WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob

pyranja · 25.07.2007, 01:53

Hallo Ihr Lieben,

nach meinem Ausflug letzter Nacht und Beseitigung unliebsamer Gäste, habe ich mal im "normalen" Modus gescannt und dabei nichts entdeckt. Allerdings im abgesicherten Modus, die benannten im Titel.

Kapier das aber gar nicht! SOS?

Danke

Fehlt vielleicht noch der Verweis auf meinen Beitrag heute morgen

Trojan.Downloader.Zlob.AADO DNSChanger.gen10

BataAlexander · 25.07.2007, 01:58

Geh diese Anleitung durch.

Poste dann wie dort unter Probleme? beschrieben die Logs, falls dann da noch was ist.

Bata

pyranja · 25.07.2007, 02:01

Na Hey,

mach mich an die Arbeit!

Kurz noch: Im abgesicherten Modus oder nicht?

Okay, wer Lesen kann ist hier im Vorteil.

BataAlexander · 25.07.2007, 02:02

Zitat:

Smitfraudfix
Besorgt euch das Programm Smitfraudfix und lasst es wie im Unterpunkt "Reinigung" beschrieben laufen, achtet besonders darauf das Ganze im abgesicherten Modus vorzunehmen.
Smitrem
Alternativ zu Smitfraudfix, kann man auch Smitrem zur Beseitigung verwenden, allerdings reagiert das Programm etwas träger auf Änderungen oder das Auftreten neuer Varianten.
Entpackt das Programm, geht in den abgesicherten Modus, führt die runthis.bat aus und folgt den Anweisungen auf dem Bildschirm.

also....

Bata

pyranja · 25.07.2007, 02:07

Deswegen mein letzter Kommentar

habe es quasi noch gemerkt.

So, ich werde jetzt mal die Hinweise eines netten Menschen aus dem Trojaner-Board Forum befolgen

BataAlexander · 25.07.2007, 02:08

aber ich muss ins Bettchen, hab eben schon andere dahingeschickt..

Scan und poste aber alles!

Bata

pyranja · 25.07.2007, 02:15

Geht klar, dann schlaf gut und besten Dank.

pyranja · 25.07.2007, 02:27

Hilfe,

nach jedem Start ist die Auflösung höher und höher, bald kann ich gar nichts mehr lesen.

Woran liegt das nur?

Logs folgen gleich.

Logfile of HijackThis v1.99.1
Scan saved at 03:35:16, on 25.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

[u**rl=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

[ur**l=http://windowsupdate.microsoft.com/]Microsoft Windows Update[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -

C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} -

C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat

8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) -

[u**rl]http://www.ca.com/securityadvisor/pestscan/pestscan.cab[/url]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} -

[u**rl]http://www.eset.eu/buxus/docs/programs/OnlineScanner.cab[/url]
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -

[ur**l]http://www.ca.com/securityadvisor/virusinfo/webscan.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

[u**rl]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} -

C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -

C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\Scanner\****************\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware

2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame

Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame

Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco

Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame

Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner -

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file

missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner -

C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame

Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hab mal noch eben das mit den Links geändert

BataAlexander · 25.07.2007, 11:55

das mit der Auflösung liegt bestimmt daran das Du im abgesicherten Modus gearbeitest hast. Stell Sie zurück und boote neu.

Ansonsten seh ich in dem Log nichts mehr besonderes. Die Probleme bleiben aber bestehen?
Poste die Logs der datfind.bat bitte auch noch hier.

Bata

pyranja · 26.07.2007, 08:53

hey du,
ich mach das alles am Samstag, muss noch bis Fr was wichtiges für die Uni fertig machen und da vermeide ich jetzt einfach erstmal inet, da mich das immer ne Menge Zeit kostet. Ich hoffe mal du bist dann noch immer so zuverlässig.

trojaner_tod · 28.07.2007, 00:32

also ich könnte es sein das du dir nen activeX steuerelement oder so installiert hast??? dann lass ma RemoveVideoActiveXObject durchlaufen einfach googeln

dann hol ad-aware durchlaufen und dann müssten deine probleme weg sein wenn nich dann sag bescheid:aplaus:

25.07.2007, 01:58	#2
BataAlexander > MalwareDB	WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob Geh diese Anleitung durch. Poste dann wie dort unter Probleme? beschrieben die Logs, falls dann da noch was ist. Bata __________________ __________________

25.07.2007, 02:08	#6
BataAlexander > MalwareDB	WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob aber ich muss ins Bettchen, hab eben schon andere dahingeschickt.. Scan und poste aber alles! Bata __________________ --> WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob Geändert von BataAlexander (25.07.2007 um 02:08 Uhr) Grund: !

WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob

Plagegeister aller Art und deren Bekämpfung: WurlMedia Adware.CDN VX2 Win32.Trojandownloader. Zlob