| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.11.2008, 09:12
| #1 |
 |  Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Hallo, mein NOD32 bringt mir nach dem heutigen Update folgende Fehlermeldung: c:\windows\system32\dmserver.dll - Win32/Patched.BU Virus - Säubern nicht möglich Bei virustotal habe ich die Datei analysieren lassen und komme meistens auf folgende Bezeichnung: Trojan.Dmservinf.A Damit ihr euch einen besseren Überblick verschaffen könnt, hier ein Log File: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:04:02, on 10.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe D:\Programme\Cisco Systems\VPN Client\cvpnd.exe D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Frank\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203438915609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203438974218 O16 - DPF: {A903E5AB-C67E-40FB-94F1-E1305982F6E0} - h**p://www.fbhost-tv.com/UKooPlayer.ocx O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe -- End of file - 7938 bytes |
|
10.11.2008, 10:42
| #2 |
| /// AVZ-Toolkit Guru   | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Hallöle.
__________________Poste bitte das komplette VT Ergebnis. Poste generell alle logs! http://www.trojaner-board.de/extra/impressum.html#NUB
__________________ |
|
10.11.2008, 13:50
| #3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Virustotal:
__________________Datei dmserver.dll empfangen 2008.11.10 00:01:12 (CET)
File size: 24064 bytes MD5...: 17e6ff0d3234fa14849a0fbc9c9f69b8 SHA1..: 0893ae820b93105a4351b9d805b06263433291e3 SHA256: 265d629e6a309ee0daae6e454cce3791a48cce121848431954b65856d5ef3e9f SHA512: 32195fa0c67c05592c7bc41582add3664c80dab124490423573716c19b9d7bf0 ce87a3935e57bf694700a8a878977adeebd7c7197cd9ce716e2fcdd226d8de50 PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x74f11121 timedatestamp.....: 0x4802bf96 (Mon Apr 14 02:21:10 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3d35 0x3e00 6.31 88de1549df2848f2ff4f2d7fbe911d17 .data 0x5000 0x40 0x200 0.12 f6a079134b151e22b7945e3c260d0325 .rsrc 0x6000 0x1550 0x1600 3.62 d4f11b3a525b91ecf87cbc1ee797a6ee .reloc 0x8000 0x2f8 0x400 5.54 4770f0339519d306c452c7e10af0b424 ( 7 imports ) > ADVAPI32.dll: StartServiceW, SetServiceStatus, ReportEventW, RegCloseKey, OpenSCManagerW, OpenServiceW, CloseServiceHandle, QueryServiceStatus, DeregisterEventSource, RegSetValueExW, RegisterEventSourceW, RegisterServiceCtrlHandlerExW, RegOpenKeyExW, RegQueryValueExW > KERNEL32.dll: SetUnhandledExceptionFilter, CloseHandle, CreateFileW, SetErrorMode, GetLastError, VerifyVersionInfoW, SetLastError, SetEvent, UnregisterWait, RegisterWaitForSingleObject, WaitForSingleObject, CreateEventW, OutputDebugStringW, DisableThreadLibraryCalls, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess > msvcrt.dll: wcscmp, _except_handler3, wcslen, malloc, __3@YAXPAX@Z, vsprintf, free, __2@YAPAXI@Z, wcscpy > ntdll.dll: NtDeviceIoControlFile, NtOpenFile, RtlInitUnicodeString, DbgPrintEx, NtOpenEvent, NtClose, VerSetConditionMask > RPCRT4.dll: NdrClientCall2, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, RpcStringFreeW > SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailW, SetupDiGetClassDevsW, SetupDiDestroyDeviceInfoList > USER32.dll: UnregisterDeviceNotification, RegisterDeviceNotificationW, wsprintfW ( 1 exports ) ServiceMain |
|
10.11.2008, 14:11
| #4 |
| /// AVZ-Toolkit Guru | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Gut. Weiter geht's: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
c:\windows\system32\dmserver.dll
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Poste auch ein frisches HJT log.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
10.11.2008, 16:00
| #5 |
| | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Also, Avenger habe ich gemacht: avenger.txt Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\windows\system32\dmserver.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Hier das log File: Code:
ATTFilter ComboFix 08-11-09.04 - Frank 2008-11-10 15:02:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1623 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Downloaded Program Files\setup.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-10 bis 2008-11-10 ))))))))))))))))))))))))))))))
.
