| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Vundo Gen und AwaxWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.02.2008, 00:25
| #1 |
| |  Trojaner Vundo Gen und Awax Hallo alle zusammen! Ich benutze Windows Xp, schonmal vorweg. Ich hoffe ihr könnt mir helfen, bin nämlich wirklich am verzweifeln. Also vor ein paar Tagen kam von Norton Antivirus eine Fehlermeldung, " Virus Vundo Gen" gefunden, konnte nicht repariert werden". Ich hab mich im Internet schlau gemacht und erstmal Vundofix ausprobiert. Hat aber nichts geholfen, dann hab ich mir nochmal Antivir installiert, vll schafft dieses Progamm den Trojaner zu löschen, denkste, er tauchte nach jedem Neustart wieder auf (trotz deaktivierter Systemwiederherstellung) Nun bekommen ich plötzlich von Antivir ein Haufen von Fehlermeldungen und Norton Antivirus hat plötzlich auch einen neuen Virus entdeckt: Trojan Awax nennt der sich und soll sich in C://WINDOWS/system 32/ pmnoonm.dll befinden.t Dann noch weiteres: In der Datei 'C:\WINDOWS\Temp\tmp2C.tmp' wurde ein Virus oder unerwünschtes Programm 'Worm/Warezo.35748.B' [WORM/Warezo.35748.B] gefunden. In der Datei 'C:\WINDOWS\Temp\tmp2B.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.35328.1' [TR/Agent.35328.1] gefunden. In der Datei 'C:\WINDOWS\Temp\tmp25.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agen.35748.B' [TR/Spy.Agen.35748.B] gefunden. Ich hab wirklich keine Ahnung, was ich noch machen könnte, hab hier von diesem Programm gehört und poste im Anschluss meine hijack-Protokoll. Bitte helft mir!  Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:06:06, on 28.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Norton AntiVirus\navapsvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\HP\KBD\KBD.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\ScannerP\TBRIDGE\BIN\InstantAccess.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\OneStepSearch\onestep.exe C:\WINDOWS\system32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\OneStepSearch\onestep.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = | HP[/url] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Search Marketing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=E-Mail - Suche - DSL - R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = Search Marketing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {182C7ED7-E56D-4509-9D9B-AC49318D9895} - C:\WINDOWS\system32\pmnoonm.dll O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchTool\nsf15.dll (file missing) O2 - BHO: {6efa493f-1a1d-c80b-81b4-fdf6eaabdfb6} - {6bfdbaae-6fdf-4b18-b08c-d1a1f394afe6} - C:\WINDOWS\system32\xrljnjtt.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38EA2~1\Bar888.dll (file missing) O2 - BHO: (no name) - {C504E685-0CAC-4F07-9C32-852E3CA98997} - C:\WINDOWS\system32\ssqpo.dll (file missing) O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\system32\amcis.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing) O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38EA2~1\Bar888.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [tuloxFreeWBF] C:\Programme\tuloxFreeWBF\FreeDict.exe AUTOSTART O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun O4 - HKLM\..\Run: [Blubster] C:\Programme\Blubster\Blubster.exe SILENT O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe" O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerP\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerP\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ6\ICQ.exe -minimize O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerP\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerP\AM32.exe O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - O16 - DPF: {DFE1AC3A-9EE0-434A-8217-9532CABEE7E8} - O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - O17 - HKLM\System\CCS\Services\Tcpip\..\{1EBA946F-96B4-4713-BEA3-65BC8E8F0194}: NameServer = 195.50.140.178 195.50.140.114 O17 - HKLM\System\CS2\Services\Tcpip\..\{1EBA946F-96B4-4713-BEA3-65BC8E8F0194}: NameServer = 195.50.140.178 195.50.140.114 O20 - Winlogon Notify: winhld32 - winhld32.dll (file missing) O21 - SSODL: SrvAvp - {94b28126-85aa-42ac-b56c-307676e76bd6} - C:\WINDOWS\Installer\{94b28126-85aa-42ac-b56c-307676e76bd6}\SrvAvp.dll (file missing) O21 - SSODL: zip - {db5d45dd-4688-456a-9a4d-39cb99267255} - C:\WINDOWS\Installer\{db5d45dd-4688-456a-9a4d-39cb99267255}\zip.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe -- End of file - 14080 bytes Geändert von Kiwifan89 (28.02.2008 um 00:34 Uhr) |
