Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich!

bernem · 26.10.2008, 12:53

Hallo,
habe SChritt 1 und 2 durchgeführt. Ergebnis sieht wie befürchtet aus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.24.3 2008.10.25 -
AntiVir 7.9.0.9 2008.10.25 -
Authentium 5.1.0.4 2008.10.26 -
Avast 4.8.1248.0 2008.10.25 -
AVG 8.0.0.161 2008.10.25 -
BitDefender 7.2 2008.10.26 -
CAT-QuickHeal 9.50 2008.10.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.26 -
DrWeb 4.44.0.09170 2008.10.26 -
eSafe 7.0.17.0 2008.10.26 -
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.26 -
F-Prot 4.4.4.56 2008.10.26 -
F-Secure 8.0.14332.0 2008.10.26 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.26 -
GData 19 2008.10.26 -
Ikarus T3.1.1.44.0 2008.10.26 -
K7AntiVirus 7.10.508 2008.10.26 -
Kaspersky 7.0.0.125 2008.10.26 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.26 -
NOD32 3556 2008.10.26 -
Norman 5.80.02 2008.10.24 -
Panda 9.0.0.4 2008.10.25 -
PCTools 4.4.2.0 2008.10.25 -
Prevx1 V2 2008.10.26 -
Rising 21.00.62.00 2008.10.26 -
SecureWeb-Gateway 6.7.6 2008.10.25 Virus.Win32.FileInfector.gen (suspicious)
Sophos 4.35.0 2008.10.26 -
Sunbelt 3.1.1753.1 2008.10.25 -
Symantec 10 2008.10.26 -
TheHacker 6.3.1.1.129 2008.10.25 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.25 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.25 -

weitere Informationen
File size: 816376 bytes
MD5...: ffb4bc584ae2cdcdce647b29d74e6b8d
SHA1..: 5d3bf5f104868ec99a6ed51d1651eabc761b4440
SHA256: 25ed27bd9337767476d0aad0b49cfa874cb68c0a9664dc55b57e498afba0b72c
SHA512: 7d8002862f104f92f969770f1a0eed5e4797e55988de6ed2ccc09b75f3746dab
ff06965ee8a80ef7af47a99440a8c8f37cafb50745b11a25676f22b9b3139943
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x485000
timedatestamp.....: 0x46bae819 (Thu Aug 09 10:10:33 2007)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x294a6 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x2b000 0x6e6e 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x32000 0x2e14 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text1 0x35000 0x50000 0x43000 7.98 f5fde3a04cf115e830a31c460d7d1d14
.adata 0x85000 0x10000 0xd000 7.01 a2e2195614c8ab367fb814ab194a469a
.data1 0x95000 0x20000 0xb000 3.76 d79ab0e1c126e69dd920e213df3a115c
.pdata 0xb5000 0x70000 0x62000 7.99 60802f7e8a46849ab596e454f227518a
.rsrc 0x125000 0x8000 0x8000 5.15 267f839db7193c953bad7d1a33687939

( 3 imports )
> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, SuspendThread, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, CloseHandle, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetConsoleMode, GetConsoleCP, SetFilePointer, GetLocaleInfoA, MultiByteToWideChar, HeapSize, HeapReAlloc, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, RtlUnwind, DeleteCriticalSection, GetStdHandle, WriteFile, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, MapViewOfFile, GetShortPathNameA, GetSystemTimeAsFileTime, HeapFree, HeapAlloc, GetProcessHeap, RaiseException, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, InterlockedDecrement
> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, GetSystemMetrics, SetTimer, GetAsyncKeyState, KillTimer, BeginPaint, EndPaint, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, PeekMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, DestroyWindow
> GDI32.dll: CreateDCA, CreateDIBitmap, CreateCompatibleDC, SelectObject, SelectPalette, RealizePalette, BitBlt, DeleteDC, DeleteObject, CreatePalette

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=ffb4bc584ae2cdcdce647b29d74e6b8d
packers (F-Prot): Armadillo
packers (Kaspersky): Armadillo

**********

Was ist zu tun?

Silent sharK · 26.10.2008, 12:58

Kannst du mir die Datei in einem passwortgeschützten .zip-Archiv (PW: infected) zukommen lassen?

Auf jedenfall solltest du Folgendes tun:

Alle Passwörter von einem sauberen System aus ändern
LogIn- und Zugangsdaten ebenso ändern
Wenn Bankgeschäfte betrieben wurden sind, entspr. Bank kontaktieren
Bei Bezahlung mit Kreditkarte evtl. Karte sperren lassen

bernem · 31.10.2008, 12:16

Puuh und guten Tag,

hat einiges an Arbeit gekostet wieder aufzuräumen. C: formatiert und komplett neu aufgesetzt.
Habe mir dann auch noch Kaspersky zugelegt. Wie schaut jetzt meine HiJack-Datei aus?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:12, on 31.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\D-Link\Diagnostics Utility\8169Diag.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [8169Diag] C:\Programme\D-Link\Diagnostics Utility\8169Diag /hw
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225387855180
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4968 bytes

****

Kannst du mir einen Tipp geben, wie ich meine Systemdateien besser schützen kann?

Vielen Dank für die Hilfe damals! - Es ist zum Glück nichts wirklich schlimmes passiert.

Uwe

Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich!

Alles rund um Windows: Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich!

Problem: Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich!

Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich! Anleitung / Hilfe

Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich! Details

Ähnliche Themen: Nach Trojaner-Beseitgung kein WinXP-Update mehr möglich!