|
Log-Analyse und Auswertung: avast meldet Win32:Obfuscated-DHWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.04.2007, 01:42 | #1 |
| avast meldet Win32:Obfuscated-DH avast meldete Win32:Obfuscated-DH im Arbeitspeicher (als es also schon zu spät war) Danach habe ich über Nacht einen Komplettscan laufen lassen. Dabei wurden einige mit diesem Trojaner infizierte Dateien in den Container verschoben. Ich werde den Verdacht nicht los, dass auch Avast selbst lahm gelegt wurde. Ein Update Versuch meldet aber die aktuelle Version. Nach einem Reboot befindet sich angeblich kein Virus/Trojaner mehr im Arbeitsspeicher. Ich kann mir irgendwie nicht vorstellen, dass das alles gewesen sein soll. Also bitte ich die Fachleute den Hijack This Log mal anzuschauen. Der Inet Analyzer beschwert sich über den Eintrag O20 - AppInit_DLLs, daran sehe ich nun aber erstmal nichts Verdächtiges. Imonc.exe ist das Überwachungstool für einen fli4l ISDN Router. Für den im Zusammenhang mit Obfuscated häufig genannten Swizzor.A finde ich keine Hinweise. Der letzte LOG-Eintrag O24 kommt mir aber sehr suspekt vor. Vielen Dank für Antworten. Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 01:33:16, on 11.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Alwil Software\Avast4\ashServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Imonc2_0_7d\bak\Imonc.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Alwil Software\Avast4\ashChest.exe C:\WINDOWS\explorer.exe J:\hijackthis\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.yakumo.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = adslproxy.dvs.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [fli4l] "C:\Programme\Imonc2_0_7d\Imonc.exe" /s:192.168.0.1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mu3: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .mus: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .mut: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .myr: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O14 - IERESET.INF: START_PAGE_URL=h**p://www.yakumo.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133353466734 O17 - HKLM\System\CCS\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer = 192.168.0.1 O20 - AppInit_DLLs: O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O24 - Desktop Component 0: (no name) - h**p://216.32.95.41/clientscript/showdiv.js -- End of file - 6599 bytes |
11.04.2007, 17:48 | #2 |
Administrator > Competence Manager | avast meldet Win32:Obfuscated-DH Hallo.
__________________Das Logfile ist meiner Ansicht nach sauber, nichts was auf Befall hindeuten würde. Mach aber mal folgendes: Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 1) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Der oben genannte Schädling setzt sich normalerweise nicht in den Arbeitsspeicher, sondern eher an andere Stellen im System. Gruß Sunny
__________________ |
12.04.2007, 20:08 | #3 |
| avast meldet Win32:Obfuscated-DH Danke für die weiterführenden Anweisungen. Für ISDN User sind 16 MB natürlich erst einmal wieder ein Koffer und der Scan dauerte auch ewig.
__________________Das F-Secure Schwarzlicht liess sich nicht starten. Ich werde noch einmal die Command Line Version ausbrobieren. Das Ergebnis von MWAV: Ich hatte es 2x gestartet weil das Proggy anfing etwas zu reparieren: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Apr 12 00:32:57 2007 => Version 9.1.9 Thu Apr 12 00:30:56 2007 => Virus-Datenbank Datum: 4/11/2007 Thu Apr 12 00:32:41 2007 => Virus-Datenbank Datum: 4/11/2007 Thu Apr 12 00:35:48 2007 => Virus-Datenbank Datum: 4/11/2007 Thu Apr 12 00:36:17 2007 => Virus-Datenbank Datum: 4/11/2007 Thu Apr 12 03:54:05 2007 => Virus-Datenbank Datum: 4/11/2007 Thu Apr 12 09:50:22 2007 => Virus-Datenbank Datum: 4/11/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 12 00:33:33 2007 => System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Einträge entfernt. Thu Apr 12 00:42:05 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. Thu Apr 12 00:42:06 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu Apr 12 00:33:33 2007 => Offending file found: C:\WINDOWS\iun6002ev.exe Thu Apr 12 00:42:05 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll Thu Apr 12 00:42:06 2007 => Offending file found: C:\WINDOWS\unvise32.