| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.10.2008, 17:46
| #1 |
| |  Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder Hallo, seit gestern sagt mein AntiVir bei jedem Neustart ich hätte einen Wurm in einer Datei unter c:\WINNT\SYTEM32. Die Datei habe ich gelöscht oder gesperrt oder in Qarantäne gesteckt. Beim nächsten Systemstart kommt wieder eine, der Name wechselt und ist immer ähnlich einem wirklichen Namen einer DLL-Datei, und immer 91k groß. Habe die Datei bei Virustotal geprüft, dort kommen die aufgelisteten Namen für den Wurm. Betriebssystem WIN2000 Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.18.0 2008.10.17 - AntiVir 7.9.0.5 2008.10.17 TR/BHO.Gen Authentium 5.1.0.4 2008.10.17 - Avast 4.8.1248.0 2008.10.15 - AVG 8.0.0.161 2008.10.17 - BitDefender 7.2 2008.10.17 - CAT-QuickHeal 9.50 2008.10.17 - ClamAV 0.93.1 2008.10.17 - DrWeb 4.44.0.09170 2008.10.17 - eSafe 7.0.17.0 2008.10.16 Suspicious File eTrust-Vet 31.6.6153 2008.10.17 Win32/Kvol!generic Ewido 4.0 2008.10.17 - F-Prot 4.4.4.56 2008.10.16 W32/Podnuha.A.gen!Eldorado F-Secure 8.0.14332.0 2008.10.17 - Fortinet 3.113.0.0 2008.10.17 - GData 19 2008.10.17 - Ikarus T3.1.1.44.0 2008.10.17 Virus.Win32.Podnuha.BJ K7AntiVirus 7.10.498 2008.10.17 - Kaspersky 7.0.0.125 2008.10.17 - McAfee 5407 2008.10.16 Boaxxe.dll Microsoft 1.4005 2008.10.17 Trojan:Win32/Boaxxe.B NOD32 3532 2008.10.17 - Panda 9.0.0.4 2008.10.17 Suspicious file PCTools 4.4.2.0 2008.10.17 - Prevx1 V2 2008.10.17 - Rising 20.66.42.00 2008.10.17 - SecureWeb-Gateway 6.7.6 2008.10.17 Trojan.BHO.Gen Sophos 4.34.0 2008.10.17 - Sunbelt 3.1.1730.1 2008.10.17 - Symantec 10 2008.10.17 - TheHacker 6.3.1.0.116 2008.10.16 - TrendMicro 8.700.0.1004 2008.10.17 - VBA32 3.12.8.7 2008.10.16 Trojan.Win32.Boaxxe ViRobot 2008.10.17.1425 2008.10.17 - VirusBuster 4.5.11.0 2008.10.17 - weitere Informationen File size: 93184 bytes MD5...: 6a122330990993ed55d94440bcf54528 SHA1..: 2a3e03fb4e017ac1b214abed0196b1cdf442d345 SHA256: f7e9108995cd026bc0e8911e1004b35629a88be7c885ad6a91b6dfc8c983717b SHA512: 26eeb87345a5a26ac19e73a0b2d6f3d602623307c2658101836870445fed6c4d 621432d60225623e07644f4cbc21d6ed8a0627a2b81d15b28024c5915b48f5ee PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (42.6%) Win32 EXE Yoda's Crypter (37.0%) Win32 Executable Generic (11.8%) Win16/32 Executable Delphi generic (2.8%) Generic Win/DOS Executable (2.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x43d7c0 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x28000 0x16000 0x15a00 7.90 e4db8ff5a740276e31e15d82617240bf .rsrc 0x3e000 0x1000 0xe00 3.77 2f321c890b6a2bb53ec6043b1bcde735 ( 7 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree > advapi32.dll: RegCloseKey > ole32.dll: IsEqualGUID > oleaut32.dll: LoadTypeLib > shell32.dll: SHGetMalloc > user32.dll: SetTimer > wininet.dll: InternetCrackUrlA ( 5 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0 packers (Kaspersky): PE_Patch.UPX, UPX packers (F-Prot): UPX Die HJT Liste habe ich als Anhang eingestellt, hoffe das funktioniert. allerdings fehlen dort einige BHO's die mir verdächtig vorkammen und ich deshalb entfernt habe. Mit Malwarebytes habe ich das System auch gescannt, es brachte folgendes Ergebnis: Malwarebytes' Anti-Malware 1.29 Database version: 1276 Windows 5.0.2195 Service Pack 4 17.10.2008 14:10:04 mbam-log-2008-10-17 (14-10-04).txt Scan type: Full Scan (C:\|) Objects scanned: 101974 Time elapsed: 33 minute(s), 52 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 4 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Nach Neustart findet er die gleichen Biester wieder. Inzwischen bin ich ratlos, weiß jemand was besseres als formattieren ? Vielen Dank |
|
18.10.2008, 08:49
| #2 |
| | Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder Keiner eine Idee?
__________________Hier die HJT direkt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:27:15, on 17.10.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\dvd43\dvd43_tray.exe C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Kalenderchen\Kalenderchen.exe C:\WINNT\system32\faxsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Gerald\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: (no name) - {6BBB9A88-F2A5-4B6E-89C3-96CB5665804F} - C:\WINNT\system32\ctl3dv.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O2 - BHO: (no name) - {FB640443-AE69-4AF1-88F7-23FD28964639} - C:\WINNT\system32\dpwsoc.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: Kalenderchen.exe.lnk = C:\Programme\Kalenderchen\Kalenderchen.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: msupd_0810_upd161614.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugins/SEBChipcardPlugin1210.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINNT\SCARDS32.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe -- End of file - 6275 bytes |
|
20.10.2008, 16:55
| #3 |
| | Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder Falls es jemand hilft, nach langem probieren habe ich die Biester jetzt wohl los.
__________________Am Ende half folgendes: Zuerst von Ikarus Software die Testversion des Antivit herunter geladen, mit diesem alle angebotenen 3 Scanvorgänge ausgeführt. Dabei wurden drei Dateien in den persönlichen Einstellungen gefunden welcher keiner der anderen von mir getesteten Scanner gefunden hat. Diese habe ich entfernen lassen. Danach mit Malwarebytes die Registry säubern lassen, dieses Problem fand der Ikarus nicht. Die Dateien in System32 hatte ich vorher schon entfernt, wenn nicht anders möglich in der Dosbox. Inzwischen habe ich den PC mehrmals durchgefahren, er scheint sauber. |
|
| Themen zu Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder |
| anti-malware, antivir, browser, crypter, datei, detected, explorer, folge, gelöscht, gesperrt, ide, infected, kommt wieder, malwarebytes, namen, neustart, ratlos, shell32.dll, software, systemstart, tiere, trojan.agent, trojaner, virus, virustotal, w32/podnuha, wurm |
Linear-Darstellung
