|
Plagegeister aller Art und deren Bekämpfung: BloudHound & MyDoomWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.04.2006, 09:10 | #1 |
| BloudHound & MyDoom Hallo! Ich bekämpfe seit heute Nacht Spyware auf meinem Notebook. Hatte die ganze Zeit Sophos installiert und auch jeden Tag mehrmals nach aktuellen .ide Dateien gesucht und upgedatet. Gestern Nachmittag hat es dann damit angefangen, dass sich der Mozilla einfach immer "zu Werbefenstern umgewandelt" hat. Als ich ihn geschlossen hatte, ist er einfach von selbst aufgesprungen - wieder mit der Scheiß-Werbung... Habe zusätzlich Spybot heruntergeladen, der einiges gefunden hat, jedoch nicht alles löschen konnte, weil:. "Einige Probleme konnten nicht behoben werden; der Grund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werden." Allerdings habe ich bereits mehrmals neugestartet und es passiert immer nur das gleiche... Achja, nach dem Hochfahren gibt er jetzt eine Fehlermeldung an, dass RundLL nicht gefunden werden konnte. Habe euch noch den letzten Scan angehängt, damit ihr vllt damit besser klar kommt. Wäre euch echt dankbar, wenn ihr mir helfen könnten!! |
29.04.2006, 09:17 | #2 |
Administrator > Competence Manager | BloudHound & MyDoom Morgen,
__________________bitte erstelle zusätzlich nochmal ein HijackLog zur genaueren Überprüfung. Anleitung in meiner Signatur. Aus der .txt Datei die du erstellt hast kann man nicht genau ersehen, was schön gefixt bzw. noch (wie du schon festgestellt hast) im Speicher residiert. Gruß Daniel
__________________ |
29.04.2006, 09:35 | #3 |
| BloudHound & MyDoom Morgen!
__________________Hoffe, hab das alles richtig gemacht... |
29.04.2006, 09:38 | #4 | |
Administrator > Competence Manager | BloudHound & MyDoomZitat:
noch nicht! Poste das LOG von HijackThis hier in deinen Thread ...
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
29.04.2006, 09:39 | #5 |
| BloudHound & MyDoom Irgendwie scheint der Anhang nicht dabei zu sein.... Noch mal |
29.04.2006, 11:52 | #6 |
Administrator > Competence Manager | BloudHound & MyDoom Du hast auf jeden Fall schonmal den hier und einige andere im System: W32/Colevo-A doch bevor wir mit den obrigen anfangen suche diese Dateien und lass sie bei Virustotal überprüfen: C:\PROGRA~1\GEMEIN~1\fuqw\fuqwm.exe C:\PROGRA~1\GEMEIN~1\fuqw\fuqwa.exe C:\WINDOWS\system32\m8460ihse8460.dll führe zusätzlich noch einen ONLINESCAN bei Kaspersky aus. Poste bitte die Ergebnisse von Virustotal und Kaspersky. Gruß Daniel
__________________ --> BloudHound & MyDoom |
29.04.2006, 12:06 | #7 |
| BloudHound & MyDoom Also, erst mal das von virus total: STATUS: FINISHEDComplete scanning result of "fuqwm.exe", received in VirusTotal at 04.29.2006, 12:56:13 (CET). Antivirus Version Update Result AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.N Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-C AVG 386 04.28.2006 Downloader.Generic.JAD Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.N BitDefender 7.2 04.29.2006 Application.Targetsavers.C CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.n ClamAV devel-20060202 04.27.2006 no virus found DrWeb 4.33 04.29.2006 Adware.TargetServer eTrust-InoculateIT 23.71.142 04.29.2006 Win32/SillyDL.Tsa!Trojan eTrust-Vet 12.4.2184 04.28.2006 Win32/Sasla.A Ewido 3.5 04.29.2006 Downloader.TSUpdate.n Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate.N-tr F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.JWS Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.N Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.n