Sohanad Removal Tool hat nichts gefunden!

Zitat:

Ich möchte DarkVirus nicht dazwischen funken aber ich würde es mal damit probieren:

Kein Problem, kannst ruhig mitmischen.

@undoreal
Eine Frage, hatte noch nie Erfahrungen mit dem Wurm. Hast du mir einen Link zu Sophos, etc.?

Und ja, hab die Datei geladen und bei VT hochgeladen. Ergebnis: 7 Scanner haben sie erkannt.

Zitat:

Das ist glaube ich nicht nötig.
Sohanad erstellt die svchost, hat aber keine Backdoor Eigenschaften..

Das wusste ich nicht, ich hatte mal Erfahrungen mit einem Bifrost Server, der genau diese Datei in dem Ordner erstellt hat.

mfg

Führe bitte das removal Tool aus und lösche die infizierte src Datei.

Zitat:

der Ordner 1088 ist leer...

das kann eigentlich nicht sein. Da muss eine k.exe und die scvhost.exe drinn sein.

Ist aber eigtlich auch egal..

Fixe nach der Ausführung des Removal Tools folgende Einträge mit HJT:

Zitat:

O4 - HKCU\..\Run: [MSWINSCK.OCX] C:\WINDOWS\system32\1088\scvhost.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

Danach nehmen wir uns die k.exe und scvhos.exe vor:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\WINDOWS\system32\1088
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPNRA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

bin nun ein bisschen unschlüssig wie ich weiter vorgehen soll!

reicht format c ? oder soll ich alles formatieren?

habe die besagte datei auf meiner externen platte ausgeführt!

Zitat:

bin nun ein bisschen unschlüssig wie ich weiter vorgehen soll!

Mach doch einfach das was ich dir hier so poste..

PS an Dark:

Zitat:

ich hatte mal Erfahrungen mit einem Bifrost Server, der genau diese Datei in dem Ordner erstellt hat.

da gibt's ein paar mehr von..

Zitat:

Eine Frage, hatte noch nie Erfahrungen mit dem Wurm. Hast du mir einen Link zu Sophos, etc.?

http://www.google.de/search?q=sohana...ient=firefox-a

Zitat:

Ergebnis: 7 Scanner haben sie erkannt.

jup. Die meistens anderen wahrscheinlich erst wenn man sie ausführt. Ist auch echt fies das Ding. Habe hier ein bischen in der Sandkiste rumgespielt...

Folge der Anleitung von undoreal

Datei HPNRA.EXE empfangen 2008.08.20 01:03:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.19.0 2008.08.19 -
AntiVir 7.8.1.23 2008.08.19 -
Authentium 5.1.0.4 2008.08.19 -
Avast 4.8.1195.0 2008.08.19 -
AVG 8.0.0.161 2008.08.20 -
BitDefender 7.2 2008.08.20 -
CAT-QuickHeal 9.50 2008.08.19 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.19 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6036 2008.08.19 -
Ewido 4.0 2008.08.19 -
F-Prot 4.4.4.56 2008.08.19 -
F-Secure 7.60.13501.0 2008.08.19 -
Fortinet 3.14.0.0 2008.08.19 -
GData 2.0.7306.1023 2008.08.19 -
Ikarus T3.1.1.34.0 2008.08.19 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.19 -
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.20 -
NOD32v2 3369 2008.08.19 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 -
Prevx1 V2 2008.08.20 -
Rising 20.58.12.00 2008.08.19 -
Sophos 4.32.0 2008.08.19 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.20 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.19 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.19.1341 2008.08.19 -
VirusBuster 4.5.11.0 2008.08.19 -
Webwasher-Gateway 6.6.2 2008.08.19 -
weitere Informationen
File size: 61440 bytes
MD5...: 0dc675eb75fa36ab9c24331eb861d3d7
SHA1..: 47734c2340912e2908d1554a21510c6fdfa894b8
SHA256: 52288bc58796b0f115c1cf31ae0f515a372070ad4de1391577d1ddb969b436f5
SHA512: 81e64faa24d3140c5fd0c0849c8c424dd41fb832e0b77e902775cab38786bcd7
c21438274b92288ac86fd1e6d964ce0bae7a2c8498d7c2d56fe6c24460d423b3
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x250032c7
timedatestamp.....: 0x40bda4ab (Wed Jun 02 09:58:03 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x85b6 0x9000 6.37 5a683ff18f0e20199c98a9af049d8855
.rdata 0xa000 0xf92 0x1000 5.44 7efc05b290b0222ec8c2c3cd05354a19
.data 0xb000 0x4660 0x3000 1.10 c37dd5d7d5db17cd72cd3784a702d3f2
.rsrc 0x10000 0x3c0 0x1000 1.01 f342e23d8c4e9ac59362a475ae9d5b0a

