| |
| |||||||
Log-Analyse und Auswertung: Win2000 TR/Inject.dfx und seine FreundeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.07.2008, 14:00
| #1 |
| |  Win2000 TR/Inject.dfx und seine Freunde Hallo liebe Helfer, Seit Freitag kämpfe ich (Windows2000 ServicePack4 5.00.2195) vergebens mit dem Trojaner TR/Inject.dfx der sich wohl in der Datei yayvWOfG.dll versteckt hält (C:WINNT/system32/yayvWOfG.dll) Antivir kann dieses Problem nicht beheben, Fehler-Nr. 26003 (und ich noob erstrecht nicht.) Im Umfeld dieses Hartnäckers trollen sich ein paar weitere Kumpanen: TR/Monderc.A TR/Vundo.ewz.40 welche aber durch Antivir Personal (vermeintlich) in ihre Schranken verwiesen wurden. Anbei Hijack Log und Combo Fix Log. (Für mich leider alles nur Kauderwelch). Hilfe. comicmarv Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:55:34, on 01.07.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Lexmark 2300 Series\lxcgmon.exe C:\Programme\Lexmark 2300 Series\ezprint.exe C:\WINNT\system32\rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\Rundll32.exe C:\WINNT\system32\lxcgcoms.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\XXXXXXXXXXXX\Desktop\Hijack\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {70447C42-14AF-428C-A99C-ED5AB90D8C50} - C:\WINNT\system32\byXPJyax.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {D62A2513-0A8B-44F8-8479-3AFFAFC5FF82} - C:\WINNT\system32\yayvWOfG.dll O2 - BHO: {a70146c5-28ef-7039-de54-81af1ec17a6e} - {e6a71ce1-fa18-45ed-9307-fe825c64107a} - C:\WINNT\system32\nlikdn.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\ABBYY FineReader 5.0 Sprint\CAgent.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe" O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [940f7a48] rundll32.exe "C:\WINNT\system32\tretpria.dll",b O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [BM973c49d4] Rundll32.exe "C:\WINNT\system32\msuexosd.dll",s O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{95831481-295E-40DE-970A-FCC1EF60FA7B}: NameServer = 213.191.74.18 62.109.123.196 O17 - HKLM\System\CCS\Services\Tcpip\..\{974C9FCE-FFDA-496B-A25C-2EF70CE60674}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{95831481-295E-40DE-970A-FCC1EF60FA7B}: NameServer = 213.191.74.18 62.109.123.196 O20 - Winlogon Notify: yayvWOfG - C:\WINNT\SYSTEM32\yayvWOfG.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: lxcg_device - - C:\WINNT\system32\lxcgcoms.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe -- End of file - 5002 bytes Code:
ATTFilter ComboFix 08-06-20.4 - XXXXXXXXXXX 01.07.2008 14:10:47.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.524 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXXXXXXXX\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINNT\BM973c49d4.xml
C:\WINNT\cookies.ini
C:\WINNT\pskt.ini
C:\WINNT\system32\airptert.ini
C:\WINNT\system32\byXPJyax.dll
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\urcnafkd.ini
C:\WINNT\system32\xayJPXyb.ini
C:\WINNT\system32\xayJPXyb.ini2
C:\WINNT\Web\default.htt
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.