2008-11-10 00:05 . 2008-02-19 15:58 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-10 00:05 . 2008-02-19 15:50 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-10 00:05 . 2008-02-19 15:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-10 00:05 . 2008-11-10 15:04 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-10 00:05 . 2008-02-19 15:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-10 00:05 . 2008-02-19 15:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-10 00:05 . 2008-02-19 15:50 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-10 00:05 . 2008-11-10 00:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-04 16:43 . 2008-11-04 16:43 <DIR> d-------- c:\dokumente und einstellungen\Frank\Anwendungsdaten\TrueCrypt
2008-11-04 16:43 . 2008-11-04 16:43 215,616 --a------ c:\windows\system32\drivers\truecrypt.sys
2008-11-02 15:40 . 2008-04-14 07:52 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-11-02 15:40 . 2001-08-18 04:54 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-10-26 14:23 . 2008-10-26 14:23 <DIR> d-------- c:\programme\Microsoft.NET
2008-10-25 21:59 . 2008-10-25 21:59 <DIR> d-------- c:\dokumente und einstellungen\Frank\Anwendungsdaten\Betfair
2008-10-25 10:53 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-25 10:52 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-25 10:52 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-25 10:52 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-25 10:52 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-25 10:52 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-25 10:52 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-20 22:51 . 2008-10-20 22:51 <DIR> d-------- c:\programme\OpenAL
2008-10-20 22:51 . 2008-01-29 11:53 782,336 -ra------ c:\windows\system32\tmp762.tmp
2008-10-20 22:51 . 2008-01-29 11:53 782,336 -ra------ c:\windows\system32\tmp761.tmp
2008-10-20 22:51 . 2008-10-20 22:51 413,696 --a------ c:\windows\system32\wrap_oal.dll
2008-10-20 22:51 . 2008-10-20 22:51 110,592 --a------ c:\windows\system32\OpenAL32.dll
2008-10-20 22:50 . 2008-10-20 22:50 <DIR> d-------- c:\windows\system32\AGEIA
2008-10-20 22:50 . 2008-10-20 22:50 <DIR> d-------- c:\programme\AGEIA Technologies
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-10 13:47 --------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Bluefive software
2008-11-06 16:42 --------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\foobar2000
2008-11-01 20:22 22,528 ----a-w c:\windows\system32\drivers\nhcDriver.sys
2008-10-27 15:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-23 09:47 --------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\EssentialPIM Pro
2008-10-20 21:50 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-09 14:25 --------- d-----w c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mp3tag
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:19 2,191,488 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 12:20 258,048 ----a-w c:\windows\system32\TubeFinder.exe
2008-07-17 17:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071720080718\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="d:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= d:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AudioDeck"=c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY
"SynTPLpr"=c:\programme\Synaptics\SynTP\SynTPLpr.exe
"SynTPEnh"=c:\programme\Synaptics\SynTP\SynTPEnh.exe
"Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"HP Software Update"=d:\programme\HP\HP Software Update\HPWuSchd2.exe
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\FlashGet\\flashget.exe"=
"d:\\Programme\\Miranda IM 0.7.0\\miranda32.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"d:\\Programme\\BPFTP Server\\bpftpserver.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Programme\\CryptLoad_1.0.4\\CryptLoad.exe"=
"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
R1 atitray;atitray;d:\programme\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-07-01 34312]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe [2008-04-14 14336]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;c:\windows\system32\NSNDIS5.SYS [2004-03-24 17280]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-02-19 306432]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-05-08 c:\windows\Tasks\foobar2000.job
- d:\progra~1\FOOBAR~1\FOOBAR~1.EXE [2007-04-20 20:36]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\bhcx5nhp.default\
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - d:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - d:\programme\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - d:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\NPOFF12.DLL
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF -: plugin - d:\programme\VideoLAN\VLC\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 15:04:10
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-10 15:04:44
ComboFix-quarantined-files.txt 2008-11-10 14:04:39
Vor Suchlauf: 2.199.429.120 Bytes frei
Nach Suchlauf: 2,194,870,272 Bytes frei
184 --- E O F --- 2008-07-11 10:15:53
|
|
10.11.2008, 17:00
| #6 |
| | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? So SUPERAntiSpyware ist fertig: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 11/10/2008 at 04:36 PM
Application Version : 4.21.1004
Core Rules Database Version : 3629
Trace Rules Database Version: 1613
Scan type : Complete Scan
Total Scan Time : 01:25:27
Memory items scanned : 334
Memory threats detected : 0
Registry items scanned : 5737
Registry threats detected : 0
File items scanned : 205551
File threats detected : 0
|
|
10.11.2008, 17:44
| #7 |
| | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Anti-Malware findet auch nichts: Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1380
Windows 5.1.2600 Service Pack 3
10.11.2008 17:35:11
mbam-log-2008-11-10 (17-35-11).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 205543
Laufzeit: 56 minute(s), 43 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:37:18, on 10.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe D:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\explorer.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Frank\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203438915609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203438974218 O16 - DPF: {A903E5AB-C67E-40FB-94F1-E1305982F6E0} - http://www.fbhost-tv.com/UKooPlayer.ocx O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe -- End of file - 7978 bytes |
|
10.11.2008, 19:03
| #8 |
| /// AVZ-Toolkit Guru | Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? Sieht alles wieder sauber aus..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!? |
| adobe, antivirus, bho, bonjour, cs3, desktop, einstellungen, eset nod32, explorer, fehlermeldung, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, log, log file, logfile, mozilla, neu aufsetzen, nicht möglich, pdf, pdf-datei, programme, software, system, system neu, system neu aufsetzen, tuneup.defrag, virus, windows, windows xp, windows xp sp3, wireless lan, xp sp3 |
Linear-Darstellung