McAfee 4751 04.28.2006 potentially unwanted program Uploader-R Microsoft 1.1372 04.29.2006 Startup.NameShifter.JV (threat-c) NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.N Norman 5.90.17 04.28.2006 W32/DLoader.QKD Panda 9.0.0.4 04.28.2006 Adware/Sqwire Sophos 4.05.0 04.28.2006 no virus found Symantec 8.0 04.29.2006 no virus found TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.n UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.n Aditional Information File size: 9216 bytes MD5: 050731180c404db42028e8e044aea558 SHA1: 8e53737599481f62b007e44a146536407421f0d2 STATUS: FINISHEDComplete scanning result of "fuqwa.exe", received in VirusTotal at 04.29.2006, 13:02:29 (CET). Antivirus Version Update Result AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.L.1 Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-D AVG 386 04.28.2006 Downloader.Generic.IRO Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.L.1 BitDefender 7.2 04.29.2006 Trojan.Downloader.TSUpdate.L CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.l ClamAV devel-20060202 04.27.2006 Trojan.Downloader.Small-504 DrWeb 4.33 04.29.2006 Trojan.DownLoader.5289 eTrust-InoculateIT 23.71.142 04.29.2006 no virus found eTrust-Vet 12.4.2184 04.28.2006 no virus found Ewido 3.5 04.29.2006 Downloader.TSUpdate.l Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.LTV Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.L Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.l McAfee 4751 04.28.2006 potentially unwanted program Uploader-R Microsoft 1.1372 04.29.2006 TargetSaver (threat-c) NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.L Norman 5.90.17 04.28.2006 W32/DLoader.QLQ Panda 9.0.0.4 04.28.2006 Adware/Sqwire Sophos 4.05.0 04.28.2006 no virus found Symantec 8.0 04.29.2006 no virus found TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.l UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.l Aditional Information File size: 16896 bytes MD5: 5d89c1022e687d6793505054eddbe1a7 STATUS: FINISHEDComplete scanning result of "m8460ihse8460.dll", received in VirusTotal at 04.29.2006, 13:05:25 (CET). Antivirus Version Update Result AntiVir 6.34.0.24 04.20.2006 no virus found Avast 4.6.695.0 04.28.2006 no virus found AVG 386 04.28.2006 no virus found Avira 6.34.1.58 04.28.2006 no virus found BitDefender 7.2 04.29.2006 no virus found CAT-QuickHeal 8.00 04.28.2006 no virus found ClamAV devel-20060202 04.27.2006 no virus found DrWeb 4.33 04.29.2006 no virus found eTrust-InoculateIT 23.71.142 04.29.2006 no virus found eTrust-Vet 12.4.2184 04.28.2006 no virus found Ewido 3.5 04.29.2006 no virus found Fortinet 2.71.0.0 04.29.2006 no virus found F-Prot 3.16c 04.29.2006 no virus found Ikarus 0.2.59.0 04.29.2006 no virus found Kaspersky 4.0.2.24 04.29.2006 no virus found McAfee 4751 04.28.2006 no virus found Microsoft 1.1372 04.29.2006 no virus found NOD32v2 1.1512 04.28.2006 no virus found Norman 5.90.17 04.28.2006 no virus found Panda 9.0.0.4 04.28.2006 no virus found Sophos 4.05.0 04.28.2006 no virus found Symantec 8.0 04.29.2006 no virus found TheHacker 5.9.7.136 04.29.2006 no virus found UNA 1.83 04.28.2006 no virus found VBA32 3.11.0 04.28.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e Kaspersky wird von meiner Firewall geblockt, finde auch nicht, wie ich es doch erlauben kann... Noch mal großen Dank an dich! |
29.04.2006, 12:16 | #8 |
Administrator > Competence Manager | BloudHound & MyDoom Hast Du Kaspersky muit dem Internet Explorer benutzt? Oder verwendest Du Mozilla ?
