![]() |
|
Plagegeister aller Art und deren Bekämpfung: Abnow Trojaner (und vielleicht noch anderes) Logs im AnhangWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Halli Hallo, ich musste gerade feststellen, dass auch ich nicht vor Viren sicher bin. Genauer gesagt geht es um den PC meines Vaters. Es handelt sich um den fiesen Abnow Virus, ich will nicht wissen, wie er sich den eingefangen hat. Ich weiß jedoch, dass eine Neuinstallation z.Zt. nicht möglich ist, da es sich um den CAD Rechner meines Vaters handelt und er die CAD Software von seiner Firma gestellt bekommt. Problem ist, dass er erst einen Aufwändigen Antrag auf herausgabe der CD's stellen muss, der von der GF abgenickt werden muss. Daher muss der PC jetzt erstmal bereinigt werden. Es handelt sich um ein Windows XP Pro. Systemfestplatte ist E:\ Ich war auch schoneinmal so frei, die "ersten Schritte" durchzuführen: Defogger, DDS und GMER sind drübergelaufen. Die Logs befinden sich im Anhang. Ich hoffe wir bekommen das heute noch recht schnell wieder geregelt, der Rechner muss morgen früh leider wieder in den Produktiveinsatz ![]() Vielen Dank schoneinmal im voraus. GMER: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-03-15 20:16:34 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e Hitachi_HDT721010SLA360 rev.ST6OA31B Running: 3p4eg179.exe; Driver: E:\DOKUME~1\Achim\LOKALE~1\Temp\awdcrpod.sys ---- System - GMER 1.0.15 ---- SSDT BA7D8114 ZwClose SSDT BA7D80CE ZwCreateKey SSDT BA7D811E ZwCreateSection SSDT BA7D80C4 ZwCreateThread SSDT BA7D80D3 ZwDeleteKey SSDT BA7D80DD ZwDeleteValueKey SSDT BA7D810F ZwDuplicateObject SSDT BA7D80E2 ZwLoadKey SSDT BA7D80B0 ZwOpenProcess SSDT BA7D80B5 ZwOpenThread SSDT BA7D80EC ZwReplaceKey SSDT BA7D80E7 ZwRestoreKey SSDT BA7D8123 ZwSetContextThread SSDT BA7D80D8 ZwSetValueKey SSDT BA7D80BF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9815000, 0x288B98, 0xE8000020] ? E:\DOKUME~1\Achim\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ... ---- Files - GMER 1.0.15 ---- File E:\WINDOWS\$NtUninstallKB9588$\2768666509 0 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\@ 2048 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L 0 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L\wgezhine 75264 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\loader.tlb 2632 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U 0 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@00000001 45968 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000c0 2560 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cb 3072 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cf 1536 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@80000000 73728 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000c0 43008 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cb 25600 bytes File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cf 31232 bytes File E:\WINDOWS\$NtUninstallKB9588$\357110804 0 bytes ---- EOF - GMER 1.0.15 ---- DDS: Code:
ATTFilter . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_29 Run by Achim at 18:00:25 on 2012-03-15 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3070.2503 [GMT 1:00] . AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ============== Running Processes =============== . E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe E:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\Ati2evxx.exe E:\Programme\Avira\AntiVir Desktop\sched.exe svchost.exe E:\WINDOWS\Explorer.EXE E:\Programme\Medion Info Display\MdionLCM.exe E:\WINDOWS\RTHDCPL.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe E:\WINDOWS\vsnpstd3.exe E:\Programme\FreePDF_XP\fpassist.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe E:\Programme\Avira\AntiVir Desktop\avshadow.exe E:\Programme\Java\jre6\bin\jqs.exe E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe E:\Programme\CDBurnerXP\NMSAccessU.exe E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe E:\WINDOWS\system32\svchost.exe -k imgsvc E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe E:\WINDOWS\system32\wuauclt.exe . ============== Pseudo HJT Report =============== . uStart Page = my.daemon-search.com BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - e:\programme\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - e:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - e:\programme\daemon tools toolbar\DTToolbar.dll uRun: [CTFMON.EXE] e:\windows\system32\ctfmon.exe mRun: [MedionVFD] "e:\programme\medion info display\MdionLCM.exe" mRun: [RTHDCPL] RTHDCPL.EXE mRun: [Alcmtr] ALCMTR.EXE mRun: [avgnt] "e:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [SunJavaUpdateSched] "e:\programme\gemeinsame dateien\java\java update\jusched.exe" mRun: [snpstd3] e:\windows\vsnpstd3.exe mRun: [FreePDF Assistant] e:\programme\freepdf_xp\fpassist.exe dRun: [CTFMON.EXE] e:\windows\system32\CTFMON.EXE dRunOnce: [3DxAssociateFileExts] e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxviewer\register.exe "FileExts" StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\solidw~1.lnk - e:\programme\gemeinsame dateien\solidworks installations-manager\backgrounddownloading\sldBgDwld.exe StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\start3~1.lnk - e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxware\3dxsrv.exe IE: Nach Microsoft E&xel exportieren - e:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - e:\programme\messenger\msmsgs.exe IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - e:\progra~1\micros~2\office12\ONBttnIE.