| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/PCK.Klone.G.20Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
05.08.2006, 17:47
| #1 |
 |  TR/PCK.Klone.G.20 Hallo, bin neu hier und natürlich auch gleich ein Problem. Bei jedem Start (wenn der desktop erschienen ist und windows alles geladen hat, kann etwas dauern) meldet AntiVir sofort denn Trojaner TR/PCK.Klone.G.20 immer in der Datei C:/Windows/system32/winubg32.dll . Diese Datei lösche ich dann auch sofort (kommt aber eh immer wieder). AntiVir findet bei einem Systemscan nichts, Spybot auch nich und Ad-Aware SE fängt immer damit an den Windowsordner zuscannen(noch is alles ok), aber sobald es einige dateien scannt (aber bei diese dateien nichts findet) kommt die gleiche Warnung wieder. Es sind zwar noch mehr Dateien, aber diese konnte ich noch mitkriegen bevor die Meldung kam: WgaLogon.dll - C:\WINDOWS\system32 WinSpool.drv - ? Habe auch schon HiJack drüber laufen lassen und bei Hijack this ausgewertet. Hat zwar nich sonderlich viel geholfen, aber ich zeige ihn euch mal: Logfile of HijackThis v1.99.1 Scan saved at 18:04:11, on 05.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1126452590406 O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing) O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke euch schonmal und hoffe auf schnelle Hilfe! |
|
05.08.2006, 17:56
| #2 |
| Administrator > Competence Manager  | TR/PCK.Klone.G.20 Hallo FaTD,
__________________dein Logfile sieht meiner Ansicht nach auch clean aus. Versuch doch mal folgendes, lass die Datei ->C:/Windows/system32/winubg32.dll<- mal bei Virustotal auswerten. Poste anschliessend das Ergebnis. (einfach alles markieren, kopieren, und in deinen Beitrag reinsetzen..) Gruß Sunny
__________________ |
|
05.08.2006, 18:02
| #3 |
  | TR/PCK.Klone.G.20 mOIn auch,
__________________was ist mit dem hier ? C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe ist vermutlich dieser Trojan.Starter 65 o.ä. lass in mitüberprüfen MFG |
|
05.08.2006, 18:03
| #4 | |
| Administrator > Competence Manager | TR/PCK.Klone.G.20Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
05.08.2006, 18:11
| #5 |
| | TR/PCK.Klone.G.20 mOIn nochma t-online ? hm, vielen Dank  für deine Info hab mir in den letzten 2 Tagen nach dem Sch...ding die Finger wund getippt und keine Infos im Net finden können.@ FaTD dann brauchst du die Update.exe nicht prüfen lassen MFG |
|
05.08.2006, 18:06
| #6 |
| | TR/PCK.Klone.G.20 Ich kenn mich zwar nich so aus, aber das heißt wohl nichts gutes   :Complete scanning result of "winubg32.dll", received in VirusTotal at 08.05.2006, 18:59:35 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.05.2006 TR/PCK.Klone.G.20 Authentium 4.93.8 08.04.2006 W32/Trojan.IID Avast 4.7.844.0 08.04.2006 Win32:Klone-N AVG 386 08.04.2006 Generic.YIG BitDefender 7.2 08.05.2006 Trojan.Klone.D CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.04.2006 Trojan.Agent-527 DrWeb 4.33 08.05.2006 Trojan.Mezzia eTrust-InoculateIT 23.72.87 08.04.2006 Win32/Nebuler.4ii!DLL!Trojan eTrust-Vet 12.6.2324 08.04.2006 Win32/Nebuler.J Ewido 4.0 08.05.2006 no virus found Fortinet 2.77.0.0 08.05.2006 W32/Klone.G F-Prot 3.16f 08.04.2006 destructive program named W32/Trojan.IID F-Prot4 4.2.1.29 08.04.2006 W32/Trojan.IID Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.05.2006 Packed.Win32.Klone.g McAfee 4822 08.04.2006 BackDoor-CVT Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1693 08.05.2006 no virus found Norman 5.90.23 08.04.2006 W32/Agent.AGIA Panda 9.0.0.4 08.05.2006 Adware/SuperSpider Sophos 4.08.0 08.05.2006 Troj/Agent-CIK Symantec 8.0 08.05.2006 Trojan Horse TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.04.2006 Trojan.Mezzia VirusBuster 4.3.7:9 08.05.2006 Trojan.Agent.DTF Aditional Information File size: 18944 bytes MD5: 10dc4e8c75890df8f6f72cfd0ceb5c52 SHA1: 69cc4be61fcdfbb5c1c2ad2a13658df5d965ec9b |
|
05.08.2006, 18:08
| #7 |
| | TR/PCK.Klone.G.20 Zu der T-Online Sache (ich bin bei AOL  ) und wollte das wenn ich die positionen von den anderen Trojanern/Virusen etc. weiß im abgesicherten Modus mitlöschen.Aber trotzdem danke! [EDIT]: Sorry für Doppelpost, bin momentan wohl zu aufgeregt |
|
05.08.2006, 18:11
| #8 |
| Administrator > Competence Manager | TR/PCK.Klone.G.20 Bei dem was ich über den Trojaner gefunden habe, gibt es wohl noch die Möglichkeit einer Bereinigung. Führe aber vorab enen eScan durch, Anleitung in meiner Signatur verlinkt. Poste das Ergebnis mit Hilfe der "find.bat", ist alles ganz genau beschrieben Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
05.08.2006, 22:54
| #9 |
| | TR/PCK.Klone.G.20 Hat zwar ewig gedauert, aber hier ist es endlich: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken. Sat Aug 05 19:38:07 2006 => System found infected with conhook.y Trojan (C:\WINDOWS\system32\awvvu.dll)! Action taken: No Action Taken. Sat Aug 05 19:38:04 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sat Aug 05 19:36:42 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. Sat Aug 05 19:40:30 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken. Sat Aug 05 19:40:40 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus73.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken. Sat Aug 05 23:17:40 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat Sat Aug 05 19:38:07 2006 => Offending file found: C:\WINDOWS\system32\awvvu.dll ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sat Aug 05 19:36:41 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 19:36:53 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 23:13:39 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken. Sat Aug 05 23:17:09 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sat Aug 05 19:38:04 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 05 23:18:15 2006 => Total Errors: 584 Sat Aug 05 23:18:15 2006 => Time Elapsed: 03:41:12 Sat Aug 05 23:18:15 2006 => Total Objects Scanned: 199025 Sat Aug 05 19:27:06 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 19:31:03 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 19:35:57 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:18:15 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:18:40 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:32:15 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:36:24 2006 => Virus Database Date: 8/5/2006 Sat Aug 05 23:36:55 2006 => Virus Database Date: 8/5/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
05.08.2006, 23:25
| #10 |
  | TR/PCK.Klone.G.20 Hallo, gehe mal die beiden Anleitungen durch, und poste danach die nötigen Logfiles. Anleitung1 Anleitung2 Und zu der Update.exe kannst du mal einen Link posten das die zu T-Online gehört, ich habe da so meine Zweifel, vielleicht sollte die Datei doch mal untersucht werden, schaden kann es ja nicht. Grüße Wildone |
|
| Themen zu TR/PCK.Klone.G.20 |
| .dll, ad-aware, adobe, alcatel, antivir, avira, computer, desktop, einstellungen, explorer, firefox, hijack, hijack this, hijackthis, immer wieder, internet, internet explorer, launch, monitor, mozilla, mozilla firefox, rundll, schnelle hilfe, software, trojaner, unknown file in winsock lsp, usb, warnung, windows, windows xp |
Hybrid-Darstellung