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Thu Apr 12 00:41:27 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\familie\hark\autos ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 12 00:35:48 2007 => Gefundene Viren: 1 Thu Apr 12 03:54:05 2007 => Gefundene Viren: 3 Thu Apr 12 00:35:48 2007 => Anzahl Fehler: 5 Thu Apr 12 03:54:05 2007 => Anzahl Fehler: 164 Thu Apr 12 00:35:48 2007 => Dauer des Scans bisher: 00:02:48 Thu Apr 12 03:54:05 2007 => Dauer des Scans bisher: 03:17:03 Thu Apr 12 00:35:48 2007 => Gescannte Dateien: 6885 Thu Apr 12 03:54:05 2007 => Gescannte Dateien: 386389 Thu Apr 12 00:32:57 2007 => Specherüberprüfung: Aktiviert Thu Apr 12 00:36:58 2007 => Specherüberprüfung: Aktiviert Thu Apr 12 00:32:57 2007 => Registry Überprüfung: Aktiviert Thu Apr 12 00:36:58 2007 => Registry Überprüfung: Aktiviert Thu Apr 12 00:32:57 2007 => System-Ordner Überprüfung: Deaktiviert Thu Apr 12 00:36:58 2007 => System-Ordner Überprüfung: Deaktiviert Thu Apr 12 00:32:57 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Apr 12 00:36:58 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Apr 12 00:32:57 2007 => Überprüfung der Dienste: Aktiviert Thu Apr 12 00:36:58 2007 => Überprüfung der Dienste: Aktiviert Thu Apr 12 00:32:57 2007 => Überprüfung der Festplatten: Deaktiviert Thu Apr 12 00:36:58 2007 => Überprüfung der Festplatten: Deaktiviert Thu Apr 12 00:32:57 2007 => Überprüfung aller Festplatten :Aktiviert Thu Apr 12 00:36:58 2007 => Überprüfung aller Festplatten :Aktiviert |
12.04.2007, 20:26 | #4 |
| avast meldet Win32:Obfuscated-DH und der rapport.txt von SmitfraudFix (lief im abgesicherten Modus): SmitFraudFix v2.166 Scan done at 21:23:03,48, 12.04.2007 Run from J:\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=" " »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{9CFDC2E0-A416-4238-BA5B-94E68C99C9E7}: NameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
12.04.2007, 20:38 | #5 |
| avast meldet Win32:Obfuscated-DH nach einen erneuten Download funktionierte BlackLight, es hat aber keine verdächtigen Dinge gefunden. 04/12/07 21:29:40 [Info]: BlackLight Engine 1.0.61 initialized 04/12/07 21:29:40 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/12/07 21:29:40 [Note]: 7019 4 04/12/07 21:29:40 [Note]: 7005 0 04/12/07 21:29:44 [Note]: 7006 0 04/12/07 21:29:44 [Note]: 7011 1936 04/12/07 21:29:44 [Note]: 7026 0 04/12/07 21:29:44 [Note]: 7026 0 04/12/07 21:29:47 [Note]: FSRAW library version 1.7.1021 04/12/07 21:34:01 [Note]: 2000 1012 04/12/07 21:34:01 [Note]: 2000 1012 04/12/07 21:50:50 [Note]: 7007 0 Geändert von DonKracho (12.04.2007 um 20:49 Uhr) |
15.04.2007, 11:06 | #6 |
| avast meldet Win32:Obfuscated-DH Hi, hat noch jemand eine Idee? Ich kann die drei oben gefundenen Datein noch einmal bei Virustotal durchschicken. Der Rechner hat auf jeden Fall irgend eine Seuche. Dab booten dauert ewig, diverse Programme zeigen Merkwürdigkkeiten, das Dateisystem sollte aber in Ordnung sein. Ich habe nun schon diverse eigene Dateien gesichert um den Rechner neu aufsetzen zu können. Mir graut nur vor den Windows Updates über ISDN. Ja,ja 20 KM von Hannover weg gibt es noch kein DSL wo einem in der Fernsehwerbung suggeriert wird man bräuchte eine 16000er Leitung. |
Themen zu avast meldet Win32:Obfuscated-DH |
adobe, antivirus, appinit_dlls, application, avast, avast!, bho, browseui preloader, c.exe, desktop, down, excel, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, hotkey, infizierte, infizierte dateien, internet, internet explorer, log, microsoft, nvidia, programme, s-1-5-18, scan, software, suspekt, system, trend micro, trojaner, version., vielen dank, virus/trojaner, windows, windows xp |