( 5 imports )
> KERNEL32.dll: TerminateThread, WaitForSingleObject, GetExitCodeThread, GetLastError, GetProcAddress, FreeLibrary, LoadLibraryA, GetSystemDirectoryW, GetTickCount, GetModuleHandleW, CreateThread, ExitThread, GetVersion, FindFirstFileW, LCMapStringW, MultiByteToWideChar, WriteFile, LCMapStringA, GetFileType, GetStdHandle, RtlUnwind, GetEnvironmentStringsW, GetEnvironmentStrings, SetHandleCount, FreeEnvironmentStringsW, FreeEnvironmentStringsA, WideCharToMultiByte, CompareStringW, CompareStringA, CloseHandle, FlushFileBuffers, SetStdHandle, GetOEMCP, GetACP, FileTimeToLocalFileTime, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCPInfo, GetTimeZoneInformation, GetStringTypeW, GetStringTypeA, SetEnvironmentVariableA, SetFilePointer, HeapFree, HeapAlloc, GetCommandLineA, GetStartupInfoA, FindClose, FileTimeToSystemTime, HeapReAlloc, ExitProcess, GetModuleFileNameA, GetModuleHandleA, VirtualFree, VirtualAlloc, HeapDestroy, GetEnvironmentVariableA, GetVersionExA, HeapCreate
> USER32.dll: RegisterClassW, TranslateMessage, wsprintfW, DispatchMessageW, GetMessageW, DefWindowProcW, PostQuitMessage, EndPaint, SetTimer, KillTimer, RegisterWindowMessageW, RegisterClassExW, CreateWindowExW, UpdateWindow, ShowWindow, FindWindowW, IsIconic, LoadCursorW, SetForegroundWindow, LoadIconW, BeginPaint
> WINSPOOL.DRV: GetPrinterW, OpenPrinterW, EnumPrintersW, SetPrinterDataW, ClosePrinter, GetPrinterDataW
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey, RegEnumValueW
> ole32.dll: CoUninitialize, CoTaskMemFree, CoCreateInstance, CoInitializeSecurity, CoInitializeEx

( 0 exports )

Datei HPBPRO.EXE empfangen 2008.08.20 01:05:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.19.0 2008.08.19 -
AntiVir 7.8.1.23 2008.08.19 -
Authentium 5.1.0.4 2008.08.19 -
Avast 4.8.1195.0 2008.08.19 -
AVG 8.0.0.161 2008.08.20 -
BitDefender 7.2 2008.08.20 -
CAT-QuickHeal 9.50 2008.08.19 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.19 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6036 2008.08.19 -
Ewido 4.0 2008.08.19 -
F-Prot 4.4.4.56 2008.08.19 -
F-Secure 7.60.13501.0 2008.08.19 -
Fortinet 3.14.0.0 2008.08.19 -
GData 2.0.7306.1023 2008.08.19 -
Ikarus T3.1.1.34.0 2008.08.19 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.19 -
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.20 -
NOD32v2 3369 2008.08.19 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 -
Prevx1 V2 2008.08.20 -
Rising 20.58.12.00 2008.08.19 -
Sophos 4.32.0 2008.08.19 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.20 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.19 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.19.1341 2008.08.19 -
VirusBuster 4.5.11.0 2008.08.19 -
Webwasher-Gateway 6.6.2 2008.08.19 -
weitere Informationen
File size: 77824 bytes
MD5...: 963571f6157f04af8421d6d058b19e78
SHA1..: 6a6bd3e0bbc452e24933897aede18e41f592d73b
SHA256: 3585c3d3e821ba29491e85684f829f1003b779c96877cac7883174d5c7815d2a
SHA512: aea3c49502e12e2bbbc5ed0c22840daf958e2498aeb75acb279a314de040b9c4
ef6b525b43164a28f69b4a7fc3b37f2a6491a5b80145110df26562c900be1853
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x20005986
timedatestamp.....: 0x40bda4ff (Wed Jun 02 09:59:27 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9d6a 0xa000 6.53 1d80c26ed88c0acddb334f86401d3390
.rdata 0xb000 0x1378 0x2000 3.72 b10cdba845d87bccff67dc2a133d4212
.data 0xd000 0x4a64 0x4000 1.20 e668b059279be847588253ade6208db7
.rsrc 0x12000 0x17f8 0x2000 3.83 96d6c4aea49dc8362acbd86c5e8f76bd

