|
Plagegeister aller Art und deren Bekämpfung: Trojaner - PuperWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.04.2006, 10:51 | #1 |
| Trojaner - Puper Hallo, ein Kollege von mir hat sich gestern den Trojaner "Puper" eingefangen und ich bekomme ihn nicht von seinem Notebook entfernt. Mein Virenscanner (McAfee Enterprise 8.0.0) entdeckt die Datei, kann sie aber weder säuber, verschieben noch löschen! Das manuelle Entfernen der Datei im Windows-Explorer funktioniert ebenfalls nicht - "Zugriff verweigert". Ich habe den PC dann im "Abgesicherten Modus" gestartet und dort konnte ich die Datei unter c:\windows\system32\ld22d.tmp löschen. Danach habe ich den PC neu gestartet und McAfee meldet nun eine neue Datei unter c:\windows\system32\ld23d.tmp! Wie bekomm ich diesen "Puper" runter? Was gibt es dafür für Tools? Killbox habe ich bereits versucht - leider auch ohne Erfolg. Es wird ständig eine neue Trojaner-Datei angelegt. Hab das Notebook zunächst mal vom Firmennetzwerk getrennt. |
19.04.2006, 11:01 | #2 |
| Trojaner - Puper Hallo,
__________________poste mal ein HijackThis Log. Außerdem löschst du mal die Temp Dateien mit Cleanup! und postest die vier Logfiles deer Datfind.bat, aber nur die Dateien des letzten Monats abkopieren. Grüße Wildone |
19.04.2006, 11:10 | #3 |
| Trojaner - Puper HijackThis Log:
__________________Logfile of HijackThis v1.99.1 Scan saved at 11:38:44, on 19.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\UltraVNC\WinVNC.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\iPod\bin\iPodService.exe H:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.100.20:3128;gopher=192.168.100.20:3128;http=192.168.100.20:3128;https=192.168.100.20:3128;socks=192.168.100.20:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.100.*;<local> O1 - Hosts: 1.27.0.0.1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Programme\p2pnetworks\mpp2pl.exe" /H O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04b\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FreePDF Assistant.lnk = C:\Programme\FreePDF_XP\fpassist.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118843093958 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1118843020252 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{34CCC04C-E4B5-4A88-A054-F77D0B72E819}: NameServer = 192.168.100.1,192.168.100.7,192.168.100.101 O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing) O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Cleanup läuft gerade! |
19.04.2006, 12:15 | #4 |
| Trojaner - Puper Also Cleanup ist erfolgreich gelaufen und die Datfind.bat hat folgendes ausgegeben: Datei1 Datentr„ger in Laufwerk C: ist System Volumeseriennummer: F418-7F23 Verzeichnis von C:\WINDOWS\system32 19.04.2006 12:18 4.564 ModemLog_AVM ISDN Custom Config.txt 19.04.2006 12:18 5.012 ModemLog_AVM ISDN BTX.txt 19.04.2006 12:18 5.062 ModemLog_AVM ISDN Analog Modem (V.32bis).txt 19.04.2006 12:18 5.022 ModemLog_AVM ISDN FAX (G3).txt 19.04.2006 12:18 5.032 ModemLog_AVM ISDN - ISDN (X.75).txt 19.04.2006 12:18 5.034 ModemLog_AVM ISDN Mailbox (X.75).txt 19.04.2006 12:18 5.074 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt 19.04.2006 12:18 5.044 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 19.04.2006 12:18 5.054 