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - e:\progra~1\micros~2\office12\REFIEBAR.DLL LSP: mswsock.dll DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1294572509625 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab Notify: AtiExtEvent - Ati2evxx.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - e:\windows\system32\WPDShServiceObj.dll . ================= FIREFOX =================== . FF - ProfilePath - e:\dokumente und einstellungen\achim\anwendungsdaten\mozilla\firefox\profiles\w7qlromn.default\ FF - prefs.js: browser.startup.homepage - hxxps://bankingportal.sparkasse-werra-meissner.de/portal/portal/Starten?IID=52250030&AID=IPSTANDARD&IFLBSERVERID=IF@@031@@IF FF - plugin: e:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll FF - plugin: e:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: e:\programme\mozilla firefox\plugins\npdeployJava1.dll FF - plugin: e:\programme\mozilla firefox\plugins\npEModelPlugin.dll . ============= SERVICES / DRIVERS =============== . R1 avgio;avgio;e:\programme\avira\antivir desktop\avgio.sys [2011-1-9 11608] R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;e:\windows\system32\drivers\dtsoftbus01.sys [2011-6-24 218688] R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\avira\antivir desktop\sched.exe [2011-1-9 136360] R2 AntiVirService;Avira AntiVir Guard;e:\programme\avira\antivir desktop\avguard.exe [2011-1-9 269480] R2 avgntflt;avgntflt;e:\windows\system32\drivers\avgntflt.sys [2011-1-9 66616] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;e:\windows\system32\drivers\cmiucr.SYS [2011-1-9 69248] S0 rseb;rseb; [x] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;e:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S2 lpx;Mcp;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336] S2 mcredirector;Webrootspysweeperservice;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336] S2 mirrorv3;Ccflic0;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336] S2 savrtpel;Packet;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336] S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;d:\programme\solidworks corp\solidworks\swscheduler\DTSCoordinatorService.exe [2010-10-5 87336] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;e:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504] S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\microsoft visual studio 8\common7\ide\remote debugger\x86\msvsmon.exe [2006-10-26 2799808] . =============== File Associations =============== . .scr=AutoCADScriptFile . =============== Created Last 30 ================ . 2012-03-14 20:46:53 -------- d-----w- E:\_OTL 2012-03-14 18:03:02 0 --sha-w- e:\windows\system32\dds_log_ad13.cmd 2012-03-14 18:01:09 -------- d-sh--w- e:\dokumente und einstellungen\achim\lokale einstellungen\anwendungsdaten\a5067f8d 2012-03-03 20:14:47 61440 ----a-w- e:\windows\system32\FTChipID.dll 2012-03-03 20:14:41 -------- d-----w- e:\dokumente und einstellungen\achim\anwendungsdaten\ScanMaster-ELM 2012-03-03 20:14:40 -------- d-----w- e:\programme\WGSoft 2012-03-03 20:12:03 -------- d-----w- E:\obd2 2012-02-23 19:37:42 73728 ----a-w- e:\windows\ALCFDRTM.EXE 2012-02-16 13:31:35 3072 -c----w- e:\windows\system32\dllcache\iacenc.dll 2012-02-16 13:31:35 3072 ------w- e:\windows\system32\iacenc.dll . ==================== Find3M ==================== . 2012-02-03 09:57:08 1860224 ----a-w- e:\windows\system32\win32k.sys 2012-01-09 16:20:20 139784 ----a-w- e:\windows\system32\drivers\rdpwd.sys 2011-12-28 07:01:20 414368 ----a-w- e:\windows\system32\FlashPlayerCPLApp.cpl 2011-12-17 19:43:23 916992 ----a-w- e:\windows\system32\wininet.dll 2011-12-17 19:43:23 43520 ------w- e:\windows\system32\licmgr10.dll 2011-12-17 19:43:23 1469440 ------w- e:\windows\system32\inetcpl.cpl . ============= FINISH: 18:00:42,06 =============== |
Themen zu Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang |
abnow, antivir, antivir guard, avg, avira, cdburnerxp, desktop, einstellungen, explorer, fiese, firefox, helper, home, microsoft, mozilla, nicht möglich, plug-in, problem, programme, registry, scan, server, software, svchost, temp, trojaner, viren, virus, visual studio, windows, windows xp |