|
28.02.2008, 15:23
| #2 | ||
| Administrator > Competence Manager  | Trojaner Vundo Gen und AwaxHallo und Willkommen! Das System sieht ziemlich vermurkst aus, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen, arbeite das hier ab: Vor allem dieser Eintrag im Hijacklog... Zitat:
..lässt auf einen Trojan-Agent zurückschliessen. Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. Sophos scannen lassen * Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. * Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. * Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. * Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. * Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. Gmer scannen lassen * Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop. * Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein. * Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) * Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. * Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet. * Füge das Log aus der Zwischenablage in deine Antwort hier ein. Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
__________________ |
|
28.02.2008, 18:13
| #3 | |
| | Trojaner Vundo Gen und Awax Habe alles wie beschrieben ausgeführt:
__________________1.Blacklightprotokoll: 02/28/08 16:21:41 [Info]: BlackLight Engine 1.0.67 initialized 02/28/08 16:21:41 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/28/08 16:21:42 [Note]: 7019 4 02/28/08 16:21:42 [Note]: 7005 0 02/28/08 16:22:08 [Note]: 7007 0 02/28/08 16:22:17 [Info]: BlackLight Engine 1.0.67 initialized 02/28/08 16:22:17 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/28/08 16:22:17 [Note]: 7019 4 02/28/08 16:22:17 [Note]: 7005 0 02/28/08 16:23:41 [Note]: 7006 0 02/28/08 16:23:41 [Note]: 7011 2552 02/28/08 16:23:41 [Note]: 7026 0 02/28/08 16:23:41 [Note]: 7026 0 02/28/08 16:23:45 [Note]: FSRAW library version 1.7.1024 02/28/08 16:34:55 [Note]: 2000 1012 02/28/08 16:34:55 [Note]: 2000 1012 02/28/08 16:35:18 [Note]: 7007 0 2. Hab Sophos scannen lassen, Zitat:
3.Gmer scannen lassen Logdatei: GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2008-02-28 17:36:07 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT 82D81550 ZwConnectPort SSDT F8BE31F4 ZwCreateThread SSDT F8BE31E0 ZwOpenProcess SSDT F8BE31E5 ZwOpenThread SSDT F8BE31EF ZwTerminateProcess SSDT F8BE31EA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? C:\WINDOWS\system32\F.tmp Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DisplayName ????? Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DeviceDesc ????? Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@ProviderName ??????? Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@MFG ? Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@ReinstallString C:\WINDOWS\System32\ReinstallBackups\????\DriverFiles\.INF Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DeviceInstanceIds d:\driver\motherboard\ati chipset\ati (7124)\sbdrv\smbus\smbusati.inf Reg HKLM\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer32@ C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\MGIHelperAxControls.dll Reg HKLM\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InprocServer32@InprocServer32 }(y!GUtQOAJmi^+.)B*_Roxio_PhotoSuite5>!wxSAMR*s?Y-1]m5n`m1? Reg HKLM\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\ProgID@ MGIActiveXControls.MPSSoundCtrl.1 Reg HKLM\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\TypeLib@ {6E8657C3-8256-11D3-8107-0080C8754728} Reg HKLM\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\VersionIndependentProgID@ MGIActiveXControls.MPSSoundCtrl Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\InProcServer32@ %SystemRoot%\system32\SHELL32.dll Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\InProcServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\IconHandler Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\IconHandler@ {0AFACED1-E828-11D1-9187-B532F1E9575D} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{000214EE-0000-0000-C000-000000000046} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{000214EE-0000-0000-C000-000000000046}@ {0AFACED1-E828-11D1-9187-B532F1E9575D} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{000214F9-0000-0000-C000-000000000046} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{000214F9-0000-0000-C000-000000000046}@ {0AFACED1-E828-11D1-9187-B532F1E9575D} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{00021500-0000-0000-C000-000000000046} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\shellex\{00021500-0000-0000-C000-000000000046}@ {0AFACED1-E828-11D1-9187-B532F1E9575D} Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\ShellFolder@Attributes 1614872887 Reg HKLM\SOFTWARE\Classes\CLSID\{574AF223-9FE4-84CE-456B-2931FD4DAB97}\ShellFolder@CallForAttributes -268435456 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\AuxUserType\2 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\AuxUserType\2@ Videoclip Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\DefaultSet Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\DefaultSet@ AVIFile Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\0 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\0@ Embed Source,1,8,1 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\1 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\1@ 3,1,32,1 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\2 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DataFormats\GetSet\2@ 8,1,1,1 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\DefaultIcon@ mplay32.exe,3 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}@ Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4} Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}@ Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\InprocHandler32@ ole32.dll Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\Insertable@ Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\LocalServer@ mplay32.exe /avi Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\LocalServer32@ mplay32.exe /avi Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\MiscStatus@ 0 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\PersistentHandler@ {098f2470-bae0-11cd-b579-08002b30bfeb} Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\ProgID@ AVIFile Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\0 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\0@ &Wiedergabe,0,3 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\1 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\1@ &Bearbeiten,0,2 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\2 Reg HKLM\SOFTWARE\Classes\CLSID\{FBD44B43-52CF-EDF3-2A14-9785820AB493}\verb\2@ ?&ffnen,0,2 ---- EOF - GMER 1.0.14 ---- 4. Dateien online prüfen lassen: Datei onestep.exe empfangen 2008.02.28 17:40:12 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.28.2 2008.02.28 Win-AppCare/Onestep.3072 AntiVir 7.6.0.67 2008.02.28 ADSPY/OneStep.B Authentium 4.93.8 2008.02.28 - Avast 4.7.1098.0 2008.02.27 - AVG 7.5.0.516 2008.02.28 Adware Generic2.SPT BitDefender 7.2 2008.02.28 Adware.NewDotNet.BK CAT-QuickHeal 9.50 2008.02.28 AdWare.OneStep.c (Not a Virus) ClamAV 0.92.1 2008.02.28 Adware.Onestep-2 DrWeb 4.44.0.09170 2008.02.28 Adware.OneStep eSafe 7.0.15.0 2008.02.28 - eTrust-Vet 31.3.5571 2008.02.28 - Ewido 4.0 2008.02.28 - FileAdvisor 1 2008.02.28 - Fortinet 3.14.0.0 2008.02.28 - F-Prot 4.4.2.54 2008.02.27 - F-Secure 6.70.13260.0 2008.02.28 - Ikarus T3.1.1.20 2008.02.28 not-a-virus:AdWare.Win32.OneStep.c Kaspersky 7.0.0.125 2008.02.28 not-a-virus:AdWare.Win32.OneStep.c McAfee 5240 2008.02.28 - Microsoft 1.3301 2008.02.28 BrowserModifier:Win32/OneStepSearch NOD32v2 2909 2008.02.28 - Norman 5.80.02 2008.02.28 W32/AdInstaller.HE Panda 9.0.0.4 