: browser.startup.homepage - hxxps://bankingportal.sparkasse-werra-meissner.de/portal/portal/Starten?IID=52250030&AID=IPSTANDARD&IFLBSERVERID=IF@@031@@IF
FF - plugin: e:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: e:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\programme\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: e:\programme\mozilla firefox\plugins\npEModelPlugin.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;e:\programme\avira\antivir desktop\avgio.sys [2011-1-9 11608]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;e:\windows\system32\drivers\dtsoftbus01.sys [2011-6-24 218688]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\avira\antivir desktop\sched.exe [2011-1-9 136360]
R2 AntiVirService;Avira AntiVir Guard;e:\programme\avira\antivir desktop\avguard.exe [2011-1-9 269480]
R2 avgntflt;avgntflt;e:\windows\system32\drivers\avgntflt.sys [2011-1-9 66616]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;e:\windows\system32\drivers\cmiucr.SYS [2011-1-9 69248]
S0 rseb;rseb; [x]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;e:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 lpx;Mcp;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 mcredirector;Webrootspysweeperservice;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 mirrorv3;Ccflic0;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 savrtpel;Packet;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;d:\programme\solidworks corp\solidworks\swscheduler\DTSCoordinatorService.exe [2010-10-5 87336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;e:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\microsoft visual studio 8\common7\ide\remote debugger\x86\msvsmon.exe [2006-10-26 2799808]
.
=============== File Associations ===============
.
.scr=AutoCADScriptFile
.
=============== Created Last 30 ================
.
2012-03-14 20:46:53 -------- d-----w- E:\_OTL
2012-03-14 18:03:02 0 --sha-w- e:\windows\system32\dds_log_ad13.cmd
2012-03-14 18:01:09 -------- d-sh--w- e:\dokumente und einstellungen\achim\lokale einstellungen\anwendungsdaten\a5067f8d
2012-03-03 20:14:47 61440 ----a-w- e:\windows\system32\FTChipID.dll
2012-03-03 20:14:41 -------- d-----w- e:\dokumente und einstellungen\achim\anwendungsdaten\ScanMaster-ELM
2012-03-03 20:14:40 -------- d-----w- e:\programme\WGSoft
2012-03-03 20:12:03 -------- d-----w- E:\obd2
2012-02-23 19:37:42 73728 ----a-w- e:\windows\ALCFDRTM.EXE
2012-02-16 13:31:35 3072 -c----w- e:\windows\system32\dllcache\iacenc.dll
2012-02-16 13:31:35 3072 ------w- e:\windows\system32\iacenc.dll
.
==================== Find3M ====================
.
2012-02-03 09:57:08 1860224 ----a-w- e:\windows\system32\win32k.sys
2012-01-09 16:20:20 139784 ----a-w- e:\windows\system32\drivers\rdpwd.sys
2011-12-28 07:01:20 414368 ----a-w- e:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-17 19:43:23 916992 ----a-w- e:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ------w- e:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ------w- e:\windows\system32\inetcpl.cpl
.
============= FINISH: 18:00:42,06 ===============
|
| Themen zu Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang |
| abnow, antivir, antivir guard, avg, avira, cdburnerxp, desktop, einstellungen, explorer, fiese, firefox, helper, home, microsoft, mozilla, nicht möglich, plug-in, problem, programme, registry, scan, server, software, svchost, temp, trojaner, viren, virus, visual studio, windows, windows xp |
Baum-Darstellung