2008-07-01 12:50 . 08-07-01 12:50 <DIR> d-------- C:\Programme\CCleaner
2008-07-01 10:44 . 08-07-01 10:44 21,392 --a------ C:\WINNT\system32\yayvWOfG.zip
2008-07-01 10:40 . 08-07-01 10:40 103,424 --a------ C:\WINNT\system32\nlikdn.dll
2008-07-01 10:40 . 08-07-01 10:40 103,424 --a------ C:\WINNT\system32\fvwqeqrb.dll
2008-07-01 10:40 . 08-07-01 10:40 81,408 --a------ C:\WINNT\system32\tretpria.dll
2008-07-01 10:37 . 08-07-01 10:37 90,624 --a------ C:\WINNT\system32\msuexosd.dll
2008-07-01 10:22 . 08-07-01 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\AdobeUM
2008-06-30 17:42 . 08-06-30 17:42 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-06-30 17:42 . 08-06-30 17:42 1,409 --a------ C:\WINNT\QTFont.for
2008-06-30 12:47 . 08-06-30 12:47 691,545 --a------ C:\WINNT\unins000.exe
2008-06-30 12:47 . 08-06-30 12:47 2,551 --a------ C:\WINNT\unins000.dat
2008-06-30 10:39 . 08-06-30 10:39 751 --a------ C:\WINNT\system32\jgeacigp.dll
2008-06-28 11:21 . 08-06-28 11:21 25,088 --------- C:\WINNT\system32\yayvWOfG.dll
2008-06-28 10:20 . 07-12-13 19:27 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll
2008-06-28 10:20 . 07-12-13 19:27 75,248 --a------ C:\WINNT\zllsputility.exe
2008-06-28 10:20 . 07-12-13 19:27 42,384 --a------ C:\WINNT\zllsputility_loc0407.dll
2008-06-28 10:20 . 07-12-13 19:27 21,904 --a------ C:\WINNT\system32\imsinstall_loc0407.dll
2008-06-28 10:20 . 07-12-13 19:27 17,808 --a------ C:\WINNT\system32\imslsp_install_loc0407.dll
2008-06-28 10:20 . 04-04-27 04:40 11,264 --a------ C:\WINNT\system32\SpOrder.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 11:15 --------- d-----w C:\Programme\Lx_cats
2008-06-30 15:11 --------- d-----w C:\Programme\Artweaver 0.3
2008-06-26 15:46 --------- d-----w C:\Programme\Lexmark 2300 Series
2008-05-24 13:22 --------- d-----w C:\Dokumente und Einstellungen\XXXXXXXXXXXX\Anwendungsdaten\PEERNET
2008-05-24 13:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PEERNET
2008-05-24 13:19 --------- d-----w C:\Programme\PDFCreator
2008-05-24 13:18 --------- d-----w C:\Programme\PDF Creator Plus 4.0
2008-05-24 13:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-13 08:15 --------- d-----w C:\Programme\Java
2006-06-26 11:18 3,932 ----a-w C:\Dokumente und Einstellungen\XXXXXXXXXXX\Anwendungsdaten\LMLayout.dat
2006-06-26 11:18 268 ----a-w C:\Dokumente und Einstellungen\XXXXXXXXXXX\Anwendungsdaten\LMCPaper.dat
2006-01-18 15:22 271 ---h--w C:\Programme\desktop.ini
2006-01-18 15:22 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2008-03-21 20:29 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2008-03-21 20:29 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2008-03-21 20:29 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62A2513-0A8B-44F8-8479-3AFFAFC5FF82}]
08-06-28 11:21 25088 --------- C:\WINNT\system32\yayvWOfG.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a71ce1-fa18-45ed-9307-fe825c64107a}]
08-07-01 10:40 103424 --a------ C:\WINNT\system32\nlikdn.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 112400 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-04-17 10:22 262401]
"ABBYY Community Agent"="C:\Programme\ABBYY FineReader 5.0 Sprint\CAgent.exe" [02-03-20 20:32 253952]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-08-25 14:46 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 04:25 144784]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL,TweakMeUp" []
"lxcgmon.exe"="C:\Programme\Lexmark 2300 Series\lxcgmon.exe" [05-07-21 08:07 200704]
"EzPrint"="C:\Programme\Lexmark 2300 Series\ezprint.exe" [05-08-01 14:05 94208]
"LXCGCATS"="C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [05-07-20 19:48 73728]