2008.02.27 Adware/OneStep Prevx1 V2 2008.02.28 Adware Generic2.SPT Rising 20.33.32.00 2008.02.28 AdWare.Win32.OneStep.a Sophos 4.27.0 2008.02.28 - Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.02.28 - TheHacker 6.2.9.229 2008.02.25 Adware/OneStep.c VBA32 3.12.6.2 2008.02.27 AdWare.Win32.OneStep.c VirusBuster 4.3.26:9 2008.02.28 - Webwasher-Gateway 6.6.2 2008.02.28 Ad-Spyware.OneStep.B weitere Informationen File size: 3072 bytes MD5: 8360c2fe5cc1ddc60ee99e3c3c92ca49 SHA1: bcf0353fc660dce100d15df98e806614ed5fe914 PEiD: - Prevx info: ONESTEP.EXE - Prevx Konnte das hier dort nicht finden: C:\Programme\WebRebates4\webrebates.exe Datei InstantAccess.exe empfangen 2008.02.28 17:54:49 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.28.2 2008.02.28 - AntiVir 7.6.0.67 2008.02.28 - Authentium 4.93.8 2008.02.28 - Avast 4.7.1098.0 2008.02.27 - AVG 7.5.0.516 2008.02.28 - BitDefender 7.2 2008.02.28 - CAT-QuickHeal 9.50 2008.02.28 - ClamAV 0.92.1 2008.02.28 - DrWeb 4.44.0.09170 2008.02.28 - eSafe 7.0.15.0 2008.02.28 - eTrust-Vet 31.3.5571 2008.02.28 - Ewido 4.0 2008.02.28 - FileAdvisor 1 2008.02.28 - Fortinet 3.14.0.0 2008.02.28 - F-Prot 4.4.2.54 2008.02.27 - F-Secure 6.70.13260.0 2008.02.28 - Ikarus T3.1.1.20 2008.02.28 - Kaspersky 7.0.0.125 2008.02.28 - McAfee 5240 2008.02.28 - Microsoft 1.3301 2008.02.28 - NOD32v2 2909 2008.02.28 - Norman 5.80.02 2008.02.28 - Panda 9.0.0.4 2008.02.27 - Prevx1 V2 2008.02.28 - Rising 20.33.32.00 2008.02.28 - Sophos 4.27.0 2008.02.28 - Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.02.28 - TheHacker 6.2.9.229 2008.02.25 - VBA32 3.12.6.2 2008.02.27 - VirusBuster 4.3.26:9 2008.02.28 - Webwasher-Gateway 6.6.2 2008.02.28 - weitere Informationen File size: 37376 bytes MD5: 4c9e72e657bc01618c53c15196999a6f SHA1: f852babc031a3f4cbeefc8e8ed566b82611a182a PEiD: - Datei C:\WINDOWS\system32\pmnoonm.dll war nicht mehr vorhanden, vll durchs Virusprogramm gelöscht, nun meldet allerdings Antivir, dass die Datei C:\WINDOWS\system32\mlljg.dll Vundo.Gen ist. Hab diese nun mal überprüfen lassen: Datei mlljg.dll empfangen 2008.02.28 18:03:50 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.28.2 2008.02.28 - AntiVir 7.6.0.67 2008.02.28 TR/Vundo.Gen Authentium 4.93.8 2008.02.28 - Avast 4.7.1098.0 2008.02.27 - AVG 7.5.0.516 2008.02.28 - BitDefender 7.2 2008.02.28 - CAT-QuickHeal 9.50 2008.02.28 - ClamAV 0.92.1 2008.02.28 - DrWeb 4.44.0.09170 2008.02.28 - eSafe 7.0.15.0 2008.02.28 - eTrust-Vet 31.3.5571 2008.02.28 - Ewido 4.0 2008.02.28 - FileAdvisor 1 2008.02.28 - Fortinet 3.14.0.0 2008.02.28 - F-Prot 4.4.2.54 2008.02.27 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13260.0 2008.02.28 Vundo.gen58 Ikarus T3.1.1.20 2008.02.28 - Kaspersky 7.0.0.125 2008.02.28 - McAfee 5241 2008.02.28 - Microsoft 1.3301 2008.02.28 Trojan:Win32/Vundo.gen!A NOD32v2 2909 2008.02.28 - Norman 5.80.02 2008.02.28 Vundo.gen58 Panda 9.0.0.4 2008.02.27 - Prevx1 V2 2008.02.28 Trojan.Vundo Rising 20.33.32.00 2008.02.28 - Sophos 4.27.0 2008.02.28 - Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.02.28 - TheHacker 6.2.9.229 2008.02.25 - VBA32 3.12.6.2 2008.02.27 - VirusBuster 4.3.26:9 2008.02.28 Adware.Vundo.Gen!Pac.18 Webwasher-Gateway 6.6.2 2008.02.28 Trojan.Vundo.Gen weitere Informationen File size: 289280 bytes MD5: 4ab228773b43bdf5e500022f872c2acc SHA1: 1609218ee26f73ae73fe9c224e72e62f862b0476 PEiD: - Prevx info: 97033023.DLL - Prevx Also bei dem letzten Programm, das ich ausführen sollte, mache ich mir sorgen, weil da stand, dass 1 von 100 Pc den Desinfizierungsprozess nicht heuel durchstehen, ist das ungefährlich? Geändert von Kiwifan89 (28.02.2008 um 18:37 Uhr) |
|
| Themen zu Trojaner Vundo Gen und Awax |
| 0 bytes, adobe, antivirus, avira, bho, c:\windows\temp, canon, drivers, dsl, e-mail, ellung, fehlermeldung, firefox, google, helfen, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, keine ahnung, mozilla, mozilla firefox, object, programm, rundll, s-1-5-18, security, security center, shockwave, software, symantec, temp, trojaner, urlsearchhook, vundo, windows, windows xp, windows\temp |
Linear-Darstellung