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
29.04.2006, 12:18 | #9 |
| BloudHound & MyDoom Den Mozilla hab ich mittlerweile deinstalliert, weil der ja gesponnen hat. Benutze Avant, habe aber das Kaspersky mit IE geöffnet. |
29.04.2006, 12:36 | #10 |
/// Mr. Schatten | BloudHound & MyDoom Avant ist nur ein bunter Aufsatz auf den Internet-Explorer. Prinzipiell solltest du wieder auf einen weniger unsicheren Browser umsteigen, wie Firefox oder Opera. Anschließend nach (nach Daniel/Sunnys Tipp bzgl der gefunden Viren) solltest du Spybot S&D eventuell auch mal im Abgesicherten Modus durchlaufen lassen. Log-Dateien bitte immer IN einen Beitrag einfügen [Ins Log-File "gehen", Strg+A (markiert alles), Strg+C (kopiert markiertes) und hier in deinen Beitrag Strg+V (fügt die Zwischenablage ein)] Und bevor du ein HJT-Log (oder ähnliches machst), schlöieße alle Programme, alle Fenster. "Suche" auch noch einmal die C:\WINDOWS\system32\m8460ihse8460.dll mache Rechtsklick auf dieses DLL und lasse dir die (Hersteller)-Informationen ausgeben. Der
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - Geändert von Shadow (29.04.2006 um 12:44 Uhr) |
29.04.2006, 13:00 | #11 |
| BloudHound & MyDoom Das ist der Scan aus dem abgesicherten Modus: Command Service: System Service (Registry key, fixed) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService Command Service: Settings (Registry key, fixed) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService Command Service: Settings (Registry key, fixed) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService NewDotNet: Autorun settings (Registry value, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\New.net Startup NewDotNet: Program directory (Directory, fixed) C:\Programme\NewDotNet\ NewDotNet: Global settings (Registry key, fixed) HKEY_LOCAL_MACHINE\Software\New.net NicTechNetworks.Zestyfind: Executable (File, fixed) C:\WINDOWS\iconu.exe --- Spybot - Search & Destroy version: 1.4 (build: 20050523) --- 2005-05-31 blindman.exe (1.0.0.1) 2005-05-31 SpybotSD.exe (1.4.0.3) 2005-05-31 TeaTimer.exe (1.4.0.2) 2006-04-28 unins000.exe (51.41.0.0) 2005-05-31 Update.exe (1.4.0.0) 2006-02-06 advcheck.dll (1.0.2.0) 2005-05-31 aports.dll (2.1.0.0) 2005-05-31 borlndmm.dll (7.0.4.453) 2005-05-31 delphimm.dll (7.0.4.453) 2005-05-31 SDHelper.dll (1.4.0.0) 2006-02-20 Tools.dll (2.0.0.2) 2005-05-31 UnzDll.dll (1.73.1.1) 2005-05-31 ZipDll.dll (1.73.2.0) 2006-04-21 Includes\Cookies.sbi (*) 2006-04-21 Includes\Dialer.sbi (*) 2006-04-21 Includes\Hijackers.sbi (*) 2006-04-21 Includes\Keyloggers.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2006-04-21 Includes\Malware.sbi (*) 2006-04-21 Includes\PUPS.sbi (*) 2006-04-21 Includes\Revision.sbi (*) 2006-04-21 Includes\Security.sbi (*) 2006-04-21 Includes\Spybots.sbi (*) 2005-02-17 Includes\Tracks.uti 2006-04-21 Includes\Trojans.sbi (*) und jetzt hab ich nach dem Neustart noch mal einen Durchlauf gemacht: Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done) Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done) Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done) Common Dialogs: History (41 files) (Registry key, fixed) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Log: Activity: COM+.log (Backup file, fixed) C:\WINDOWS\COM+.log Log: Activity: SchedLgU.Txt (Backup file, fixing failed) C:\WINDOWS\SchedLgU.Txt Log: Activity: imsins.log (Backup file, fixed) C:\WINDOWS\imsins.log Log: Activity: OEWABLog.txt (Backup