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 19.04.2006 12:16 31.757 ld7A47.tmp 18.04.2006 18:42 4.904 ncompat.tlb 18.04.2006 17:44 2.206 wpa.dbl 13.04.2006 10:19 296.008 FNTCACHE.DAT 06.04.2006 21:48 5.143.456 MRT.exe Datei2 Datentr„ger in Laufwerk C: ist System Volumeseriennummer: F418-7F23 Verzeichnis von C:\DOKUME~1\XXX~1\LOKALE~1\Temp 19.04.2006 13:11 2.434 WcesView.log 19.04.2006 12:16 16.384 ~DF7C93.tmp 19.04.2006 09:42 2 Twain001.Mtx 19.04.2006 09:42 0 TWAIN.LOG 4 Datei(en) 18.820 Bytes 0 Verzeichnis(se), 8.102.866.944 Bytes frei Datei3 Datentr„ger in Laufwerk C: ist System Volumeseriennummer: F418-7F23 Verzeichnis von C:\WINDOWS 19.04.2006 13:12 512 randseed.rnd 19.04.2006 12:18 3.886 ModemLog_Intel(R) 537EA Modem.txt 19.04.2006 12:16 261 wiadebug.log 19.04.2006 12:16 1.811.132 WindowsUpdate.log 19.04.2006 12:16 50 wiaservc.log 19.04.2006 12:15 0 0.log 19.04.2006 12:15 2.048 bootstat.dat 19.04.2006 12:14 32.192 SchedLgU.Txt 19.04.2006 10:34 196.806 ntbtlog.txt 19.04.2006 09:18 3.679.755 pfirewall.log 18.04.2006 16:34 1.318 win.ini 13.04.2006 14:58 726.634 setupapi.log 13.04.2006 10:17 400 ODBC.INI 12.04.2006 17:43 220.240 setupact.log 12.04.2006 13:58 2.736 spupdsvc.log 12.04.2006 13:54 23.924 KB911565.log 12.04.2006 13:54 33.305 wmsetup.log 12.04.2006 13:54 618 avmcoins.log 12.04.2006 13:53 25.981 iis6.log 12.04.2006 13:53 154.877 comsetup.log 12.04.2006 13:53 32.593 ntdtcsetup.log 12.04.2006 13:53 179.082 tsoc.log 12.04.2006 13:53 1.374 imsins.log 12.04.2006 13:53 24.342 ocmsn.log 12.04.2006 13:53 16.888 KB911562.log 12.04.2006 13:53 221.432 ocgen.log 12.04.2006 13:53 22.142 msgsocm.log 12.04.2006 13:53 448.932 FaxSetup.log 12.04.2006 13:53 33.246 updspapi.log 12.04.2006 13:53 1.374 imsins.BAK 12.04.2006 13:53 19.393 KB912812.log 12.04.2006 13:53 11.541 KB908531.log 12.04.2006 13:52 10.809 KB911567.log 09.04.2006 17:40 91 BRPP2KA.INI 09.04.2006 17:40 425 brwmark.ini 09.04.2006 17:29 26 Brownie.ini 09.04.2006 17:29 24 brqikmon.ini 09.04.2006 17:26 759 Brpfx04a.ini Datei4 Datentr„ger in Laufwerk C: ist System Volumeseriennummer: F418-7F23 Verzeichnis von C:\ 19.04.2006 13:13 0 sys.txt 19.04.2006 13:12 10.021 system.txt 19.04.2006 13:12 435 systemtemp.txt 19.04.2006 13:11 105.780 system32.txt 19.04.2006 12:15 805.306.368 pagefile.sys |
19.04.2006, 13:16 | #6 |
| Trojaner - Puper smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] Running from C:\smitREM\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir ld****.tmp ncompat.tlb logfiles ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 712 'explorer.exe' Killing PID 712 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
19.04.2006, 13:50 | #7 |
| Trojaner - Puper Hallo, das sollte es eigentlich schon gewesen sein. Gibt es noch irgendwelche Beschwerden? Grüße Wildone |
19.04.2006, 14:55 | #8 |
| Trojaner - Puper Hallo, der Trojaner war immernoch da allerdings konnte ihn nun der McAfee killen. Beim 2. Testscan wurde dann kein Schädling mehr gefunden. Vielen Dank!!! |
Themen zu Trojaner - Puper |
abgesicherten, abgesicherten modus, c:\windows, datei, ebenfalls, entfernen, funktioniert, gen, löschen, mcafee, modus, netzwerk, neu, neue, notebook, scan, scanner, system, system32, tools, trojaner, verschieben, virenscanner, windows-explorer, zugriff, zugriff verweigert |