( 6 imports )
> ATL.DLL: -, -, -, -, -, -, -
> KERNEL32.dll: GetProcAddress, FlushFileBuffers, SetStdHandle, GetLastError, ExitThread, SetFilePointer, IsBadCodePtr, IsBadReadPtr, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteFile, MultiByteToWideChar, WideCharToMultiByte, DeleteCriticalSection, InitializeCriticalSection, GetModuleFileNameA, HeapCreate, GetVersionExA, GetSystemInfo, HeapAlloc, lstrlenA, GetFileType, GetEnvironmentStrings, GetCommandLineA, lstrcmpiA, GetCurrentThread, GetCurrentProcess, CloseHandle, GetCurrentThreadId, InterlockedIncrement, InterlockedDecrement, CreateThread, WaitForSingleObject, TerminateThread, GetEnvironmentStringsW, FreeEnvironmentStringsW, FreeLibrary, LoadLibraryW, LoadLibraryA, GetVersionExW, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetACP, GetStdHandle, SetHandleCount, GetOEMCP, GetEnvironmentVariableA, HeapFree, RtlUnwind, RaiseException, GetModuleHandleA, GetStartupInfoA, GetVersion, ExitProcess, HeapReAlloc, HeapDestroy, VirtualFree, VirtualAlloc, IsBadWritePtr, TerminateProcess, SetUnhandledExceptionFilter, GetCPInfo
> USER32.dll: LoadStringA, GetMessageA, CharNextA, PostThreadMessageA, DispatchMessageA
> WINSPOOL.DRV: EnumPrintersW, EnumPrintersA, EnumPortsW, EnumPortsA
> ADVAPI32.dll: InitializeSecurityDescriptor, CopySid, RegQueryValueExA, RegCloseKey, GetTokenInformation, OpenServiceA, OpenSCManagerA, CloseServiceHandle, RegOpenKeyExW, RegQueryValueExW, StartServiceCtrlDispatcherA, ControlService, DeleteService, CreateServiceA, RegDeleteValueA, RegSetValueExA, RegOpenKeyExA, GetLengthSid, SetSecurityDescriptorDacl, OpenThreadToken, OpenProcessToken, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, ReportEventA, SetServiceStatus, RegisterServiceCtrlHandlerA, RegisterEventSourceA, DeregisterEventSource
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemFree, CoTaskMemAlloc

( 0 exports )

Hi
Führe noch dieses Programm aus:

MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

Und poste bitte das Avenger log sowie den AVZ4 Analyse Bericht.

ich werde den rest morgen komplettieren...

muss nämlich gleich arbeiten ...frühschicht...!!!



Danke für eure bisherige SUPER Hilfe !!!!!!


Gruß

folgendes:

als ich heute nach der arbeit meinen rechner hochfahren wollte, um noch die restlichen sachen zu erledigen, funktionierte garnichts mehr.

das booten von WindowsXP frierte immer wieder ein...


habe jetzt alles formatiert und neu aufgespielt..



dürfte ich damit alles wieder in ordungs gebrach haben?

Gruß

Zitat:

habe jetzt alles formatiert und neu aufgespielt..



dürfte ich damit alles wieder in ordungs gebrach haben?

Sehr gute Entscheidung, Hochachtung.

okay!

Dann noch mal ein großes DANKE an alle die mir geholfen haben !!!



Besten Dank! :aplaus::aplaus:

Kein Problem,
immer wieder gerne!

schönen Abend noch