"940f7a48"="C:\WINNT\system32\tretpria.dll" [08-07-01 10:40 81408]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [07-12-13 19:27 919016]
"BM973c49d4"="C:\WINNT\system32\msuexosd.dll" [08-07-01 10:37 90624]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D62A2513-0A8B-44F8-8479-3AFFAFC5FF82}"= C:\WINNT\system32\yayvWOfG.dll [08-06-28 11:21 25088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayvWOfG]
yayvWOfG.dll 08-06-28 11:21 25088 C:\WINNT\system32\yayvWOfG.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.ACDV"= ACDV.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-04-17 10:22 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-04-17 10:22 ]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINNT\system32\DRIVERS\RMSPPPOE.SYS [02-10-03 01:09 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINNT\system32\Drivers\Ca533av.sys [02-10-21 12:37 ]
S3 SPGT560xUSB;MS Card_Reader;C:\WINNT\system32\DRIVERS\SP560X2K.SYS [00-09-15 12:23 ]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINNT\system32\Drivers\Bulk533.sys [02-07-25 12:19 ]
S3 viafilter;VIA USB Filter;C:\WINNT\system32\Drivers\viausb.sys [05-03-23 17:56 ]
*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**://www.gmer.net
Rootkit scan 2008-07-01 14:16:51
Windows 5.0.2195 Service Pack 4 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCGCATS = rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\yayvWOfG.dll
PROCESS: C:\WINNT\explorer.exe
-> C:\WINNT\system32\tretpria.dll
.
Zeit der Fertigstellung: 2008-07-01 14:21:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-01 12:21:33
13 Verzeichnis(se), 68,056,952,832 Bytes frei
15 Verzeichnis(se), 69,373,509,632 Bytes frei
129
|
|
01.07.2008, 14:18
| #2 |
| /// AVZ-Toolkit Guru   | Win2000 TR/Inject.dfx und seine Freunde Hallo comicman und
__________________ Einen Vundo von 'nem Win2k System wieder runter zu bekommen bzw. es danach sauber zu halten dürfte nicht so einfach werden.. Ich würde mir an deiner Stelle sehr gut überlegen nicht an dieser Stellen einen Schlussstrich unter dein Steinzeitsystem zu ziehen und auf Windows XP zu upgraden. Win2k ist lange nichtmehr sicher genug um damit im Netz unterwegs zu sein.
__________________ |
|
04.07.2008, 16:10
| #3 |
| | Win2000 TR/Inject.dfx und seine Freunde Da ich kein Experte bin habe die letzten drei Tage etwas experimentiert (Masse statt Klasse) und mit folgenden Programmen gearbeitet:
__________________Ad Aware SuperAntispyware Malwarebytes Antimalware Spybot Search & Destroy XP-Antispy (auf Empfehlung eines Bekannten) Eraser Zonelab´s Zonealarm (war schon vorher drauf) CC Cleaner (das find ich super) Hijack This Avira Antivir (war vorher drauf UND erst nach Deinstallation die ersten Erfolge! nun läuft stattdessen) AV Avast Vundofix (lief nur ein einziges mal - der Scan zeigt mir sonst bereits nach einer halben Sekunde das keine infizierten Files gefunden wurden, das erscheint mit viel zu schnell...) Windows Worms Door Cleaner DCOMbobulator (wohl eher unwichtig) außerdem habe ich vier schrille Dienste (komische Namen wie Aisraocknvg) deaktiviert und die Dienste allgemein nochmal komplett überarbeitet,sowie einen neuen Browser installiert Firefox 3.0 Das System läuft nun endlich stabil. Allerdings habe ich keinen Plan ob ich wirklich Virusfrei bin. Kann mir da jemand eine sichere Methode geben, dass zu prüfen? |
|
| Themen zu Win2000 TR/Inject.dfx und seine Freunde |
| ?????, adobe, avira, bho, browser, combo fix, combofix, desktop, drivers, einstellungen, explorer, firefox, hijack, hijackthis, installation, internet, internet explorer, log, logfile, malware, monitor, mozilla, mozilla firefox, pdf creator, problem, programme, rundll, software, trojaner, trollen, windows |
Linear-Darstellung