file, fixed) C:\WINDOWS\OEWABLog.txt Log: Activity: ntbtlog.txt (Backup file, fixed) C:\WINDOWS\ntbtlog.txt Log: Install: comsetup.log (Backup file, fixed) C:\WINDOWS\comsetup.log Log: Install: ocgen.log (Backup file, fixed) C:\WINDOWS\ocgen.log Log: Install: setupact.log (Backup file, fixed) C:\WINDOWS\setupact.log Log: Install: setupapi.log (Backup file, fixed) C:\WINDOWS\setupapi.log Log: Install: setuperr.log (Backup file, fixed) C:\WINDOWS\setuperr.log Log: Install: setuplog.txt (Backup file, fixed) C:\WINDOWS\setuplog.txt Log: Install: wmsetup.log (Backup file, fixed) C:\WINDOWS\wmsetup.log Log: Install: DtcInstall.log (Backup file, fixed) C:\WINDOWS\DtcInstall.log Log: Shutdown: System32\wbem\logs\mofcomp.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\mofcomp.log Log: Shutdown: System32\wbem\logs\setup.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\setup.log Log: Shutdown: System32\wbem\logs\wbemcore.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wbemcore.log Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wbemess.lo_ Log: Shutdown: System32\wbem\logs\wbemess.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wbemess.log Log: Shutdown: System32\wbem\logs\wbemprox.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wbemprox.log Log: Shutdown: System32\wbem\logs\wmiadap.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wmiadap.log Log: Shutdown: System32\wbem\logs\wmiprov.log (Backup file, fixed) C:\WINDOWS\System32\wbem\logs\wmiprov.log Cookie: Cookie (48) (Cookie, fixed) Cache: Cache (1292) (Cache, fixed) Cookie: Cookie (507) (Cookie, fixed) --- Spybot - Search & Destroy version: 1.4 (build: 20050523) --- 2005-05-31 blindman.exe (1.0.0.1) 2005-05-31 SpybotSD.exe (1.4.0.3) 2005-05-31 TeaTimer.exe (1.4.0.2) 2006-04-28 unins000.exe (51.41.0.0) 2005-05-31 Update.exe (1.4.0.0) 2006-02-06 advcheck.dll (1.0.2.0) 2005-05-31 aports.dll (2.1.0.0) 2005-05-31 borlndmm.dll (7.0.4.453) 2005-05-31 delphimm.dll (7.0.4.453) 2005-05-31 SDHelper.dll (1.4.0.0) 2006-02-20 Tools.dll (2.0.0.2) 2005-05-31 UnzDll.dll (1.73.1.1) 2005-05-31 ZipDll.dll (1.73.2.0) 2006-04-21 Includes\Cookies.sbi 2006-04-21 Includes\Dialer.sbi 2006-04-21 Includes\Hijackers.sbi 2006-04-21 Includes\Keyloggers.sbi 2004-11-29 Includes\LSP.sbi 2006-04-21 Includes\Malware.sbi 2006-04-21 Includes\PUPS.sbi 2006-04-21 Includes\Revision.sbi 2006-04-21 Includes\Security.sbi 2006-04-21 Includes\Spybots.sbi 2005-02-17 Includes\Tracks.uti 2006-04-21 Includes\Trojans.sbi |
29.04.2006, 13:05 | #12 |
| BloudHound & MyDoom ach ja - beim Neustart kam die Fehlermeldung: Fehler beim Laden von w04e17b3.dll |
29.04.2006, 13:16 | #13 | |
Administrator > Competence Manager | BloudHound & MyDoom Hast du das gemacht was Shadow geasgt hat: Zitat:
Dann machst du einen eScan, gehe genau die Anleitung durch und poste es wie beschrieben! Gruß Daniel
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
29.04.2006, 13:22 | #14 |
| BloudHound & MyDoom Die Datei ist bei mir nicht vorhanden... |
29.04.2006, 13:23 | #15 |
Administrator > Competence Manager | BloudHound & MyDoom Dann mach als nächstes einen eScan und dann sehen wir weiter
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu BloudHound & MyDoom |
aktuelle, besser, dateien, dll, einfach, fehlermeldung, gen, geschlossen, gesucht, helfen, heute, hochfahren, installiert, löschen, mozilla, neustart, nicht gefunden, probleme, rundll, scan, sophos, speicher, spybot, spyware, von selbst, wahrscheinlich, werbefenster, zusätzlich |